FilePatching
- 判斷架構
- 找到 entrypoint
- 找到 codecave 並填入
pushadpushfdshellcode - entrypoint
jmp到 codecave - codecave 結尾
popfdpopad空一行 - codecave 結尾
jmp到 entrypoint
如果 shellcode 有 call ebp 要push 0再jmp到 popfd 的位置
pushad pushfd shellcodejmp 到 codecavepopfd popad 空一行jmp 到 entrypointpush 0 再 jmp 到 popfd 的位置