ZP脱壳后资源修复问题
我用vs随便编译了个MFC程序,之后加了个ZP1.4.9的壳(无授权项),即默认选项加壳,之后进行脱壳测试,很好脱,直接ESP到OEP,IAT修复的话,保存之前无壳MFC程序的IAT树文件,载入树文件修复就行了,
不到两分钟的事,但是我发现,把脱壳后的程序放到ResourceHacker里,窗体等信息不显示的。
而且zp加壳默认是对资源进行加压的,
https://im.gurl.eu.org/file/f8b794260955dff646124-beef3e1f4d9c42d8c5.png
脱壳后如下图:
https://im.gurl.eu.org/file/0fe4afe31d9888dc681c9-b8231d86daf76d1f77.png
很明显,这是不对的,而正常无壳的如下:
https://im.gurl.eu.org/file/b236ee9d5251bd3d6340d-7d307436acfc17a749.png
请问要如何修复能像无壳程序一样,放到ResourceHacker能显示对话框,我想修改一下窗体上的字,如标题等。
zp脱壳要修复资源吗?资源是怎么修复的?求助脱壳大佬指点迷津。
附件:
https://www.123865.com/s/YL29-yQvRh
本帖最后由 lies2014 于 2024-10-12 18:09 编辑
资源段只是复制了一份到 ".textbss" 段,并将某些项目删除,并将这些项目指向了 ".textbss" 段
Resource Hacker 处理这样的资源的确有问题,只能处理".rsrc" 段内的资源
ResourceTuner、x64dbg、DIE 等都能正确处理,运行也没有问题,系统是承认这种重定向的
你想用 Resource Hacker 修改被移走的资源,有个折中的办法:
1、用 StudyPE+ 修改区段,让 Resource Hacker 将 ".textbss" 段中相应内容识别为 ".textbss" 段
(此时程序已不能运行,只是为了能修改)
2、将资源表指向刚才修改的区段
3、现在就可以修改资源了,修改完需要恢复前面的区段和资源表偏移才能运行
当然,你也可以将 ".textbss" 段中的原始资源段复制出来,重建一个资源段
这样就一劳永逸,但是复杂一点,需要对 PE 结构有很清晰的认识
emmm,ResourceHacker有点问题,换一个软件就好了
Jx29 发表于 2024-10-12 13:38
emmm,ResourceHacker有点问题,换一个软件就好了
在发帖提问之前,我用这个软件试过了,是可以,但是我想还是脱壳的问题,毕竟无壳程序在hacker上可一点问题都没有。 https://www.52pojie.cn/thread-48812-1-1.html
在论坛上找到了一个资源修复程序,可以修复资源 @朱朱你堕落了感谢楼主提供配套练手软件。
页:
[1]