ximo基础脱壳教程11：附加数据的处理方法

工具：overlay最终版
WIN HEX或HEX WORKSHOP

首先我们查一下壳

 

 发现是一个北斗的壳，并且带有附加数据

 我们用OD打开调试程序

 

 上来就发现了pushad和pushfd，那我们直接使用esp定律法，先单步，然后在寄存器窗口中右键数据窗口跟随，然后再数据窗口中下断点，然后运行

 

 然后直接就可以跳转到OEP，这里我们选择用OD脱壳，右键选择用OD多可调试进程

 

 然后我们转储文件，转储完之后，我们发现无法打开文件，用lordPE和IR都无法修复，这是因为程序带有附加数据，我们随便用一个16进制文本编辑器打开源程序

我们把进度条拖到最后，然后一直向上找，直到发现一块全0的区域

 

 然后把后面所有的数据复制，打开我们脱完壳之后的程序，拖到最后，我们把数据粘贴过去

 

 然后保存就可以了，我们可以再查一下壳

 

 

 

 发现比刚脱完之后的程序多了一个overlay，这里就表明我们的数据附加成功

当然我们有别的方法可以找到全为0的区域，我们用LordPE打开要脱壳的程序

 

 用PE编辑器打开之后，我们打开它的区段表，找到最后一项，用它的ROffset+RSIze就是附加数据的地址