加壳与脱壳-添加壳代码的几种方式
加壳与脱壳-添加壳代码的几种方式
加壳与脱壳-添加壳代码的几种方式
上一次讲的方式是在区段头后面继续添加区段头,但是万一区段头的后面没有连续的空间怎么办
所以这里有好几种方式来处理
利用Dos Stub空间
PE文件里面有一段Dos Stub空间,没有什么用,所以可以利用起来作为加壳处理
可以通过把本来的
这一截(PE头+区段头)全部往上偏移覆盖掉DOS Stub的空间,然后后面的区段头会多出来一截空间,就可以利用这多出来的一截空间再开辟区段头,后面再开辟区段来处理
合并区段
将区段头合并为只有一个,直接往后面添加区段,到时候要访问的区段就可以直接在后面添加就好了
1 读取PE文件到内存中,将PE文件按照内存对齐(因为内存对齐是要大于文件对齐的,不按内存对齐保存下来,就会导致读取的时候没有把合并了的区段安装内存对齐,因为一个区段头对应的是一个区段,对应它如何对齐,这里合并成了一个区段头,所以需要手工来对齐)
2 删除除第一个区段头以外的区段头信息
3 修改第一个区段的头信息
4 修改numberofsections
5 保存修改后的pe文件
版权声明:本文为Sna1lGo原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。