Чтобы изменить имя DLL для загрузки, вы обычно просто меняете таблицу импорта.Все остальное - просто работа с догадками, не зная специфики рассматриваемых двоичных файлов.
Я считаю, что важно понимать, что не все «взломщики» знают, что именно они делают, возможно, вы анализируете что-тоэто вообще не нужно анализировать.
Тем не менее, вы можете удалить перемещение по нескольким причинам:
- в исполняемых файлах, данные о перемещении бесполезны (и могут быть безопаснымиудалено), если только они не поддерживают ASLR.
- возможно взломанный код, который потребует записи о перемещении.Вместо того, чтобы добавить их, взломщик просто полностью удалил таблицу перемещений (возможно, также отключив ASLR в заголовке)
- , если файл был упакован, вы обычно запускаете программу восстановления PE для распакованного файла, чтобы удалить ненужные данные раздела вдиск и очистить PE заголовок.По умолчанию большинство этих инструментов удаляют данные перемещения из PE.