首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
请教程序通常都是如何使用overlay的
发表于: 2006-4-18 15:51 4055

请教程序通常都是如何使用overlay的

kkx2008 活跃值
2006-4-18 15:51
4055
一个程序如果里面有附加数据我想知道通常它是如何被使用(或者说如何读取的)是不是象壳一样解压?

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (7)
thebutterfly
雪    币: 291
活跃值: (213)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
2
CreateFile 自己
ReadFile 自己的内容
2006-4-18 15:58
0
kkx2008
雪    币: 107
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢楼上兄弟
2006-4-18 16:14
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
正规的来说应该会读PE文件来确定ImageSize,然后从ImageSize处读数据。但很多程序的Overlay数据的读法是从屁股后来倒读0xXX字节,反而通用性后者强点。
2006-4-18 16:14
0
kkx2008
雪    币: 107
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我现在的情况:   A程序(加密用),B程序(运行加密文件) A和B都加过壳(已脱之)
先用A程序进行加密文件====>期间的动作是把要加密的文件附加到B程序的后面
我用原始B程序(加过壳)来加密文件跟脱过壳的B程序来加密程序对比之发现最后的overlay都不一样不过开始的地址一样,大小也差了49个字节
一直想搞懂它是怎么加密的可惜功力不够(只懂9090)
2006-4-18 16:28
0
kkx2008
雪    币: 107
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
而且把加壳的overlay用UE附加到脱壳的不能运行反之亦然
请老大们说说原理
可以逆向写出一个解密overlay的程序吗
2006-4-18 16:32
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
7
CreateFileA和Memory Access大法。
2006-4-18 17:08
0
无为道长
雪    币: 182
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
谢谢啦,又学到一招
2006-4-18 17:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//