Honsayker tools脱壳+附加数据处理

　　动画性质： 无声演示

　　录制工具： 屏幕录象专家

　　游戏外挂：

　　VIP 会员：

　　动画评级：

　　动画介绍：脱壳方法：1、手动

　　我们先来运行一下原程序，看看效果。

　　查下壳 什么都没找到 [Overlay] * 是未知壳而且有附加数据。

　　这个是我处理好后的程序 Microsoft Visual C++ 6.0 [Overlay]

　　好，我正式开始脱壳

　　入口点：

　　00427EF0 >60 pushad

　　00427EF1 BE 00A04100 mov esi, 0041A000

　　00427EF6 8DBE 0070FEFF lea edi, dword ptr [esi+FFFE7000]

　　00427EFC 57 push edi

　　00427EFD 83CD FF or ebp, FFFFFFFF

　　00427F00 89E5 mov ebp, esp

　　00427F02 8D9C24 80C1FFFF lea ebx, dword ptr [esp-3E80]

　　我们单步走，可以用ESP定律 继续单步 这是有个跳。我们不让它实现

　　马上就到OEP了。

　　OEP：

　　0040389F 55 push ebp //vc++的程序

　　004038A0 8BEC mov ebp, esp

　　004038A2 6A FF push -1

　　004038A4 68 F8724000 push 004072F8

　　004038A9 68 04554000 push 00405504

　　004038AE 64:A1 00000000 mov eax, dword ptr fs:[0]

　　004038B4 50 push eax

　　004038B5 64:8925 0000000>mov dword ptr fs:[0], esp

　　004038BC 83EC 58 sub esp, 58

　　004038BF 53 push ebx

　　004038C0 56 push esi

　　脱壳。用插件就行，用LORDPE和IMportrec效果也是一样的。

　　Microsoft Visual C++ 6.0

　　Microsoft Visual C++ 6.0 [Overlay] 相比一下就发现，少了[Overlay]。显然 是附加数据处理。

　　2、插件

　　我们用插件来脱一下，用PEID的插件

　　附加数据处理：

　　我们运行一下，刚脱好的程序。

　　invalid data in the file!

　　比较脱壳前后文件的大小,通过对比发现，小了太多。看下我修复好的程序的大小

　　现在来处理附加数据。用到工具 HWorks

　　打开没有脱壳的文件。先找下 附加数据的位置为 R.偏移+R.大小即

　　0000F000+00000C000=0000FC00

　　CTRL+G 输入FC00 然后按下SHFIT

　　再打开脱壳后的文件

　　好了，成功了。