使用PEview查看test.exe文件的DLL文件 在對(duì)test.exe進(jìn)行操作之前，首先使用PEview工具查看該文件已包含的DLL文件。通過查看每個(gè)DLL文件的IID結(jié)構(gòu)體，并學(xué)習(xí)插入方法的操

使用PEview查看test.exe文件的DLL文件

在對(duì)test.exe進(jìn)行操作之前，首先使用PEview工具查看該文件已包含的DLL文件。通過查看每個(gè)DLL文件的IID結(jié)構(gòu)體，并學(xué)習(xí)插入方法的操作。

分析test.exe已加載的DLL文件

test.exe已經(jīng)加載了4個(gè)DLL文件，每個(gè)DLL文件都是一個(gè)IID結(jié)構(gòu)體，占據(jù)20個(gè)字節(jié)。特別需要注意的是，最后一個(gè)結(jié)構(gòu)體為空，即全0結(jié)構(gòu)。

檢查.rdata節(jié)區(qū)后的空間

進(jìn)一步觀察.rdata節(jié)區(qū)后面的空間，看是否有剩余空間可供利用。這個(gè)步驟可以幫助我們確定被加載到內(nèi)存中的位置以及是否具有可寫權(quán)限。

移動(dòng)和添加IID結(jié)構(gòu)

為了實(shí)現(xiàn)打開外部程序的目標(biāo)，需要移動(dòng)IID數(shù)組，并在尾部添加一個(gè)新的IID結(jié)構(gòu)。在添加新結(jié)構(gòu)的同時(shí)，要確保為其賦予可寫權(quán)限，以確保操作的有效性。

修改原有IID結(jié)構(gòu)數(shù)組的方法代碼

針對(duì)原有的IID結(jié)構(gòu)數(shù)組，在最后一個(gè)全0結(jié)構(gòu)的基礎(chǔ)上進(jìn)行相應(yīng)的修改。通過調(diào)整代碼，確保新添加的IID結(jié)構(gòu)能夠順利被識(shí)別并執(zhí)行相關(guān)操作。

測試修改后的效果

完成以上步驟后，進(jìn)行測試以驗(yàn)證修改的效果。通過打開外部程序等操作，檢查所做的PE頭修改是否成功實(shí)現(xiàn)了預(yù)期的功能。