第十二课 欺骗PEID加OD载入时的提示
第十二课 欺骗PEID加OD载入时的提示
今天要讲的内容非常有意思,对喜欢免杀的朋友是一个新的思路,当然对自己编写程序防止别人调试也是一个不错的方法。今天要讲的就是欺骗PEID和OD载入时提示:错误的或者未知格式的32位可执行文件。
(冒失只能欺骗低版本的OD,使用性真心不大了!)
一: 欺骗PEID(显示为无效的PE文件)
①欺骗
打开LorderPE -->PE编辑工具-->打开文件-->区段-->.text-->右键--->编辑区段-->把物理偏移由0000044改为00000444,把物理大小由0000000改为:444444444-->保存-->确定-->
选项-->只勾选“重建输入表”-->确定-->重建PE-->选择刚改过的文件-->OK。
②还原
同上将改过的地方改回,步骤一样。
注意:1,切记要保存。
2,重建PE的时候我们在选项中只选择重建输入表。
二: 防止OD调试(错误的或者未知格式的32位可执行文件2.exe)两例
1.利用LOADPE来实现。
①欺骗
打开LorderPE -->PE编辑工具-->打开文件-->把RVA数据及大小由0000010改为0000011(大于10即可)-->保存-->确定-->选项-->只勾选“重建输入表”-->确定-->重建PE-->选择刚改过的文件-->OK。
2.利用C32ASM反汇编工具手动修改PE头。(PE头移位)
336(10进制)——150(16进制)——0150——5001 (新PE头的大小)
70——0070——7000 (新PE头的启始位置)
注:粘贴时一定要从原PE头莫尾往上选择粘贴区域。