最近练习脱壳，将用98的记事本用Armadillo 3.10加壳作试验，52K --> 324K脱壳后文件大小达到了588K，比脱壳前竟然大了10倍多，于是想将之减肥，查看雪精华，没找到这方面的内容。正在学习PE文件结构，于是自己动手试验一下。

　　先看看加壳前文件的sections

　　建议装入地址： 0x00400000

　　----------------------------------------------------------

　　节区名称 节区大小 虚拟地址 Raw_尺寸 Raw_偏移 节区属性

　　----------------------------------------------------------

　　.text 00003FD4 00001000 00004000 00001000 60000020

　　.data 0000084C 00005000 00001000 00005000 C0000040

　　.idata 00000E02 00006000 00001000 00006000 40000040

　　.rsrc 00004FB8 00007000 00005000 00007000 40000040

　　.reloc 00000AC6 0000C000 00001000 0000C000 42000040

　　加壳后：

　　建议装入地址： 0x00400000

　　----------------------------------------------------------

　　节区名称 节区大小 虚拟地址 Raw_尺寸 Raw_偏移 节区属性

　　----------------------------------------------------------

　　.text 00003FD4 00001000 00000000 00000000 60000020

　　.data 0000084C 00005000 00000000 00000000 C0000040

　　.idata 00005E02 00006000 00000000 00000000 40000040

　　.reloc 00000AC6 0000C000 00000000 00000000 42000040

　　.text1 00020000 0000D000 00014000 00001000 E0000020

　　.adata 00010000 0002D000 00005000 00015000 E0000020

　　.data1 00010000 0003D000 00006000 0001A000 C0000040

　　.reloc1 00010000 0004D000 00002000 00020000 42000040

　　.pdata 00030000 0005D000 0002A000 00022000 C0000040

　　.rsrc 00005000 0008D000 00005000 0004C000 40000040

[1] [2] 下一页