网络调试助手反编译

‘壹’ 如何修改EXE文件

你这个文件很可疑啊,系统有可能有木马,要小心。也有可能不是这个文件，它只是一个助手，还有一个在后台运行的。
那个被怀疑木马的程序，一直在监视某些程序是否有运行，如果有就用远程注入的方式注入这个程序，修改一些API的入口地址，让它可以拦截或改变程序的运行状况。
你用msconfig工具看看系统启动时运行了哪些程序，木马可能就在里面，或升级病毒库。或者你把这个文件改名字,它就注入不了。
一般来说，用远程注入的方式注入程序都要小心，除非它是因为调试或其它可信任的原因。
=================================
从你的问题补充看,如果它真的只注入那个文件，问题应该不大。注入也是陂解的其中一种方案，有些软件由于有自我验证/保护或算法太过复杂或者其它原因，使得离线的陂解有很高的难度，因此采用注入的方式（在线陂解）直接拦截程序的API调用使程序能修正其一些运作流程，让程序运行时不受一些不必要的限制。
当然,也不是说完全没有风险,这要视乎写这个补丁的作者的心态,因为注入方式也很容易获取系统的最高权限。建议你多及时更新病毒库和对它进行一段时期的观察，看看对系统有无其它影响就可。
===========================================
修改EXE很不难,execope等其它都可以改，但问题是应该怎么改，改哪个，改了是否能解决问题。
从经验看，这种注入式怀疑种木马的情况，是不需要改exe文件的，改了也未必能解决问题，只要找出它运行的一些规律性，把元兇揪出来就可以了。