Overlay[附加数据]的一般处理方案

前言：大家好，我是wellin,昨天已经介绍了脱壳的几种常用方法。但是由于软件作者出于保护目的，把一些相关的代码都保存到附加数据里去了，这样在你脱壳以后相关数据都会被脱掉，就达到了让人无法逆向的目的。所以今天分享一下Overlay[附加数据]的一般处理方案
教程开始首先第一步查壳
然后载入OD脱壳，因本次主要讲解Overlay[附加数据]，脱壳方法请先移步到https://www.52hb.com/forum.php?m ... amp;page=1#pid66636。
脱壳后运行程序出现错误提示
剩下的我们来处理附加数据吧，Overlay[附加数据]的一般处理方案在这里介绍两种：
方法一（有点笨）：
将未脱壳程序用WINHEX打开后拉到最下面一点一点向上找一大块为00的区段，之后选中结尾第一个不为0的数据，右键选块开始
然后拉到最下面选中最后一个数据，右键选块结束
在所选区域右键编辑复制到剪切板正常。
接着用WINHEX打开已脱壳文件拉到最后，选中最后一个数据粘贴保存即可
方法二（计算）：
用LordPE选择PE编辑器打开未脱壳文件，点击区段
一般程序均看最后一个区段，v开头代表虚拟，R开头代表物理，R开头的两个是我们要用到的，用计算器将二者相加
CA00即为我们方法一所找到的地方，余下步骤相同不一一赘述
处理后的软件即可正常打开
附：附件查毒
教程结束，希望大家能有所收获，新手教程大牛勿喷，你的支持就是我的动力
附件已上传，包含源文件，脱壳文件与修复后文件

技术贴，很不错，谢谢老师。

沙发是我的!      支持楼主 !  有没有沙发奖励!      沙发木有了!

这个技术贴不错，支持！！！

很适合新手的教程，学习了！

很受用，  谢谢楼主分享。   以前学过，  现在来复习一下。  温故而知新。

这个附加数据我记得我也讲过的、、你说的是方法，没有解释到底是为什么，就比如方法一，为什么是这么一块为00的地方、这些都没说

谢谢分享。

果断回帖，楼主很有成就感。