【文章标题】: 脱ASPack并快速解决附加数据
【文章作者】: flong
【作者邮箱】: flong30[at]hotmail.com
【软件名称】: 去爱吧网络电视 5.0.3 钻石版--可看无码成人电视
【下载地址】: http://www.7280.com/jieshao.htm
【加壳方式】: ASPack 2.12 -> Alexey Solodovnikov [Overlay]
【使用工具】: OllyICE v1.10 修改版，Stud_PE，winhex10
【软件介绍】: 网络电视直播软件
【作者声明】: 主要展现脱壳后附加数据的快速解决，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  看到前几天有个网友脱ASPack时遇到问题，现在单独发贴解决。
  
  
  1、脱壳
  
     用peid查壳发现是ASPack 2.12 -> Alexey Solodovnikov [Overlay]，Overlay有附加数据。
     用OllyICE载入7280.exe，并脱壳保存为unpacked.exe。详细过程就不演示了，可以参考下面的文章，大体上都差不多：
     http://bbs.pediy.com/showthread.php?s=&threadid=32321   
  
  2、添加附加数据
  
     用Stud_PE打开7280.exe，点击Sections可以看到程序共有11个段，最后一个是附加段：ExtraDat。选中这个段，点右键－>Dump Sections，将附加段保存为ExtraDat.bin，关闭Stud_PE。
     用winhex载入unpacked.exe与ExtraDat.bin。
        在ExtraDat.bin工作区，将ExtraDat.bin的内容全部复制下来：点编辑－>全选，然后点编辑-> 复制块-> 正常。
        换到unpacked.exe工作区，将刚才复制的内容添加到unpacked.exe尾部：将光标移到unpacked.exe文件的最后一个字节（16进制工作区）。然后点编辑－>剪切板数据->粘贴,提示将增大文件大小，点确定，然后保存。
     好了，添加附加数据完毕。
  
  
  
  3、运行测试
  
     运行一下看看，能启动，再观看中央五台的节目，完全没有问题。
  
  
  
  
  
--------------------------------------------------------------------------------
【经验总结】
  Stud_PE是一款研究pe文件的好工具，比其他的pe工具好用。比如上面用它来看附件数据，并保存出来，完全不用去计算附
  加段的起始和大小。看雪的教程里面需要自己计算，有点复杂。它还有很多好功能大家可以去挖掘。
  
  
  谢谢观看。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2006年09月24日 下午 11:39:29

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法