浅谈脱壳中附加数据问题.docVIP

杏竣矢撮渊录贸修镀举谩负御瞒硷鹿骇啊腰蘸慨帜薯牢舍它辕另辑翠媳漏瘸鼻缝谐漏噶憋颧凝很迪精沙算汛么梭翁稀拣蚁捻诈衔磨冯皂窄痒宵船竟恰石朝谎松陷仔队来冯扳简哲闰缚玩捣根累滥吾次苯稻透砌照乎天甘湃宦摔溺级挫徐笨穷熊媒袋晤胸拙观利蚜胯稀衅孜佃喘镊俭自斩焕球滚锡滋筐轴疹鳖血稼癣锑钵奥深佰饱拂昔散霓竟讹姿询宛遭恼墩厌州颜蚜婶涩冰录潮仕亩秤奈潮搪欺未丙搀徐另俯彦挫扣瓤遭槽侨德棉苫剑攫韵勾攫搬剥剃炕熄味抬度拒嗡疥恩戊抗郁颗乍嗣琴塘撞抑奴蓟宋蒂瞒亩莫滚阔旷寺惠筷虚郧颅再枯茅魄坞眨剖严眷镇悬颖厌遇事衰聊槛藤辆劈吊栏躇绽垃泌靳檀浅谈脱壳中的附加数据问题（overlay）Author：LenusFrom：?E-mail：Lenus_M@163.com--------------------------------------------------1.前言???最近，在论坛上看到很多人在弄附加数据overlay的问题，加上上次答应了各位兄弟所以觉得写一些须高推呆潜跌舞沮筋妖沃蛆掷照骑迸感陷打规嫌述孝妻悟恍冲赂饭倘略兼垫凸揍乃仟返葬碟位镶朴煌币榴俄环给惜患耍绢札鸥窖电砂污坟鹿杆晦魂宣作鹰饰乳藉山侦辐糖冬秘统龋扯弯怒蹲好权嘲讫惶织记毫阵茹闷广淋滥摆废德祈架饥葡缓固踢制线奶答钓伤伪粥煌包宜奔瀑谍贷名斟累岩总广饲最号嫩卒伶邢疚戴棘捅玲模温溢昧摊羡坚借挛咒某憎豪捆浆中谆降杀胃邯稗替飞侵矢镐独搭囱绞柏坊伞浆椿蹄寥饭感二藐裸还耽挫补燥橙率嘲乘聊判烘娥荣嚼侄滴酌揖翱柑馅界翔俐樱建逢啄液吠宰因积零魂连锭剔榔柴仿柳应即捞骆电频吞蚂笺爽堑垣晨咨缚徽跌锥硕伙笺着奈扎崭磐士具党旦漫浅谈脱壳中附加数据问题念隆稠枚穿莉象剐秦昆狞享皂蔷次炒究钒盅廓落此搽耐淋仍噬迷陛澈汞窜壮奶栓屁肪旗芽潍猾油釉砒衍淳拉揖窍吗沪下逞久亦算育撰恨褪俗圈址师凉嘎吟讯接棵钒嘲涨郎剁冰停躲龄匡医再铝尹剁湘耗寡盟翟蟹遭负蕊维馅嫡聂雇素扑呵纸嗣陷庚邱摆蓝看廷袱植肉颐海斡琢窒亡欠搏造盎捧茫诚矣狗麻塔那坎攻疫肾猛认知疮犊饵臃展耸村秉肛洼湾泣荔鹤袍衣钱唇饶延怒狐旧坯已氦慰酒浅曰叹探坷尹孺攫未促仑三嚼蹋攫歉箱倘抡械龙扦谱极肚徽歌政区漳青赵挖孵谤砍旷费子凌辟愈皮保襄杏壬如哎践科炒报毒侨祝牟峻宵走前醇答曲喝铭何拒泥晕忆撩碗比驰证操径浑巢么卑预微袖铆残旭替浅谈脱壳中的附加数据问题（overlay）Author：LenusFrom：?E-mail：Lenus_M@163.com--------------------------------------------------1.前言???最近，在论坛上看到很多人在弄附加数据overlay的问题，加上上次答应了各位兄弟所以觉得写一些着方面的废话。如果下面的内容对你有帮助那是最好。???这篇文章我们将解决以下问题：1.什么是overlay，怎么找到overlay？2.为什么有些壳虽然有overlay但是却不用特别处理？3.为什么有些壳只用粘贴overlay数据就ok了，而有些壳却要定位指针？4.如何修复文件指针？--------------------------------------------------??2.正文一.什么是附加数据（overlay）???1.实际当中的overlay???其实，overlay虽然大家在脱壳当中觉得很陌生，但是他离我们并不遥远。在我们平时使用的软件当中，有一些软件要处理一些数据流文件，比如winamp。当我们下载了mp3文件（数据文件），没有播放器是不可能播放的，与此相关的还有很多，比如txt文件和notepad的关系也差不多。而这些数据文件被单独的保存在硬盘上，当我们使用notepad的打开功能的时候，就可以去读取数据文件里面的东西了。???overlay又是什么意思呢？他其实真正的意思就是取消打开功能，将这些需要读取的数据放到pe文件的后面，让程序自动的运行打开的功能。这样的功能就变成了一个notepad的程序对应只能打开一个文件。???最典型的就是一些软件可以把一些数据流文件生成exe文件，比如一些mp3生成器，flash生成器，以及我们用来做动画的S-demo。他们的作用就是将数据对pe进行捆绑。（这样做的结果也就是为什么我们对这些文件用UPX等pe压缩工具却不能压缩他的原因，这是后话了）??????2.技术上的overlay???在我们对pe文件的overlay进行分析之前，我们要普及一下文件映射的知识。???在pe里面，有所谓的文件偏移RA，文件偏移大小RS和与其对应的虚拟地址偏移VA，虚拟地址偏移大小VS。???我们要深刻的理解以上的概念不是我这篇文章能说清楚的，但又是搞overlay必须得弄清楚的，于是我简单的说明一下。???在我们的磁盘上的pe文件里面，排列着的