8、装配文件

现在进入最后的装配工作了，用 LordPE 的 PE 编辑器打开 dumped_.exe，点击区段按钮，进入区段编辑功能中：



现在我们要把磁盘上的 data.bin 和 rsrc.bin 都添加到程序中来，右键选择从磁盘载入段，按顺序添加 data.bin 和 rsrc.bin，添加好后改一下区段名和标志，最终效果如下：



现在退出区段编辑，点目录按钮，修正一下资源及其他的目录。在这个程序中输入表目录已经不需要我们再改了，我们要改的就是资源目录的 RVA 及大小，把其他没用到的目录 RVA 和 大小清零。我们再用一个 LordPE 的 PE 编辑器打开备份的 dumped.exe 文件来做参考，最终修正效果如下：



9、修正可选头及最终优化

保存以上工作后关掉 LordPE，我们可以看到 dumped_.exe 的图标已经出来了，说明资源已经修复。现在再用 PETools 的 PE 编辑器打开 dumped_.exe（这里换 PETools 的原因是因为 PETools 编辑 PE 头的功能比较强），点击可选头按钮，进入可选头编辑器。现在主要要修改的就是代码基址和数据基址，代码基址一般就是第一个区段（我们这里是 .text 段）的 RVA，所以这里应该填 1000，数据基址一般指除了代码外的部分开始的 RVA，我们这里代码部分 RVA 是 1000，大小是 1000，加起来就知道除了代码外的数据 RVA 是 2000，就是我们第二个段 .idata 的 RVA。修改完这些内容后最后要纠正一下镜像大小，否则程序还是不能运行。最终修改效果如下：



上图中的代码大小和已初始化数据大小改不改都无所谓，我是为了好看点把它改了。一般的代码大小就是指 .text 段的大小，.text 段后面所有段的大小加起来就可以作为已初始化数据大小。全部改完后点镜像大小后面的那个“?”按钮，纠正一下镜像大小，现在就可以保存退出 PETools 了。

到这基本工作已经完成了，修复后的 dumped_.exe 大小为 20K，运行一下，一切正常。不过这里的 20K 大小还和我们原来的 6.5K 有差距，如果手工修改的话我们可以先把文件对齐的粒度设为 200，再用16进制工具打开程序，把按照 200H 倍数对齐的各个区段的多余的全是 0 的部分删掉，再根据保留下来的部分调整一下区段的 RAW 偏移和大小。当然你可以用 PETools 或 LordPE 的重建功能来重建一下程序，也会完成上述功能。不过我们这里是希望能用汉化工具正常汉化的，所以我们不能用 PETools 或 LordPE 的重建功能来重建程序， 因为它们重建的程序虽然可以正常使用，也比较小，但若用来汉化是很容易出错的。这里还是不要手工来调整了，我们直接用一下 PE Optimizer 这个工具来优化程序一下，这个工具优化出来的程序基本上和手工修改的差不多。优化后我们再看一下大小：20K->6.5K，呵呵，和我们原来的程序一样大。

二、 WinUpack 主程序的脱壳及优化

如果文章写到这里收工的话，估计会有人说你自己编个程序，再加个壳来谈脱壳后的优化，你完全可以对照原程序来进行啊。OK，那我们就来个没有对照的，冒着被 dwing 狂扁的危险，我就拿 WinUpack 0.39 final 中的那个中文版 WinUpackC.exe 来开刀。不过 dwing 要来了，大家要掩护我逃跑啊，呵呵。

WinUpackC.exe 脱壳我就不多说了，OEP 是 0040A4BE，直接在 OD 中 CTR+G 转到地址 0040A4BE，F4 运行到这，就可以用 LordPE 完全转存了。我们还是把转存后的文件保存为 dumped.exe。现在不要关 OD，在 ImportREC 中选择 WinUpackC.exe 的进程，输入 OEP：A4BE，选自动查找 IAT，可以得到正确的输入表，大小是 00000B18。保存一下树文件备用。让 OD 和 ImportREC 都开在那，现在我们用 LordPE 的16进制编辑区段功能来观察一下第一个区段中的内容。具体怎么分析原来区段的起始地址我前面已经说过了，此处只谈结果。经分析可知偏移 1000-AFFF应该是代码段，大小为 A000；B000-DFFF 应该是数据段，E000-FFFF 应该是另一个段；功能我不是很清楚 ，可能原来也用于存放输入表信息的。我就把它和前面的 B000-DFFF 一起当成数据段，这样数据段就大小就是10000 － B000 ＝ 5000；10000-11FFF 应该是资源段；12000-12FFF 包含了部分输入表的信息，应该是加壳后搞出来的。不过这个段对我们毫无作用，不作考虑。现在对我们有用的就是偏移 1000-FFFF 的部分，这里有两个区段。根据 ImportREC 中所显示的输入表大小 00000B18 及前面两个段用到的偏移，我们只要在偏移 10000 处添加一个大小为 1000 的段用来存放输入表信息就可以了。因此资源段我们应该让它从 11000 开始。

上一页  [1] [2] [3] [4] [5] 下一页