唠唠ollydump这个插件
不知道各位有无发现,这个插件dump之后会自动修好导入表,但是,存导入表的时候它附加了一个区块。而修改SizeOfImage字段时有点问题啊。这个字段我觉得应该是最后一个区块的rva加sizeofrawdata的section对齐值。而插件是rva加sizeofrawdata。在win98不知道有没有朋友测试能不能跑起来。总而言之,,,到底我错了还是插件错了。.......
ntHeader->OptionalHeader.SizeOfImage = ntHeader->OptionalHeader.SizeOfImage+Align(SECTION_SIZE, SECTION_ALIGN_MENT);, 一般取新增 区段 的 Virtual size 与File size 最大值,对齐是肯定需要的,楼主最好 附图 LYQingYe 发表于 2018-2-20 15:21
ntHeader->OptionalHeader.SizeOfImage = ntHeader->OptionalHeader.SizeOfImage+Align(SECTION_SIZE, SECT ...
感谢啊。我写代码加新区块的时候virtualaddress直接从sizeofimage里面取值。结果碰上这个插件加过区块后的程序,压根不对齐处理,对比一下我差点怀疑人生了。{:5_184:}
页:
[1]