PE增加空白节区的方法

PE结钩我就不多说了，网上有资料，这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。

本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序   下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4df96e8f1f8

修改前节区

一、确认节区头是否有空余

这个非常重要，如果节区头后面没有空白字节，就无法增加节区了，但是还是可以把最后一个节区变大，以此达到插入代码的目的

蓝色的部分是原来的节区头，红色的空白区域可以拿来填入新增的节区表

二、增加文件字节

使用CFF Explorer查看文件对齐

 

 

 这里文件对齐是1000，由此可知我们至少要在文件末尾增加1000H大小的空白字节

 

 注意1000H等于4096

三、增加节区表　　

 

 黄色的地方就是新添加的节区表.bss 　　填的的时候注意地址对齐，内存节区不要大于文件节区就好，其他的谁便

四、修改节区个数和映像大小

1.查看节区个数和映像大小的位置

 

 

 

 2.修改节区个数和映像大小

节区个数加一　

因为我节区表中新增的内存大小为1000H　　所以映像加1000H

修改完成后

 

 

 

 这样就修改完成了

最后用ollydebug查看内存映射

 

 新增了.bss节区　　　　如果有看不懂得地方  可以加我的联系方式 2963663242