Пытаюсь создать секцию с VirtualOffset=0, но система отказывается загружать exe-файл. Можно ли заставить её как-то отобразить туда секцию? Или каким-то иным образом добиться, чтобы сразу после отображения PE-заголовок отличался от прописанного в файле?
Это читал, но мне нужно намудрить посильнее. Кстати, WinUpack вроде неплохо заголовки правит, интересно как?
Речь шла о заголовках. То, что можно продублировать это в первую секцию меня в данный момент не интересует. Фактически мне нужно выполнить обратную операцию. Из первой секции -> ImageBase.
В смысле? WinUpack, конечно, вместо stub'а её вставляет, что мне правда не нравится, зато с толку сбивает и IDA, которая хрен знает что дизассемблирует из-за этого, и PE Tools. Microsoft должна была какие-нибудь лазейки оставить. Или директория импорта только?
Ничего не понял... У WinUpack header является и header'ом и первой секцией. Причем грузится не от туда, от куда указано в header'е, почему - я ссылку дал.
Теперь понял. Только люди как-то легко это обходят в отладчике, первый ряз брякнулся на system breakpoint, но второй раз уже на entry point и толку особо никакого. Кроме сбивания с толку дизассемблера. Тут и tls'ы, пожалуй, не помогут.
