Armadillo4.40一般保护脱壳以后如何减肥.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 2 楼 .pdata .adata .data1 .text1 一般程序就把这些区段删掉,重建! 也可以用PE Explorer提示来删掉重建! 看个人喜好了 2006-7-19 11:23 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 3 楼用LordPE的PE编辑器打开Dump后的文件看一下，再和没脱壳前的文件对比一下。可能是有个段的虚拟大小非常大，但RAW大小是0，但是Dump的时候把这个RAW大小原来为0的段全添上和虚拟大小一样的0字节了，搞得这个段的RAW大小和虚拟大小一样大。上次脱个Software Compress 加壳的Delphi程序就是这样，300多K的程序Dump出来有77M多。本来想把虚拟大小和RAW大小都减小的，试了几次不行，只好把虚拟大小保留，RAW大小设为0，对应的0字节全部清空。这样脱完后的程序大概是500多K，不过运行时用进程查看工具查看的话，还占用77M多内存。估计上次我脱的那个程序原来就是这样。 2006-7-19 11:32 0
xlh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	xlh 4 楼再次感谢,参考2位的方法...程序已减到3.36兆.但peid检测程序还是Armadillo,请问如何去掉.. 2006-7-19 11:50 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 5 楼最初由 xlh* 发布* 再次感谢,参考2位的方法...程序已减到3.36兆.但peid检测程序还是Armadillo,请问如何去掉.. Armadillo加壳标志，用“MajorLinkerVersion”关键字搜索 000000F0 5045 0000 4C01 0400 DAD4 6643 0000 0000 PE..L.....fC.... 00000100 0000 0000 E000 0F01 0B01 5352 0000 0500 ..........SR .... 00000110 0060 1500 0000 0000 B08B 0400 0080 0800 .`.............. 用十六进制工具打开文件，在PE头部分，你会发现SR字符，清零就行。 2006-7-19 11:53 0
xlh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	xlh 6 楼哦,原来如此.TKS 2006-7-19 12:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 2 楼 .pdata .adata .data1 .text1 一般程序就把这些区段删掉,重建! 也可以用PE Explorer提示来删掉重建! 看个人喜好了 2006-7-19 11:23 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 3 楼用LordPE的PE编辑器打开Dump后的文件看一下，再和没脱壳前的文件对比一下。可能是有个段的虚拟大小非常大，但RAW大小是0，但是Dump的时候把这个RAW大小原来为0的段全添上和虚拟大小一样的0字节了，搞得这个段的RAW大小和虚拟大小一样大。上次脱个Software Compress 加壳的Delphi程序就是这样，300多K的程序Dump出来有77M多。本来想把虚拟大小和RAW大小都减小的，试了几次不行，只好把虚拟大小保留，RAW大小设为0，对应的0字节全部清空。这样脱完后的程序大概是500多K，不过运行时用进程查看工具查看的话，还占用77M多内存。估计上次我脱的那个程序原来就是这样。 2006-7-19 11:32 0
xlh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	xlh 4 楼再次感谢,参考2位的方法...程序已减到3.36兆.但peid检测程序还是Armadillo,请问如何去掉.. 2006-7-19 11:50 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 5 楼最初由 xlh* 发布* 再次感谢,参考2位的方法...程序已减到3.36兆.但peid检测程序还是Armadillo,请问如何去掉.. Armadillo加壳标志，用“MajorLinkerVersion”关键字搜索 000000F0 5045 0000 4C01 0400 DAD4 6643 0000 0000 PE..L.....fC.... 00000100 0000 0000 E000 0F01 0B01 5352 0000 0500 ..........SR .... 00000110 0060 1500 0000 0000 B08B 0400 0080 0800 .`.............. 用十六进制工具打开文件，在PE头部分，你会发现SR字符，清零就行。 2006-7-19 11:53 0
xlh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	xlh 6 楼哦,原来如此.TKS 2006-7-19 12:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复