操作過程
1.運行程序,首先看到PE頭的開始地址(00 01倒過來爲01 00),PE頭大小(E0)。
2.接着複製PE頭,粘貼到0060的下方,並把PE頭剩餘的部分填充爲00。那麼PE頭的大小爲:1d0-60+10=0x180(384)。
3.PE頭的起始位置變爲0x60,60反過來寫爲:60 00,180反過來寫爲:80 01,在DOS頭上修改PE頭的起始位置,接着修改PE頭大小。
4.在PE頭中修改PE頭大小,另存之後,仍然可以正常運行。OD載入後,出現出錯提示信息,這種方式可以防止反調式。
5.接着用lordPE打開,把未修改程序的RVA數及大小調爲0A,可以正常運行但用OD載入還是報錯,說明修改RVA數及大小同樣也可以防止調式。
