PE扩大节区的方法

PE结钩我就不多说了，网上有资料，这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。

本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序   下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4df96e8f1f8

插入洞穴代码，我们一般会通过增加一个节区，如果节区表没有多余的空间，那么就没办法了，不过还可以通过扩大最后一个节区达到目的。

 

 

 由上图可知，最后一个节区的大小为6000H

一、增加文件字节

使用CFF Explorer查看文件对齐

 

 

 这里文件对齐是1000，由此可知我们至少要在文件末尾增加1000H大小的空白字节

 

 注意1000H等于4096

二、修改节区表

原来的节区表

 

 

 修改后的节区表

原来raw大小是6000H的，现在我们加了1000H,虚拟内存大小也要变大。

三、修改映像大小

1.查看映像大小

 2.修改映像大小

因为我节区表中新增的内存大小为1000H　　所以映像加1000H

修改完成后

 

这样就修改完成了

最后用ollydebug查看内存映射

 

 .rsrc节区变成了7000H  比起增加节区，扩大节区还是简单不少    要查看增加节区请转至：https://www.cnblogs.com/czlnb/p/14669079.html