我有一个包含三个文件的exe应用程序。我知道这些文件在打包之前是如何命名的,我有大约80%的打包文件和一些主要的可执行文件二进制代码。我还发现执行在\AppData\Local\Temp\中创建并使用了两个文件MBX@pid@3bytes.###,其中包含我相信的应用程序条目。当我使用PEiD扫描文件头时,得到的是Nothing found [Overlay] *。提取的文件已经打包到可执行文件中。 ,使用MoleBox Pro。这就是FastScanner的所有猜测(与以前的应用程序相同)。无论如何,回到以前的应用程序中根本不是问题。 Molebox已经死了很久,所以我怀疑它是否被更新的版本所包装。
还弄乱了ollydbg,我发现该应用程序在我之前调用的这两个文件上都有入口点。

评论

除了“您想要的结果”之外,您还尝试了什么?你困在哪里?您需要什么帮助?

我试图通过PEiD检测打包程序,但没有结果。我试图确定是否可以在可执行文件中找到原始打包文件,但已加密(打包)。我搞砸了ollydbg来找到正确的EP,但是没有成功。我也尝试过将拆包器用于诸如molebox或UPX的常见打包程序。我不是很擅长,这就是为什么我来这里寻求帮助,我不知道我还能做什么

请在问题本身而不是评论中尽可能详细地说明,以便尽可能多的人看到附加信息。

还要说明一下您如何知道此可执行文件中包含三个文件。

因为我知道已经打包了什么,所以我之前已经对其进行了拆包,但是在那之后使用molebox对其进行了打包,PEiD向我展示了标题中的内容,因此我知道如何使用它。现在它已经装满了未知的包装工,这就是为什么我对此感到好奇,但是我被卡住了,我不知道该如何处理。另外,如果“我希望的结果”听起来很粗鲁,我很抱歉,这不是我的意图。

#1 楼

事实证明,使用相同的Molebox Pro,较新的版本与以前的版本打包在一起。但这在运行时与PE Headers混为一谈,因此我需要首先将其从那些掩膜层中解开。 Scylla是实现此目的的完美工具。