PE结钩我就不多说了,网上有资料,这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。
本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序 下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4df96e8f1f8
插入洞穴代码,我们一般会通过增加一个节区,如果节区表没有多余的空间,那么就没办法了,不过还可以通过扩大最后一个节区达到目的。
由上图可知,最后一个节区的大小为6000H
一、增加文件字节
使用CFF Explorer查看文件对齐
这里文件对齐是1000,由此可知我们至少要在文件末尾增加1000H大小的空白字节
注意1000H等于4096
二、修改节区表
原来的节区表
修改后的节区表
原来raw大小是6000H的,现在我们加了1000H,虚拟内存大小也要变大。
三、修改映像大小
1.查看映像大小
2.修改映像大小
因为我节区表中新增的内存大小为1000H 所以映像加1000H
修改完成后
这样就修改完成了
最后用ollydebug查看内存映射
.rsrc节区变成了7000H 比起增加节区,扩大节区还是简单不少 要查看增加节区请转至:https://www.cnblogs.com/czlnb/p/14669079.html
原文:https://www.cnblogs.com/czlnb/p/14672358.html