浅谈程序脱壳后的优化

3、分离区段

要说明一下，分离区段和下面的一节修正 PE 头在其他脱壳文件的优化中并不是必须的，这里主要针对 WinUpack 的壳。现在关掉 LordPE，用 WinHEX 打开 dumped.exe，ALT+G，填入偏移 1000，转到相应位置，在偏移 1000 处点右键，选择定义选块，输入相应数据后点确定：



在选好的选块上右键选择复制选块->进入新文件，另存为 text.bin：



其实这个偏移 1000H，长度 1000H 的段不保存也无所谓，这里主要是让大家熟悉一下保存的方法。同样，我们把起始偏移为 3000H，大小为 1000H 的那个段也另存为 data.bin。有人可能要问了，你为什么不把起始偏移为 2000H，大小为 1000H 的那个区段也保存下来？呵呵，因为我知道这里是原来的放输入表信息的那个段，现在已经被破坏了，我就不要了。同样，偏移 4000H 以后的段我也不保存了，那里是资源段，因为在修正过程中我可能要用另外的 RVA 地址来重建资源，所以不保存了。现在我们在 WinHEX 中再定义一个选块，从偏移 2000H 直到文件尾，选中后删除这个选块。

4.修正PE头

现在我们还要做一件事，因为 WinUpack 把 PE 头搞得太乱，我们要找个正常的替换一下。这里我选择 XP_SP2 下的记事本，用 WinHEX 打开记事本，从文件开始偏移为 0 的地方选择一个大小为 1000H 的选块，右键选择复制选块->以十六进制数值方式，现在转到我们正在 WinHEX 中编辑的 dumped.exe，定位到文件开始偏移处，右键选择剪贴板数据->写入(从当前位置覆写)，把记事本的文件头粘贴过来。



完成上述工作后保存 dumped.exe，现在文件大小变成 8K 了，用 PETools 的 PE 编辑器来打开这个文件，进行一些修改。先点击文件头按钮：

 

把区段数由 3 改成 1 后确定，再点击可选头按钮：



改一下上面的镜像基址为 00400000，点击确定。这里可以参考原来备份的 dumped.exe 文件来修改（我前面已经说过要备份原来的那个 dumped.exe 文件用作参考，你不会没备份吧？）。

上一页  [1] [2] [3] [4] [5] 下一页