固定基址-便于调试修改入口点程序使用x64dbg打开，可以看到程序基址为140000000程序的入口点为11023，那么在内存中，程序入口点=基址+偏移量=140000000+11023=140011023ctrl+G定位到140011023，然后找一个空白处，这里选择1400113B3，修改汇编代码为jmp 0x140011023 右键→补丁→修补文件，保存文件为project2.exe，然后将程序入口点修改为00113B3现在运行project2.exe，可以发现入口点已经到了140. 关于 PE 病毒编写的学习(八)——定位API的N种方法 关于 PE 病毒编写的学习(六)——关于 PE 文件结构操作的 程序 编写 关于 PE 病毒编写的学习(七)——重定位的谬误和它的正确写法 关于 PE 病毒编写的学习(三) 关于 PE 病毒编写的学习(四)——关于历遍磁盘的讨论 关于 PE 病毒编写的学习(五)——病毒如何做标记和记录信息 关于 PE 病毒编写的学习 大家好````我是JKS_Ｊia...今天给大家带来一个关于免杀的教程`` 修改 PE 头``` 大家可能有疑问了``那 修改 PE 头有什么用呢``?`..有很对时候杀毒软件定的特征码很变态， 定位特征在 PE 头上``我们如果用一般的特征码 修改 法, 修改 以后无法运行，应为 PE 无法识别他是一个可执行 程序 ...例子就像PCshare 修改 PE 头不仅有免杀效果``而且还有反调试的功效`` 就是 修改 后不能用OD载入了```那样就可以保证..我们的免杀技术不泄露了``好``在开始前 先来说句`` 甲壳虫技术小组 坚韧不拔 永不言弃 www.jksing.com -------------------------------- ------诚招技术伙伴加盟---------- 如果课程不明白的可以加此群交流``41415673 好了``费话不多说``我们开始`` 在这里我就用鸽子示范一下``虽然目前我还没知道哪个杀软会杀鸽子的 PE 的`` 所以免杀效果演示不了``在这主要是学方法..而不是生搬硬套!! 首先我们来了解一下什么是16进制和10进制```关与进制方面``转换就交给转换器```` 就像E0是16进制单位``转化成10进制就变成224了```所以了解一 点 就够了`` 首先我们打开 C32...还是选16进制模式`` 好```我们来看``这个 PE 头`` 顾名思义`` PE 头都是以 PE 开始的!!! 好了``大家又有疑问```怎么知道 PE 头大小呢``? 好``我们来看``` PE 下有个" ? "的符号``` PE 的大小就看他`` 怎么看呢``看16进制栏呢!!! 大家看见了吧``是E0..然后打开转化工具转化吧````前面转化好是224 然后我们从 PE 头部分一直拉``` 拉够224字节...看..下面有显示224字节的!!! 然后COPY(复制).. 我们可以把 PE header上移 我们向上拉一片区域```刚好224字节````我们粘贴``` 好了``现在我们看 PE 头多大```? 现在变成336了`` 好``我们转换一下```在16进制里是150 接下来我们修正``` 150 按照地位到高位的写法 应该这样写 50 01 好...大小修正完了``再把 PE 入口 点 修正```` 随便找的地方吧````就这里``` 看..现在的 入口 点 是00000090 我们就修正为 90 00 好``先用OD测试能不能载入```测试我们的反调试效果```` OK..不能载入````我们再测试上线``` OK...没问题```今天的教程就到这里```` 在此先请求黑吧给我个邀请码```资源共享..技术交流嘛````互相促进````呵呵``` 好..完工``我们下次再见`` PE 文件中显示的所有 地址 基本都是RVA，倘若想要换算成VA一般需要加上基 地址 ImageBase与文件偏移 地址 RVA。 虚拟 地址 （VA=virtual address）：每个32位 PE 文件被加载到内存的时候都会被分配4GB的虚拟内存，虚拟 地址 等于“ 程序 的相对虚拟 地址 +基 地址 ”。 相对虚拟 地址 （RVA=relatively virtual address）：相对虚拟 地址 是相比较于文件开头的地