附加数据的处理实例

附加数据的处理

【声明】:纯属技术交流
【作者】:qingye
附加数据的处理
软件上次到附件中了。
查壳，NsPack V1.4 -> LiuXingPing [Overlay] *，北斗的壳
脱壳。
OD载入到00434F61
00434F61 >  9C        pushfd
00434F62    60        pushad
00434F63    E8 000000>call Overlay.00434F68
00434F68    5D        pop ebp
00434F69    B8 B18540>mov eax,Overlay.004085B1
00434F6E    2D AA8540>sub eax,Overlay.004085AA
00434F73    2BE8      sub ebp,eax
......(省略N多语句)
00435165    56        push esi
00435166    51        push ecx
00435167    53        push ebx
00435168    52        push edx
00435169    56        push esi
0043516A    FF33      push dword ptr ds:[ebx]
0043516C    FF73 04   push dword ptr ds:[ebx+4]
0043516F    8B43 08   mov eax,dword ptr ds:[ebx+8]
00435172    03C2      add eax,edx
00435174    50        push eax
00435175    FF95 F7FE>call dword ptr ss:[ebp-109]
0043517B    5A        pop edx
0043517C    5B        pop ebx
0043517D    59        pop ecx
0043517E    5E        pop esi
0043517F    83C3 0C   add ebx,0C
00435182  ^ E2 E1     loopd short Overlay.00435165
00435184    61        popad
00435185    9D        popfd
00435186  - E9 A6E6FC>jmp Overlay.00403831
走到这00435186，下一步到OEP了，可以脱壳了，记得修复一下。
源程序657K，脱壳修复后大小只剩下268K，应该有数据被我们脱壳的时候给脱掉了。
要就用[PE处理]Overlay（这软件可能会让你杀毒软件报警）处理一下。
源文件是我们没脱壳的程序，目标文件是我们修复后的程序。
然后点【复制Overlay】。若提示“复制Overlay成功”，应该行了。
试试，能不能运行，OK.

【注】无法上传附件.在 www.huohuz.cn论坛上也有这文章，那有上传的附件。