脱壳过程中有如下标志就说明文件有附加数据,在有附加数据的情况下文件脱壳后无法正常运行,必需通过工具把数据修复。
一、 处理附加数据通用工具:
1. overlay最终版
2. WIN HEX
3. WORKSHOP
二、处理方法(HexWorkShop):
1. 使用HexWorkShop打开要脱壳的程序
2. 打开LoadPE然后按照截图步骤点击
注:第二步选中的文件是要脱壳的文件
3.点击【区段】按钮选中最后一个区段
4. ROffest+RSize==400+8800==8C00
注:是十六进制计算
5. 在HexWorkShop界面点击Ctrl+G然后输入16进制偏移地址点击确定
6.界面跳转到如下界面
7. 从刚刚跳转的哪一行第一个非零数字的位置开始一直到最后一行,进行复制操作
8. 使用HexWorkShop打开已经脱壳的文件拉到最后选择【粘贴】
9. 然后将文件进行保存
10. 运行保存好的文件,OK,大功告成了!