零基础学免杀第九课--重建可执行文件的PE头
工具:
1.C32ASM
2.LordPE
3.PECLEAN
课程概述:
本节课将对PE的知识点进行收尾,讲解如何手工/工具重建可执行文件的PE头(扩大/变异)
课程解析:
PECLEAN:一款清除PE头垃圾的工具,有一点免杀的效果(不变异的话作用不大)。可以帮助建立一个良好的PE头修改环境。
(本课详细过程请看教程,涉及到的工具PECLEAN已近打包)
作业:对打包的作业程序进行重建PE
课程要点:
1. PE头大小的转换
在C32中需要将10进制大小的文件先转换成16进制后再倒叙输入。
(假设某程序修改PE后10进制大小为350)
First:打开计算器,模式设置为科学型
Second:在10进制中输入新PE大小350
Third:再单击“16进制,得到新大小
Fourth:进行转换
新大小为15E,即015E(01 5E)。由于要倒叙输入,则为5E 01
15E=015E=01 5E
在C32中输入=5E 01