|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
可以脱壳的,只是你不会修复
 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
找了些资料,还下了个动画,终于把附加文件加上去了.看来还有很多人不懂,我把方法说一下.
aspack的壳大家都会脱,就不多说了,脱壳修复后发现不能运行,跳出个对话框: 究其原因就是程序缺少"附加数据".程序运行的时候"附加数据"并不载入内存,所以脱壳Dump的时候是Dump不到的.这段数据还是在原程序的尾部. 一般来说,只要把这段数据复制到脱壳程序的尾部就可以了. 使用的工具是winHex , 这个程序的汉化版找了好几个,最后发现黑基的最好. 首先打开winHex,然后把原程序和脱壳后的程序都用winHex载入.  然后要确定一下"附加数据"的位置,位置就是在最后程序一个区段的后面我可以用PEid帮助定位. 用PEid查看一下原程序"绿线.exe"  点"PE 区段"右边的 >  可以看到最后一个段 .adata 它的文件偏移是A200 大小是0 ,就是说从A200之后到文件结尾就是附加数据了. 然后我们回到winHex上来,先找到附加数据的起始位置 A200 ,选中第一个数据并在上面右击并选块开始,  然后选中文件最后一个数据并在上面右击并选块结尾, 这样就选中了一个区域,在选中的区域上右击->编辑->复制块->正常. 然后在winHex中来到脱壳文件的结尾, 右击->编辑->剪贴块数据->粘贴.  最后在winHex文件菜单中把它另存为一个文件就可以运行了. 最后用PE查壳对比没加附加数据和加了附加数据的:   可以发现加了附加数据后,多了个[overlay]标记. |
|
|
|
|
|
|
|
|
|
|
|
解决了
貌似是我手动确定IAT大小出了问题,但是脱之后程序能正常运行啊 也有Invalid data in the file!的提示 我刚才试了一下,修复的时候让ImportREC自动寻找IAT 然后复制overlay数据,就没问题了,我手动确定IAT起始地址和大小,找到的Imports貌似和自动找到是一样的,真是奇怪 初学脱壳,看来还得多练习 
|
|
|
|
