文件结尾0x21长度的数据：
35          '5'         5个文件？没其他东西来比较。不确定
344D6178    '4MAX'      标记？
00C40B00    0xBC400     附加数据起始偏移
FC1A0100    0x11AFC     第二个附加文件相对于第一个附加文件的偏移，同时也是第一个附加文件的长度
59FE0700    0x7FE59     第三个附加文件相对于第二个附加文件的偏移，同时也是第二个附加文件的长度
00CA0A00    0xACA00     同上，不过这似乎是第四个文件的，第三个文件明显是一个ini，而第四个是一个exe
E1000000    0xE1        同上，第三个文件
80060000    0x680       同上，第五个文件
6EB43201    0x132B46E   时间：20100206，把这个数当作一个10进制数换算成16进制，就是这个0x132B46E了。

所以如果你想修正附加数据的话，应该是把0xBC400改成脱壳之后的文件的镜像大小即可，然后把附加数据在贴到文件后面就行了。

理论上是这样就行了，夜深了，懒得测试。再说我很笨，只会玩山口山......

我弄了好久都搞不定啊

0x132B46E吗？  我看的SetFilePointer断点处相同的Offset值却是0x000cdefc
脱壳前程序调用了多次SetFilePointer 脱壳后调用了两次 只有0x000cdefc这个值是相同的！难道不是追查相同的值么？
0xBC400改成脱壳之后的文件的镜像大小即可-----可是脱壳后的程序根本就不调用0xBC400 这个数值！他读取数据的是另外一个偏移量！

0xBC400(附加数据基址)+0x11AFC = 0x000cdefc(奇怪的值);

等待大牛中！！！！！！！！！！~~~~~~~~~~~~~~~~~~~~

看到楼主更强！一定要努力学！

正常的拉，慢慢来.