附加数据处理方法

脱壳过程中有如下标志就说明文件有附加数据，在有附加数据的情况下文件脱壳后无法正常运行，必需通过工具把数据修复。

 

一、  处理附加数据通用工具：

 

1.   overlay最终版

2.   WIN HEX

3.   WORKSHOP

 

二、处理方法（HexWorkShop）：

 

1.   使用HexWorkShop打开要脱壳的程序

 

2.   打开LoadPE然后按照截图步骤点击

        注：第二步选中的文件是要脱壳的文件

 

 

3.点击【区段】按钮选中最后一个区段

 

4.   ROffest+RSize==400+8800==8C00

注：是十六进制计算

5.   在HexWorkShop界面点击Ctrl+G然后输入16进制偏移地址点击确定

 

6.界面跳转到如下界面

 

 

7.   从刚刚跳转的哪一行第一个非零数字的位置开始一直到最后一行，进行复制操作

8.   使用HexWorkShop打开已经脱壳的文件拉到最后选择【粘贴】

9.   然后将文件进行保存

10.   运行保存好的文件，OK,大功告成了！