载入程序,按 Alt+M 查看内存空间
双击进入程序的 PE 头
这些为 DOS 环境下才会运行的
这个执行 PE 的地址,PE 结构的偏移地址为 C0
找到这个地址
以 PE 开头
SizeOfCode 为代码段的大小
SizeOfInitializedData 为所有含已初始化数据的块的大小
这两个值明显太大了,可能被恶意修改过了,可以把他们修改一下
右键 -> 二进制 -> 编辑,快捷键为 Ctrl+E
或者右键 -> 修改整数
SizeOfCode 可能为 400,SizeOfInitializedData 可能为 A00
BaseOfCode 代码段的起始偏移地址,此处应该为 1000
BaseOfData 数据段的起始偏移地址,此处应该为 2000
右键进行修改
用 VC 编译出来的程序,ImageBase 一般都为 400000
NumberOfRvaAndSizes 为数据目录表的尺寸,这个值默认为 0x10
该程序没有输出表,Export Table Address 应该改为 0,Export Table Size 也为 0
接下来保存文件
从最初修改的地址开始
为 004000DC
按 Ctrl+G 跟随表达式
输入地址,点击 OK
适量选取一段
右键 -> 复制到可执行文件
右键 -> 保存文件