MENU

利用WINHEX修改.sys驱动文件的DATA

May 18, 2015 • 故障解决

做点记录,防止下次又入这个坑。

在IDA里面看到

偏移地址: a20150519


发现是直接保存的unicode

就用c32或者winhex来修改吧。

修改成其他数据之后,在把驱动加载进服务。结果发现启动不了。

这里不得不提Checksum

校验和(英语:Checksum)是冗余校验的一种形式。 它是通过错误检测方法,对经过空间(如通信)或者时间(如计算机存储)传送的数据的完整性进行检查的一种简单方法。 计算机领域常见的校验和的方法有循环冗余校验(CRC)、MD5、SHA家族等

由于我们这里修改之后导致字节长度发生变化,而原来校验和没改,导致运行不了,PE Checksum之后驱动就能正常加载了。

附上Checksum
CheckSum.rar

Archives QR Code
QR Code for this page
Tipping QR Code