rescoure的更换
上次我们手工注入了dll,这次我们要更换的是calc.exe的 图标。我们的目的是替换这边的图标。桌面图标(32x32)
这是总的位置
现在我们开始分析
1.
资源表IMAGE_RESOURCE_DIRECTORY_ENTRY
calc对应的位置
可见有8个IMAGE_RESOURCE_DIRECTORY_ENTRY
再根据第一个联合体的最高为判断:
- 第一个联合体的最高位为0,也就是说NameIsString为0,