调整区段对齐粒度为1000，然后用16进制查看，如果在1000的倍数开始的地址处开始有新的数据，就从那里开始新的区段，注意计算好映像大小。
这里有个优化好的，你可以看看：

下载

我这个脱壳程序的rva从5000到8000可以再分一个区段，自己琢磨一下。

上传的附件：

• Snap1.jpg （0.00kb，84次下载）

IAT和资源段问题不大，我没搞清楚的是代码段和数据段应该从哪开始分开。

终于搞定了，在7000之内。不过感觉3个区段好像还不是太完美,同时PEid显示的好像还不正确。汇编写的程序默认应该是几个区段呢？

上传的附件：

• UnPackEd&ReBuild.rar （0.00kb，5次下载）

汇编入口点是这样的：

1.
00401000 >  6A 00           push    0
00401002    E8 5D910000     call    <jmp.&kernel32.GetModuleHandleA>
00401007    A3 68B44000     mov     dword ptr [40B468], eax
0040100C    E8 8D930000     call    <jmp.&comctl32.InitCommonControls>
00401011    E8 A5190000     call    004029BB
00401016    6A 04           push    4
00401018    E8 5D930000     call    <jmp.&gdi32.GetStockObject>
0040101D    A3 01F74100     mov     dword ptr [41F701], eax
00401022    68 DA3C4000     push    00403CDA
00401027    E8 26910000     call    <jmp.&kernel32.SetUnhandledExceptionFilter>
0040102C    68 58020000     push    258
00401031    68 07074200     push    00420707

2.
00401AB1 >/$  6A 00         push    0                                ; /pModule = NULL
00401AB3  |.  E8 56130000   call    <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
00401AB8  |.  A3 561A4000   mov     dword ptr [401A56], eax
00401ABD  |.  6A 00         push    0                                ; /lParam = NULL
00401ABF  |.  68 421B4000   push    00401B42                         ; |DlgProc = PECompac.00401B42
00401AC4  |.  6A 00         push    0                                ; |hOwner = NULL
00401AC6  |.  68 58194000   push    00401958                         ; |pTemplate = PECompac.00401958
00401ACB  |.  FF35 561A4000 push    dword ptr [401A56]               ; |hInst = NULL
00401AD1  |.  E8 DE120000   call    <jmp.&user32.DialogBoxIndirectPa>; \DialogBoxIndirectParamA
00401AD6  |.  6A 00         push    0                                ; /ExitCode = 0
00401AD8  \.  E8 2B130000   call    <jmp.&kernel32.ExitProcess>      ; \ExitProcess

这个程序的入口就不同，这个是不是汇编写的程序？

刚注意到。晕。这个是汇编写的。

上传的附件：

• #32770.jpg （0.00kb，49次下载）

慢慢分析一下，就是汇编，只不过这个程序有点怪，找不到这个函数GetModuleHandleA
，无从修复成像以上形式。

昨天看了看WinUpack 3.9 statick unpacker v0.2.exe这个程序的入口，他是汇编写得，说到底OEP中语句作用是一样的，比较如下:

00400640 >    33DB          xor     ebx, ebx
00400642      53            push    ebx
00400643  |.  E8 EC110000   call    <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
00400648  |.  A3 80184000   mov     dword ptr [401880], eax
0040064D      53            push    ebx
0040064E      68 68114000   push    00401168
00400653  |.  53            push    ebx                              ; |hOwner
00400654  |.  68 38024000   push    00400238                         ; |pTemplate = "DIALOG"
00400659  |.  FF35 80184000 push    dword ptr [401880]               ; |hInst = NULL
0040065F  |.  E8 40110000   call    <jmp.&user32.DialogBoxParamA>    ; \DialogBoxParamA
00400664  |.  50            push    eax                              ; /ExitCode
00400665  \.  E8 C4110000   call    <jmp.&kernel32.ExitProcess>      ; \ExitProcess

上面这段入口代码，peid是无法识别的，我们将以上这段改成下面这段，peid便可识别为汇编语言，记得修改OEP值：

0040063F >/$  6A 00         push    0                                ; /pModule = NULL
00400641  |.  E8 EE110000   call    <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
00400646  |.  A3 80184000   mov     dword ptr [401880], eax
0040064B  |.  6A 00         push    0                                ; /lParam = NULL
0040064D  |.  68 68114000   push    00401168                         ; |DlgProc = 999.00401168
00400652  |.  6A 00         push    0                                ; |hOwner = NULL
00400654  |.  68 38024000   push    00400238                         ; |pTemplate = "DIALOG"
00400659  |.  FF35 80184000 push    dword ptr [401880]               ; |hInst = NULL
0040065F  |.  E8 40110000   call    <jmp.&user32.DialogBoxParamA>    ; \DialogBoxParamA
00400664  |.  50            push    eax                              ; /ExitCode
00400665  \.  E8 C4110000   call    <jmp.&kernel32.ExitProcess>      ; \ExitProcess

那么我们直接给peid添加签名就可以了，因为这个变形入口是编译器直接编译出来的，而非认为变形，所以我们增加以下签名到peid签名库：

[MASM / TASM ->  * Sign By CxLrb]
signature = 33 DB 53 E8 ?? ?? 00 00 A3 ?? ?? 40 00 53 68 ?? ?? 40 00 53 68 ?? ?? 40 00 FF 35 ?? ?? 40 00 E8 ?? ?? 00 00 50 E8 ?? ?? 00 00
ep_only = true

再用peid扫描看看。

[MASM / TASM -> * Sign By CxLrb]
signature = 33 DB 53 E8 ?? ?? 00 00 A3 ?? ?? 40 00 53 68 ?? ?? 40 00 53 68 ?? ?? 40 00 FF 35 ?? ?? 40 00 E8 ?? ?? 00 00 50 E8 ?? ?? 00 00
ep_only = true

这个好像是不太通用，你用这个查下我脱壳那个文件

误解了我的意思，我那个签名仅仅作为补充，只对类似这样的入口的汇编程序有效：

00400640 >    33DB          xor     ebx, ebx
00400642      53            push    ebx
00400643  |.  E8 EC110000   call    <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA

以下是截图和测试程序：

上传的附件：

• test.rar （0.00kb，2次下载）
• Snap1.jpg （0.00kb，24次下载）