工具：overlay最終版
WIN HEX或HEX WORKSHOP

首先我們查一下殼

發現是一個北斗的殼，並且帶有附加資料

我們用OD開啟除錯程式

上來就發現了pushad和pushfd，那我們直接使用esp定律法，先單步，然後在暫存器視窗中右鍵資料視窗跟隨，然後再資料視窗中下斷點，然後執行

然後直接就可以跳轉到OEP，這裡我們選擇用OD脫殼，右鍵選擇用OD多可除錯程序

然後我們轉儲檔案，轉儲完之後，我們發現無法開啟檔案，用lordPE和IR都無法修復，這是因為程式帶有附加資料，我們隨便用一個16進位制文字編輯器開啟源程式

我們把進度條拖到最後，然後一直向上找，直到發現一塊全0的區域

然後把後面所有的資料複製，開啟我們脫完殼之後的程式，拖到最後，我們把資料貼上過去

然後儲存就可以了，我們可以再查一下殼

發現比剛脫完之後的程式多了一個overlay，這裡就表明我們的資料附加成功

當然我們有別的方法可以找到全為0的區域，我們用LordPE開啟要脫殼的程式

用PE編輯器開啟之後，我們開啟它的區段表，找到最後一項，用它的ROffset+RSIze就是附加資料的地址