浅谈程序脱壳后的优化

5、修正及添加区段

现在点击区段按钮，修改一下区段的一些属性。因为前面我们已经把区段改为 1 了，现在打开区段后，只看到一个 .text 区段。在这个区段上右击，选择编辑区段头：



因为我们现在的 .text 段是从偏移 1000H 开始的，大小为 1000H，所以我们要把上面的虚拟偏移和 RAW 偏移都改成 1000，虚拟大小和 RAW 大小也要改成 1000。在弹出的对话框上进行设置：



完成上述修改后点确定，回到区段编辑器中，现在我们要添加一个大小为 1000H 的段，用来存放输入表。这里可能大家也有疑问：你是知道原来的输入表段大小为 1000H，如果你不知道呢？你知道要添加多大的一个区段？其实我这里添加区段的大小是根据 ImportREC 的新建输入表信息中的大小来的：



我们可以在 ImportREC 中看到新建输入表的大小是 18CH，根据区段的对齐粒度 1000H，我这里就选大小为 1000H，已经够用了。这里要留一点余量，有时脱一些壳修复时，余量留的过小则修复的输入表不完全，这时可以从文件中删除这个区段，再按 1000H 的对齐粒度新建一个大一点的区段，重新修复输入表。现在继续我们前面的话题，在区段编辑器中右键点击，选择添加区段菜单项，在弹出的对话框上进行设置：



上面我打了红框的是要修改的地方。PETools 默认添加区段的名称是 .NewSH，为了便于识别这个段是用于存放输入表信息的，我们把名称选为 idata。其他的 RAW 数据及虚拟数据大小我们都填 1000，选择用 0x00 填充区段，现在点确定，一个新区段就添加进来了：



从上图中我们可以看出 .idata 段的虚拟偏移是 13000，这肯定不正确，我们应该保证各个段的虚拟地址都是连续的。以上图为例，.text 段的虚拟偏移是 1000H，虚拟大小是 1000H，这样虚拟偏移 ＋ 虚拟大小 ＝ 1000H ＋ 1000H ＝ 2000H，可知下一个区段的虚拟偏移应该是 2000H。同样道理 RAW 偏移也应该是连续的，虽然有时候我们看到有类似这样的：第一个区段：RAW 偏移：400H，RAW 大小：1D0；第二个区段：RAW 偏移：600H，RAW 大小：1B8，这样看起来好像并不连续啊。因为 400 ＋ 1D0 ＝ 5D0，下一个区段应该从 5D0 开始才对。但如果你用16进制工具打开文件看一下就知道了。这种情况是文件粒度按 200H 对齐，区段中的实际数据没有 200，这里显示的只是实际的数据大小，剩下的按 200H 对齐的部分用 0x00 填充了。所以下一个区段还是按文件对齐粒度设置偏移的。同样，文件对齐粒度是其他数值时也存在这种情况。说了这么多，大家应该也明白了，编辑一下 .idata 的区段头，把虚拟偏移 13000 改成 2000。至于后面那个特征值为什么可以改成 C0000040，我就不多说了，在编辑区段的时候点一下特征值后面那个 ... 按钮，上面应该可以看到详细的说明。

6、修正输入表

现在我们的前期工作暂告一个段落，保存好我们的修改退出 PETools，现在轮到 ImportREC 上场了。你的 ImportREC 应该没关吧？我们把添加一个新的节前面的勾去掉，在新建输入表信息中 RVA 填 00002000（就是我们新建的那个 ,idata 段的偏移地址），点击修复转存文件，选择我们刚才修改的 dumped.exe 进行修复，得到 dumped_.exe。

7、修正资源

到这还有两个重要的事别忘了，一个是我们保存的那个数据段（data.bin）要放进程序里来，还有个就是资源还没有。现在我们先把资源弄出来。拿出 dREAMtHEATER 兄的 FixRes，选择我们原来备份的那个 dumped.exe，使用 FixRes 的 Dump 功能，把资源段按我们定义的 RVA Dump 出来：



因为前面还有一个数据段 RVA 是 3000，大小是 1000，所以我们把新建资源段的 RVA 设为 4000。按上面那样设置好后我们就可以点击 Dump Resource 按钮来 Dump 资源了，文件被保存为 rsrc.bin。

上一页  [1] [2] [3] [4] [5] 下一页