-
-
隆重推出 DT_FixRes 最终版 -- 最好的 PE 资源修复引擎
-
发表于: 2005-3-13 20:02
-
|
|
|---|---|
|
|
|
|
|
运用“搜索引擎”在这个加壳分论坛搜索就可以了,最近telock的那篇。。。一半一半吧,只是分享一下,有时间看一下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
try!
对象: Sothink SWF Decompiler MX 2005a Build 50318脱壳程序 特点:脱壳后资源结构正常,RVA太高 可以Dump出资源节,应该:没问题吧,有空再试  来个使用小结: 首先感谢 dREAMtHEATER 同志(希望这个词还会产生误会)为大家写了个资源修复引擎。 它(引擎)可以为一些完好的PE脱壳文件--其中,包括简单的以无条件的资源重建,这类适合没有相关PE认识的汉化者,特点简单简单易用,会增大文件体积,同时新资源节是加到文件尾部,所以说适合汉化者使用; 其二是,Dump资源功能是为了方便PE脱壳文件的减肥和优化内存映射的使用者设计的,要求使用者应对PE的结构组成有比较多的认识。有时,一些加壳文件在脱壳后,会显得相当大,资源有分散的情况--即是资源结构不正常,不易进行资源修复--指手动修复, 比如telock壳加的程序原本是几百K的,脱壳后会有几十M的可能,而且这样的文件不但占用磁盘空间,运行映射到内存是相当浪费的,运用 Dump 资源功能可以省去手动移动资源和手动填资源表细项的RVA,可以这么说,我们不需要对资源表进行深入的了解,都会轻松解决资源修复问题,具体可以参阅一下我的一篇 telock0.80 的 Dump 文章 还有的是,对于资源结构正常的情况下,Dump 功能也允许你改动 资源的RVA位置,比如,你认为 脱壳后的PE文件 资源的 RVA 不利于你的文件映射内存(毕竟能节省内存是好事来的),如资源节RVA是6000,若它的上一节是RVA:1000 + 大小:1000,应该使它的资源节的RVA跟上一节的后面即2000,通过Dump 功能,你可以填2000这个RVA,把Dump出的修复资源节复盖原资源,并改回资源节的RVA和资源表的入口描述即可。 PE的优化和组成是相当灵活的,不要千篇一律! 毕竟是引擎,而且是针对PE文件进行资源修复的引擎,不想更多的手活,想更省活去优化你的脱壳PE文件,就要动手写你的引用引擎代码和你的配合代码,去做你想简化的其它修整方案的工具。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我下载"卟"的一下跳到48%,然后不动了!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
倒,期待~!
|
|
|
|
|
|
谢谢~!
|
