开发环境识别
检查oep的合法性
提取oep附近的机器码,对比特征码
检查 “.rdata” 节是否存在
检查oep是否处于 “.text” 节中
开发环境的伪造
找到oep,在 “.text” 节中找到一段空白处,填写机器码
在oep检查结束后执行 “CALL 0x........(oep)” ,将程序重新调整回真正的oep处
检查程序是否存在 “.rdata” 节,如果不存在,需要手动添加
将oep调整到oep检查点:
使用WinHex打开伪造程序
偏移地址指向的当前oep地址修改为新的oep地址
原文:http://www.cnblogs.com/cnszkaizi/p/6573045.html