能力值:
![]()
(RANK:570 )
|
-
-
2 楼
告诉你
其实
真的
还是用傻瓜式
比较好
因为
我发觉
如果
不用傻瓜式
你就得
增加文件大小
否则
你只增加RAWSIZE
系统读取数据时
超出文件下界
就报错了
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我增加了啊..我先增加的RawSize,然后增加的文件大小,还是报无效Win32程序,所以我郁闷啊.
更要命的是,程序用ZeroAdd添加了64K之后,Ollydbg就不认了,调都调不进去,也说无效程序.
|
能力值:
![]()
(RANK:570 )
|
-
-
4 楼
我想我理解错你的问题了
CODE段不是最后一个段
然后你希望增加CODE段的大小
你只调整其他区段的偏移,但是没有调整输入表,资源表,TLS之类的偏移,是这样吗?
也没有调整IMAGE SIZE,是这样吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
没有,没有那么麻烦. code不是最后一个段,有可能是.rsrc.
没有调整什么输入表,资源表,TLS,我就不会...
调整imageSize是确实忘了,刚才搜索了一下老帖子
http://bbs.pediy.com/showthread.php?s=&threadid=26178&highlight=%CC%ED%BC%D3%C7%F8%B6%CE
但是我在LordPE里面看到ImageSize是自动更改的,就是说你手动改了改了虚拟大小之后,ImageSize会自动相应的更改.
|
能力值:
![]()
(RANK:570 )
|
-
-
6 楼
我的意思是,如果你将修改的区段,在输入表之类的前面,你就得修正它们的偏移
如果你修改的区段在最后,理论上来说,你的操作正确啊
你看看这个帖对你有没有帮助
http://bbs.pediy.com/showthread.php?s=&threadid=28402
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
这个小程序只有一个段,手工改了VSize和Rsize,,个增加0x64, ImageSize自动添加了0x64, 然后用编辑器给文件增加物理大小0x64.
结果是程序可以运行但是没有原来的程序功能了.,而且cpu 100%. 
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
谢谢老兄,文章看不太懂. 我的方法哪里有问题么? 指正一下 谢谢了.
今天先休息太晚了明天别起不来... 
|
能力值:
![]()
(RANK:570 )
|
-
-
9 楼
我看不出你方法有什么问题,换成我,也是一样的做法
既然程序已经运行起来了,但是CPU占用率高,我估计是自校验的问题。
校验PE表头的值
开着任务管理器,一个一个CALL的步过,看看问题出在那个CALL再具体分析代码了
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
嗯,让我郁闷的还不只这个.
我是找着老外一个录像改的一个很小很小的程序,所有步骤跟他操作的一摸一样,他都连ImageOfSize都没改, 只是改了Vsize,添加了实际字节数,然后直接就可以用OD调入了.
我跟他改的不一样的地方,绞尽脑汁想了想,就是改Vsize和添加实际字节数的操作顺序不同,难道这也不行? 再其他的是真没有不一样的地方了. 连二进制编辑器都重新按他的那个去下载的, 叫什么XVI32. 哎.
|
|
|
|
