[讨论]关于查壳Microsoft Visual C++ 6.0 [Overlay]-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
Sgdcl 雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	Sgdcl 2 楼这不是壳，还需要脱吗？？？ 2009-10-30 17:19 0
lazyboy 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 0 关注私信	lazyboy 3 楼 1 Microsoft Visual C++ 6.0 [Overlay]这个是E语言的 2 显然是没有添加附加数据的缘故加壳的程序载入PEID，PEID中点击EP区段找到最后一个区段把该区段的实际偏移+实际大小=附加数据的地址假设实际偏移：1000 实际大小：2000 那么附加数据的开始地址就是：3000 用C32载入加壳程序（16进制模式） CTRL+G 填入3000 来到这里复制从3000开始到程序的最后的数据 C32载入脱壳后的来到数据的最末端把刚才复制的粘贴保存就OK 2009-10-30 17:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
Sgdcl 雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	Sgdcl 2 楼这不是壳，还需要脱吗？？？ 2009-10-30 17:19 0
lazyboy 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 0 关注私信	lazyboy 3 楼 1 Microsoft Visual C++ 6.0 [Overlay]这个是E语言的 2 显然是没有添加附加数据的缘故加壳的程序载入PEID，PEID中点击EP区段找到最后一个区段把该区段的实际偏移+实际大小=附加数据的地址假设实际偏移：1000 实际大小：2000 那么附加数据的开始地址就是：3000 用C32载入加壳程序（16进制模式） CTRL+G 填入3000 来到这里复制从3000开始到程序的最后的数据 C32载入脱壳后的来到数据的最末端把刚才复制的粘贴保存就OK 2009-10-30 17:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复