Overlay[附加数据]的一般处理方案
前言:大家好,我是wellin,昨天已经介绍了脱壳的几种常用方法。但是由于软件作者出于保护目的,把一些相关的代码都保存到附加数据里去了,这样在你脱壳以后相关数据都会被脱掉,就达到了让人无法逆向的目的。所以今天分享一下Overlay[附加数据]的一般处理方案教程开始首先第一步查壳
然后载入OD脱壳,因本次主要讲解Overlay[附加数据],脱壳方法请先移步到https://www.52hb.com/forum.php?mod=viewthread&tid=4324&page=1#pid66636。
脱壳后运行程序出现错误提示
剩下的我们来处理附加数据吧,Overlay[附加数据]的一般处理方案在这里介绍两种:
方法一(有点笨):
将未脱壳程序用WINHEX打开后拉到最下面一点一点向上找一大块为00的区段,之后选中结尾第一个不为0的数据,右键选块开始
然后拉到最下面选中最后一个数据,右键选块结束
在所选区域右键编辑复制到剪切板正常。
接着用WINHEX打开已脱壳文件拉到最后,选中最后一个数据粘贴保存即可
方法二(计算):
用LordPE选择PE编辑器打开未脱壳文件,点击区段
一般程序均看最后一个区段,v开头代表虚拟,R开头代表物理,R开头的两个是我们要用到的,用计算器将二者相加
CA00即为我们方法一所找到的地方,余下步骤相同不一一赘述
处理后的软件即可正常打开
附:附件查毒
教程结束,希望大家能有所收获,新手教程大牛勿喷,你的支持就是我的动力
附件已上传,包含源文件,脱壳文件与修复后文件
技术贴,很不错,谢谢老师。
{:5_116:} 沙发是我的! {:5_121:}支持楼主 !有没有沙发奖励! {:5_191:}沙发木有了!
这个技术贴不错,支持!!!
很适合新手的教程,学习了!
很受用,谢谢楼主分享。 以前学过,现在来复习一下。温故而知新。
这个附加数据我记得我也讲过的、、你说的是方法,没有解释到底是为什么,就比如方法一,为什么是这么一块为00的地方、这些都没说
谢谢分享。
果断回帖,楼主很有成就感。