首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[讨论]关于查壳Microsoft Visual C++ 6.0 [Overlay]
发表于: 2009-10-30 14:27 7009

[讨论]关于查壳Microsoft Visual C++ 6.0 [Overlay]

kindsjay 活跃值
4
2009-10-30 14:27
7009
我用很多查壳工具都查出了这个  Microsoft Visual C++ 6.0 [Overlay]
我在网上找了个自动脱壳机,脱出来的文件不能用   提示invalid data in the file

  请问大家,是不是我操作问题.         
我有两个疑问:  
   ①:  Microsoft Visual C++ 6.0 [Overlay]  这个还需要继续再脱吗?
   ②:如果需要继续脱.那invalid data in the file 这个问题,应该怎么解决!

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (2)
Sgdcl
雪    币: 97
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
这不是壳,还需要脱吗???
2009-10-30 17:19
0
lazyboy
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
1 Microsoft Visual C++ 6.0 [Overlay]这个是E语言的  
2 显然是没有添加附加数据的缘故   加壳的程序载入PEID,PEID中点击EP区段  找到最后一个区段 把该区段的 实际偏移+实际大小=附加数据的地址
假设  实际偏移:1000     实际大小:2000   那么附加数据的开始地址就是:3000
用C32载入加壳程序(16进制模式) CTRL+G  填入3000  来到这里  复制从3000开始到程序的最后的数据
C32载入脱壳后的  来到数据的最末端 把刚才复制的粘贴  保存就OK
2009-10-30 17:37
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//