PE头-关于内存地址反推和unpackme#1的应用

在unpackme#1的破解中，涉及到修改PE文件。

其步骤是现在在text节的空白处填写代码，并在PE文件中修改执行OEP。

 

问题一 ee f8 01是怎么来的

je short 00401083是e9 96 01修改为ee f8 01的思路的关键是考虑到原有是经过加密，直接修改自己写的地址并非加密的，执行时是会出现错误，所以要针对的异或加密。

 

问题二 如何确定要修改的地址

内存中地址要反推到PE文件的值。

起始值：确定起始内存地址

偏差值：当前地址减去起始地址

       节：确定节的位置，根据PE文件中节VA的定义判断

偏移值：节-VA

具体值：再根据PointerToRawData+偏移值

如果存在重定位等问题时，则是根据具体的起始内存开始计算，只不过计算的是相对值，