1.1.3 PE文件编辑工具PEditor

PEditor是一款PE文件编辑工具，有转存进程、在SoftICE中插入中断，以及编辑PE文件的导入表、节表、重建校验和重建程序等功能。与其他PE编辑工具相比，PEditor可把所有的功能都集中在主窗口中，从而方便PE文件的修改。使用PEditor编辑PE文件的操作步骤如下。

步骤1：下载并运行“PEditor 1.7汉化版”程序，即可打开“PEditor 1.7”主窗口，如图1.1.3-1所示。单击“浏览”按钮，即可打开“选择你要查看的文件”对话框，如图1.1.3-2所示。

步骤2：在选择要查看特征码的文件后，单击“打开”按钮，即可在“PEditor 1.7”主窗口中看到该文件的各种特征码信息，如图1.1.3-3所示。在“入口点”文本框中将其特征码修改为“000021A0”，如图1.1.3-4所示。该种方法可以使木马程序避开一般的杀毒软件的查杀。

步骤3：单击“应用更改”按钮，即可打开“此文件更新成功”提示框，如图1.1.3-5所示。单击“确定”按钮，即可完成修改入口点的防特征码免杀设置。

步骤4：在“PEditor 1.7”主窗口中单击“分割节”按钮，即可打开“8区段及PE头成功转存”提示框，如图1.1.3-6所示。单击“确定”按钮，即可转存8区段和PE头文件。

步骤5：在“PEditor 1.7”主窗口中单击“调试器中断”按钮，即可打开“调试器中中断”提示框，在“虚拟地址”文本框中输入虚拟地址，如图1.1.3-7所示。

步骤6：单击“运行”按钮，即可打开“WinHex已停止工作”提示框，如图1.1.3-8所示。单击“关闭程序”按钮，即可关闭程序。

步骤7：在“PEditor 1.7”主窗口中单击“FLC”按钮，即可打开“文件地址计算器”对话框，在其中选择“相对虚拟地址”单选项并输入相对虚拟地址，如图1.1.3-9所示。

步骤8：单击“执行”按钮，即可计算出输入的“相对虚拟地址”对应的虚拟地址、十六进制偏移、十进制偏移及字节内容，如图1.1.3-10所示。

步骤9：在“PEditor 1.7”主窗口中单击“校验和”按钮，即可打开“校验和修正器”对话框，在其中输入“当前校验和”与“修正校验和”，如图1.1.3-11所示。单击“修正”按钮，即可打开“校验和更新成功”提示框，如图1.1.3-12所示。

步骤10：在“PEditor 1.7”主窗口中单击“重建程序”按钮，即可打开“重建器”对话框，在其中勾选相应的复选框，如图1.1.3-13所示。单击“执行”按钮，即可重建打开的应用程序，如图1.1.3-14所示。