附加數據的處理實例

附加數據的處理

【聲明】:純屬技術交流
【作者】:qingye
附加數據的處理
軟件上次到附件中了。
查殼，NsPack V1.4 -> LiuXingPing [Overlay] *，北斗的殼
脫殼。
OD載入到00434F61
00434F61 >  9C        pushfd
00434F62    60        pushad
00434F63    E8 000000>call Overlay.00434F68
00434F68    5D        pop ebp
00434F69    B8 B18540>mov eax,Overlay.004085B1
00434F6E    2D AA8540>sub eax,Overlay.004085AA
00434F73    2BE8      sub ebp,eax
......(省略N多語句)
00435165    56        push esi
00435166    51        push ecx
00435167    53        push ebx
00435168    52        push edx
00435169    56        push esi
0043516A    FF33      push dword ptr ds:[ebx]
0043516C    FF73 04   push dword ptr ds:[ebx+4]
0043516F    8B43 08   mov eax,dword ptr ds:[ebx+8]
00435172    03C2      add eax,edx
00435174    50        push eax
00435175    FF95 F7FE>call dword ptr ss:[ebp-109]
0043517B    5A        pop edx
0043517C    5B        pop ebx
0043517D    59        pop ecx
0043517E    5E        pop esi
0043517F    83C3 0C   add ebx,0C
00435182  ^ E2 E1     loopd short Overlay.00435165
00435184    61        popad
00435185    9D        popfd
00435186  - E9 A6E6FC>jmp Overlay.00403831
走到這00435186，下一步到OEP了，可以脫殼了，記得修復一下。
源程序657K，脫殼修復後大小只剩下268K，應該有數據被我們脫殼的時候給脫掉了。
要就用[PE處理]Overlay（這軟件可能會讓你殺毒軟件報警）處理一下。
源文件是我們沒脫殼的程序，目標文件是我們修復後的程序。
然後點【複製Overlay】。若提示“複製Overlay成功”，應該行了。
試試，能不能運行，OK.

【注】無法上傳附件.在www.huohuz.cn論壇上也有這文章，那有上傳的附件。