操作过程
1.运行程序,首先看到PE头的开始地址(00 01倒过来为01 00),PE头大小(E0)。
2.接着复制PE头,粘贴到0060的下方,并把PE头剩余的部分填充为00。那么PE头的大小为:1d0-60+10=0x180(384)。
3.PE头的起始位置变为0x60,60反过来写为:60 00,180反过来写为:80 01,在DOS头上修改PE头的起始位置,接着修改PE头大小。
4.在PE头中修改PE头大小,另存之后,仍然可以正常运行。OD载入后,出现出错提示信息,这种方式可以防止反调式。
5.接着用lordPE打开,把未修改程序的RVA数及大小调为0A,可以正常运行但用OD载入还是报错,说明修改RVA数及大小同样也可以防止调式。