| 网站首页 | 资讯 | Hack | 漏洞 | 网管 | 编程 | 培训 | 品黑页 | 软件 | 论坛 | 动画 | 视频 | 经典 | 教学站 | 黑客点睛 | 
免费服务 我要发布 在线破解 黑客游戏 精华收集 免费空间 网络硬盘 独家报道 黑器点播 免费 FTP 交换资源
收费服务 黑客培训 光盘刻录 黑客书籍 视频下载 主力频道 空间域名 网站建设 特色服务 解决方案 我要投诉
您现在的位置: 华夏黑客同盟 >> Hack >> 加密解密 >> 正文 用户登录 新用户注册
脱壳后软件减肥方法         ★★★ 【字体:
脱壳后软件减肥方法
作者:不详 文章来源:华盟收集 点击数: 更新时间:2008-5-11

  脱壳后文件节表:

  建议装入地址: 0x00400000

  ----------------------------------------------------------

  节区名称 节区大小 虚拟地址 Raw_尺寸 Raw_偏移 节区属性

  ----------------------------------------------------------

  .text 00003FD4 00001000 00003FD4 00001000 60000020

  .data 0000084C 00005000 0000084C 00005000 C0000040

  .idata 00005E02 00006000 00005E02 00006000 C0000040

  .reloc 00000AC6 0000C000 00000AC6 0000C000 42000040

  .text1 00020000 0000D000 00020000 0000D000 E0000020

  .adata 00010000 0002D000 00010000 0002D000 E0000020

  .data1 00010000 0003D000 00010000 0003D000 C0000040

  .reloc1 00010000 0004D000 00010000 0004D000 42000040

  .pdata 00030000 0005D000 00030000 0005D000 C0000040

  .rsrc 00005000 0008D000 00005000 0008D000 40000040

  .mackt 00001000 00092000 00001000 00092000 E0000060

  其中.rsrc是文件资源节,.mackt节是imprec修复输入表时候新加的节。

  容易发现有用的节只有

  ----------------------------------------------------------

  节区名称 节区大小 虚拟地址 Raw_尺寸 Raw_偏移 节区属性

  ----------------------------------------------------------

  .text 00003FD4 00001000 00003FD4 00001000 60000020

  .data 0000084C 00005000 0000084C 00005000 C0000040

  .idata 00005E02 00006000 00005E02 00006000 C0000040

  .rsrc 00005000 0008D000 00005000 0008D000 40000040

  .mackt 00001000 00092000 00001000 00092000 E0000060

  其他节都是脱壳后留下的无用的垃圾,所以只要将它们删掉就可以了达到我们减肥的效果了。当然对具体的壳也要删除的节也不同,具体问题具体分析吧,。

  Let’s go!

  第一步:从节表中删除

  先几下这几个节的起始位置,几个节的Raw是从0000C000到0008D000-1

  LordPE中PE Edit中在这几个节点右键选"wipe section header",将这几个节从节表中删除.

  第二步:从文件中删除

  HexWorkshop打开该文件,选择偏移0000C000到0008D000-1,然后按del删除。

  第三步:调整节表属性

  只是删除了节表项目和文件中内容还不行,还要设置好节属性。

  可以通过编程实现资源节的RVA调整,使RVA偏移等于文件偏移,较麻烦,且.mackt存有输入表信息很多RVA值不好改动。

  我们用简单的办法,不动它的RVA地址,只改变它的文件偏移。

  PE Edit中 先点击sections,然后选择.rsrc节,右键edit section header

  因为删除的节首的Raw offset为0000C000,所以现在.rsrc节的节首Raw Offset为0000C000,更改后。

  .rsrc下面的节.mackt的Raw_偏移 = .rsrc节的Raw_偏移 + .rsrc节的Raw_尺寸 = 0000C000 + 00005000 =

  00011000

  故更改.mackt 节的Raw_偏移为 00011000

  还没完,如果呢现在试验一下,就会报告不是有效的win32程序

  还要调整一下.rsrc节上面的这一节.idata的节区大小,保证相邻节的VA地址是连续的

  (.rsrc节的虚拟地址0008D000) - (.idata节的虚拟地址00006000) = 00087000

  所以设置.idata的节区大小为00087000

  第四步:调整数据目录表属性

  由于我们把.reloc节给删除了,所以还要在数据目录表中将Relocation Table清0,当然这一步不是必要,

  因为exe文件基本上不会用到这一节的。

  保存,试验一下,是不是OK了呢,588K --> 72K,比起原先52K虽然还大了一点,但已经比较满意了。

上一页  [1] [2] 
责任编辑:朱倩  联系方式  Email:朱倩
电话:51228163
  • 上一篇黑客:

  • 下一篇黑客:
    • (只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
    姓 名:
    		 * 游客填写  ·注册用户
    主 页:
    评 分:
    		 1分 2分 3分 4分 5分
    评论内容:
    验证码: *
  • 请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。
  • 严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论 。
  • 用户需对自己在使用本站服务过程中的行为承担法律责任(直接或间接导致的)。
  • 本站管理员有权保留或删除评论内容。
  • 评论内容只代表网友个人观点,与本网站立场无关。
    • 最新hack更新
    最新推荐资讯
    相关黑客
    关于Armadillo 3.**的脱壳
    eXPressor v1.1脱壳技术
    乱乱Softwrap脱壳总结
    软件破解之手动脱壳4
    软件破解之手动脱壳3
    软件破解教程手动脱壳
    手动脱壳的基础知识
    菜鸟啄硬壳―我的脱壳手记
    菜鸟脱壳成长历程
    壳,加壳,脱壳
    最新会员软件
    最新推荐视频
    最新推荐动画

    Copyright @ 2005 77169.Net Inc. All rights reserved. 华夏黑客同盟 版权所有
    北京市电信通提供网络带宽

    mailto:webmaster@77169.net
    咨询QQ号:836982 / 59280880
    联系站长 QQ38588913
    热线电话: 86-10-67634029/676229433
    京ICP证041431号