标签：映像 修改 节区 PE 大小 1000H 扩大 节区表

PE结钩我就不多说了，网上有资料，这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。

本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序   下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4df96e8f1f8

插入洞穴代码，我们一般会通过增加一个节区，如果节区表没有多余的空间，那么就没办法了，不过还可以通过扩大最后一个节区达到目的。

 

 

 由上图可知，最后一个节区的大小为6000H

一、增加文件字节

使用CFF Explorer查看文件对齐

 

 

 这里文件对齐是1000，由此可知我们至少要在文件末尾增加1000H大小的空白字节

 

 注意1000H等于4096

二、修改节区表

原来的节区表

 

 

 修改后的节区表

原来raw大小是6000H的，现在我们加了1000H,虚拟内存大小也要变大。

三、修改映像大小

1.查看映像大小

 2.修改映像大小

因为我节区表中新增的内存大小为1000H　　所以映像加1000H

修改完成后

 

这样就修改完成了

最后用ollydebug查看内存映射

 

 .rsrc节区变成了7000H  比起增加节区，扩大节区还是简单不少    要查看增加节区请转至：https://www.cnblogs.com/czlnb/p/14669079.html

 

标签：映像,修改,节区,PE,大小,1000H,扩大,节区表
来源： https://www.cnblogs.com/czlnb/p/14672358.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。