这节课大部分是在第二课的基础上 不再赘述
介绍几个工具
1,Stud_PE
很强大的一款编辑软件的工具,不仅可以看区段 文件头 签名 资源之类的内容 还可以查看函数 (是否调用某些接口之类)或者添加函数(比如 messageboxA这类似的)进去,这玩意改掉入口点,可以让查壳工具直接懵逼。
2,C32Asm
16/2进制查看 方便修改字符串
3,Restorator
可以查看软件所带的各种资源 并且有一个可视化的修改界面 很NICE
同时记录一下这节课进阶的内容:
给EXe程序添加弹窗
1,添加MessageBoxA的导入表并获取VA
MessageboxA
MessageboxA ord:0 rva:001AA187 从Stud_PE 工具中获得
Ctrl+V 选 RVA 搜索 如上, 把地址取出来
VA:005AA187
2,添加一个新区段,空字节填充 (也可以找00 00 00...的段来用) 并植入汇编代码(弹窗并跳回原来的EP)
push Style(0)
push Title
push Text
push hOwner(0)
call dword ptr ds:[0x5AA187]
3,修改EP到新的起始位置并保存
入口点搞成push style的那个点的位置 利用Stud_PE 选虚拟位置 把点放进去 在把偏移的正确入口点复制出来保存到文件