浅谈程序脱壳后的优化

6、修正输入表

现在我们的前期工作暂告一个段落，保存好我们的修改退出 PETools，现在轮到 ImportREC 上场了。你的 ImportREC 应该没关吧？我们把添加一个新的节前面的勾去掉，在新建输入表信息中 RVA 填 00002000（就是我们新建的那个 ,idata 段的偏移地址），点击修复转存文件，选择我们刚才修改的 dumped.exe 进行修复，得到 dumped_.exe。

7、修正资源

到这还有两个重要的事别忘了，一个是我们保存的那个数据段（data.bin）要放进程序里来，还有个就是资源还没有。现在我们先把资源弄出来。拿出 dREAMtHEATER 兄的 FixRes，选择我们原来备份的那个 dumped.exe，使用 FixRes 的 Dump 功能，把资源段按我们定义的 RVA Dump 出来：

因为前面还有一个数据段 RVA 是 3000，大小是 1000，所以我们把新建资源段的 RVA 设为 4000。按上面那样设置好后我们就可以点击 Dump Resource 按钮来 Dump 资源了，文件被保存为 rsrc.bin。

8、装配文件

现在进入最后的装配工作了，用 LordPE 的 PE 编辑器打开 dumped_.exe，点击区段按钮，进入区段编辑功能中：

现在我们要把磁盘上的 data.bin 和 rsrc.bin 都添加到程序中来，右键选择从磁盘载入段，按顺序添加 data.bin 和 rsrc.bin，添加好后改一下区段名和标志，最终效果如下：

现在退出区段编辑，点目录按钮，修正一下资源及其他的目录。在这个程序中输入表目录已经不需要我们再改了，我们要改的就是资源目录的 RVA 及大小，把其他没用到的目录 RVA 和 大小清零。我们再用一个 LordPE 的 PE 编辑器打开备份的 dumped.exe 文件来做参考，最终修正效果如下：

9、修正可选头及最终优化

保存以上工作后关掉 LordPE，我们可以看到 dumped_.exe 的图标已经出来了，说明资源已经修复。现在再用 PETools 的 PE 编辑器打开 dumped_.exe（这里换 PETools 的原因是因为 PETools 编辑 PE 头的功能比较强），点击可选头按钮，进入可选头编辑器。现在主要要修改的就是代码基址和数据基址，代码基址一般就是第一个区段（我们这里是 .text 段）的 RVA，所以这里应该填 1000，数据基址一般指除了代码外的部分开始的 RVA，我们这里代码部分 RVA 是 1000，大小是 1000，加起来就知道除了代码外的数据 RVA 是 2000，就是我们第二个段 .idata 的 RVA。修改完这些内容后最后要纠正一下镜像大小，否则程序还是不能运行。最终修改效果如下：

上图中的代码大小和已初始化数据大小改不改都无所谓，我是为了好看点把它改了。一般的代码大小就是指 .text 段的大小，.text 段后面所有段的大小加起来就可以作为已初始化数据大小。全部改完后点镜像大小后面的那个“?”按钮，纠正一下镜像大小，现在就可以保存退出 PETools 了。

到这基本工作已经完成了，修复后的 dumped_.exe 大小为 20K，运行一下，一切正常。不过这里的 20K 大小还和我们原来的 6.5K 有差距，如果手工修改的话我们可以先把文件对齐的粒度设为 200，再用16进制工具打开程序，把按照 200H 倍数对齐的各个区段的多余的全是 0 的部分删掉，再根据保留下来的部分调整一下区段的 RAW 偏移和大小。当然你可以用 PETools 或 LordPE 的重建功能来重建一下程序，也会完成上述功能。不过我们这里是希望能用汉化工具正常汉化的，所以我们不能用 PETools 或 LordPE 的重建功能来重建程序， 因为它们重建的程序虽然可以正常使用，也比较小，但若用来汉化是很容易出错的。这里还是不要手工来调整了，我们直接用一下 PE Optimizer 这个工具来优化程序一下，这个工具优化出来的程序基本上和手工修改的差不多。优化后我们再看一下大小：20K->6.5K，呵呵，和我们原来的程序一样大。

上一页  [1] [2] [3] [4] 下一页