>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
昨天在对PE文件进行了节的添加,并且程序可以正常运行。
今天记录另一种情况,就是当最后一个节表后无80个空白字节时,节表该添加到哪?
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
在windows的应用程序notepad.exe就是这种类型,看下图:
节表后面没有一个空白的字节,
我们知道在DOS头下面有一段垃圾数据,我们可以利用这块垃圾数据区进行节表的添加。
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
[1] 找个PE头,包括NT头和节表:
这里的数据共有23行,我们在DOS头的下面进行粘贴
[2] 粘贴完成之后,记得修改DOS头下的e_lfanew指向新的PE签名地址
[3] 将之前节表下不用的区域添充00
[4] 最后,就可以用之前的方法进行节表的添加了
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>