最近在學習CODEPROJECT網站上的一個程序示例,名字叫做插入自己的節信息在任何的EXE文件中.尤其這個程序的危害比較的所以作者是提供了自己的一個彈出對話框的節信息.我嘗試過加入一些EXE文件中,有成功運行的,有顯示錯誤提示的(也許原因是有奇偶檢驗位的問題吧),後期文章我會介紹校驗位的算法,希望大家能多關注我,多支持我的文章,希望得到大家的寶貴意見.對了.我的QQ號碼是365556303,希望和更多的志同道合的朋友們一起進步提高.
下面我們來研究一下加入節信息後,EXE文件有那些變化.我以作者提供的CALC.EXE 計算機程序爲示例講解. 我們通過WINHEX來對比原CALC.EXE和加入一個節信息的CALC.EXE程序,加入節信息的內容我們暫定爲兩條簡單的彙編語句:mov eax,01012475 jmp eax 這個很簡單我來大概解釋一下.01012475這個地址就是計算機程序在XP SP2 中的OEP. 我們的節信息的數據就包括這些簡單的內容.
下面我們來看一下它們的區別:
原程序 加入節信息的程序
1 在節數量(NumberOfSections)中,原程序的節數量+1=加入1個新節的程序的節數量;
2 在AddressOfEntryPoint 這個區域的區別(載入內存中的相對於映像基址的偏移值)
(未完待續)