1 定位在PE文件头。
方法1 手工修改PE头。或用lord PE重建。
方法2 定位从400开始定位。一般用于瑞星
2 定位出现死循环。
方法1 PE头加1后再定位
方法2 从400开始定位,更改分块个数
3 定位出特征码,改的时候出现重定位,无法修改。
方法 可以使用lord PE 重建PE 功能实现清除重定位。
4 定位在输入表位置
方法1 修改输入表
方法2 最直接的就是直接重建输入表 工具import REC
5 定位在末尾的配置信息
方法1 这一般是金山的数据流。。选择上一大段 更改大小写即可,
6 OD使用保存时 没有“所有修改”
这个问题我也不清楚。个人感觉是没有jmp成功。或者分开来保存。或用鼠标拉上修改的部分来保存
7 定位的特征在OD中用什么方法都修改不了
并不是非要修改定位出来的特征码,修改他上面或下面的2。3行 乃至4。5行 有时候都是可以免杀的。
8 对于不可实现的跳转可以直接NOP掉。。绿色的线
9 call地址的修改
1.地址加减1
2.上下替换
3.跳到空白位置。在JMP
4.来到跳到的位置,观察代码。。看上面是否有nop,如有可以尝试地址减一
10 mov特征码的修改
尝试上下替换mov
