关于：什么都没找到 [Overlay] *

残影剑

各位老师，今天遇到一个问题，某财务软件，用peid查看，结果为：什么都没找到  [Overlay] *

请问这是什么意思？有壳？没壳？用资源工具查看只有位图和版本，没有具体的窗体和字串值。谢谢回复

glts

可能无壳,显示的是附加数据.也可能有壳看PEID查看下区段信息和额外的信息

残影剑

glts版主，您好！

EP段是：.text
深度扫描后显示：AIN Archive [Overlay] *

OD载入停留在：
0059A3F1 > $  E8 7B050000   call    0059A971
0059A3F6   .^ E9 36FDFFFF   jmp     0059A131
0059A3FB      CC            int3
0059A3FC   >- FF25 C0DE5C00 jmp     dword ptr [<&MSVCR80.__CxxFrameH>;  MSVCR80.__CxxFrameHandler3
0059A402   $  3B0D 00CC6400 cmp     ecx, dword ptr [64CC00]
0059A408   .  75 02         jnz     short 0059A40C
0059A40A   .  F3:           prefix rep:
0059A40B   .  C3            retn
0059A40C   >  E9 F4050000   jmp     0059AA05
0059A411      CC            int3
0059A412      CC            int3
0059A413      CC            int3
0059A414      CC            int3
0059A415      CC            int3
0059A416      CC            int3
0059A417      CC            int3
0059A418      CC            int3
0059A419      CC            int3
0059A41A      CC            int3
0059A41B      CC            int3
0059A41C      CC            int3
0059A41D      CC            int3
0059A41E      CC            int3
0059A41F      CC            int3
0059A420   .  53            push    ebx
0059A421   .  8A5C24 08     mov     bl, byte ptr [esp+8]
0059A425   .  F6C3 02       test    bl, 2
0059A428   .  56            push    esi
0059A429   .  8BF1          mov     esi, ecx
0059A42B   .  74 24         je      short 0059A451
0059A42D   .  57            push    edi
0059A42E   .  68 F6AB5900   push    <jmp.&MSVCR80.type_info::_type_i>;  入口地址
0059A433   .  8D7E FC       lea     edi, dword ptr [esi-4]
0059A436   .  FF37          push    dword ptr [edi]
0059A438   .  6A 0C         push    0C
0059A43A   .  56            push    esi
0059A43B   .  E8 90020000   call    0059A6D0
0059A440   .  F6C3 01       test    bl, 1
0059A443   .  74 07         je      short 0059A44C

cy06

我也遇到这种提示,不知道是为什么?

MOV

不要太相信查壳工具 有时候用OD加载看看 在调试下 单步走走 就是 [Overlay] 是附加数据 一般是E语言 猜想呵呵

hackyxc

不要太依赖于PEID