http://blog.csdn.net/killalarm/article/details/6066577
DELPHI 程序中 代码段 有 搜索 runtime 上面 对齐就是数据段 起始地
重建PE:
LOADPE 清空 目录
图中下面显示的TLS表信息:
00452000-453000
00452010-453010
0044D09C-44D09C
00453010-454010
LOADPE修改 目录表地址: RVA:54000 大小:18
标志: E0000060
区段数目改为7 资源段后续 修复
部首大小 1000 块对齐 1000
代码基址: 1000
PE TOOLS 区段 BSS 段 00填充 所有段都填充一下
修复IAT :
idata 中输入表信息 IMPORT 中输入: rva 5000 size: 24e8
然后再修复
重建资源:
FIXres -》 原来的dump程序拖进去
新的RVA: 56000 文件对齐: 200 -》转存 生成资源文件
LOADPE 载入RES资源文件 修改虚拟大小为 物理大小
目录表 设置 资源的表
还原段属性: (各个段不一样)标志: C0000060
处理附加数据: FFI 处理附加数据
PE 处理: