re 1 : اینجا
re 3 : با PE Editor های مختلف ؛ نرم افزارهائی هستند که Fake Signiture برای یک فایل اجرائی ایجاد میکنن یعنی تلاش میکنند محتویات قسمتهای خاصی از فایل رو دستکاری کنند تا نرم افزارهائی مانند PEiD و RDG Packer Detector که عامه افراد ازشون استفاده میکنن دچار خطا بشن . کافیه ببینی برای هر FakeSig کجاها دستکاری شده ، بسته به نوع و اندازه Instruction های موجود ، چیزهائی دیگری ( از یک Nop ساده میتونی شروع کنی ) استفاده کنی . تمام ابزارهائی که لازم هستند : یک PE Editor خوب - یک Hex editor خوب - یک FakeSigner و یک Binary Diff ( & مطالعهء جواب سوال اول و کمی تجربه اسمبلی )
پیشنهاد :
PE Editor : PE_Stud & PE Tools
Hex Editor : WinHex & FlexHex
FakeSigner
SABRE Binary Diff
پاسخ با نقل قول