-
-
To Loveboom
-
发表于:
2005-6-11 16:33
4787
-
由于你的AC奇幻旅程(失眠)实在太长了,我机子的网页编辑器不能整合处理这么大的网页文件,会死机的,能否给我打包压缩(要有色的)放在此贴或my Email: askformore_mail#126.com,食得唔好晒
至于你说到的资源问题,如果你脱壳后的文件(资源)能够正常运行使用(要试清楚),那么你所做的事很简单,我不建议你完全去手动修复(你要完全了解资源结构);用dreamtheatre 的DT-FixRes.dll Demo.exe,资源可以修复在PEhead节后的任何Dword对齐的地方(即above:image+1000),如果你要最简单处理用,fixed功能。
另外,想完美点你可以参考我的修复 telock0.80 的文章用DumpRes功能。
因为具体你的脱壳文件我不知道是怎样的,你不必发给我,想完美点修复我提意你先做2、3个Copy。
1.用其中一个Copy完全去掉所以资源和其它垃圾(可以先用Demo.exe的fixRes功能做一下,完全不用思考的,然后你会发现旧资源的地方是空的,这时你可以决定如何优化到没有资源的了,包括节项表要对应处理后的结果),保存结果到文件中,并记最后一下节再开一个节的RVA和Offset(先不要填在或反映在节表)。
2.用另一个Copy 做 DumpRes 的“借尸还魂”的工作,点到这个选项,拖个Copy到Demo.exe,再填写Dump栏输出文件名路径和名字,RVA填
上一步记下的 RVA,文件对齐可填200 或 1000或倍数,我一般填200,Dump出后,就组装一下。
3.组装可以用LordPE,也可以用手动,把上一步的rsrc.bin 粘贴到1.步处理文件的最后,记住粘贴的位置,用PE工具增开资源节,
RVA 填 DumpRes时填的RVA,
Rvasize 填 rsrc.bin size (Offsetsize) 的 1000 对齐值
Offset 填 粘贴时的 Offset
Offsetsize 填 rsrc.bin 的size
4.修复目录表的资源项描述,可参你上一步新增资源节的描述填写,保存结果,这时你会发现图标又回来了,如果不是很可能你步骤当中做错了什么...
happy in dream...
[课程]FART 脱壳王!加量不加价!FART作者讲授!