IDA更改.rdata值

Question

如何更改带圆圈的值？(5CB4F8B3h)

​

​

我不是专业人士，但对我来说影响这种价值观是至关重要的。用理解的方式对待它:)

Answer 1

使用十六进制编辑器，找到包含需要修改的十六进制值的扇区，并对其进行更改。TimeDateStamp是纪元时间，所以你应该得到epoch time格式的时间戳并将其转换成十六进制(你可以在“编程模式”下使用计算器，输入十进制的时间戳，你就会得到它的十六进制值。

通过谷歌搜索，我发现一个名为PE Explorer的工具可以修改PE可执行文件的时间戳，这是您正在尝试做的事情，因此对于非专业人士来说，这可能是一个更好的解决方案。The instructions are here.我与这个产品没有任何关系，我只是觉得它可能会对你的需求有所帮助。

Answer 2

在IDA中使用idc函数PatchDword修改这些值

success PatchDword(long ea,long value);

此函数用于将地址ea处的双字(4字节)更改为value。您希望更改0x14010D484、0x14010D4A0和0x14010D4BC处的3个值。在IDA中，运行"File->IDC command..."并输入以下脚本，并将这些地址的newValue1、newValue2和newValue3设置为新值：

if( !PatchDword(0x14010D484, newValue1) || !PatchDword(0x14010D4A0, newValue2) || !PatchDword(0x14010D4BC, newValue3))
  Message("Failed to patch!\n");

单击OK并检查output窗口-应该没有错误消息。生成DIF文件- "File->Produce File->Create DIF file..."。DIF文件是具有修补字节列表的文本文件。每一行看起来像这样：

0005A827: 5D BB

在本例中，0005A827是磁盘上的二进制偏移量，5D是原始值，BB是新值。使用补丁程序或在十六进制编辑器中手动应用此DIF文件-移动到DIF文件的偏移量，并更改字节的值。

您的二进制文件可以使用校验和检查。在这种情况下，它将不会在修补程序之后运行。校验和修复取决于使用的校验和类型。