stone's blog
以一种忽视来证明自己的存在......
IT博客
|
首页
|
发新随笔
|
发新文章
|
联系
|
聚合
|
管理
第五课 文件类型分析-脱壳基础知识入门
拿到一个壳,第一步就是用相关工具分析一下是什么壳,然后就可心中有数地跟踪分析。文件分析工具有
PEID
,
FileInfo
等。
1.PEiD
PEiD的GUI界面操作非常方便直观。它的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出是何种语言编编译的。同样,不同的壳也有其特征码,利用这点就可识别是被何种壳所
加密
。PEiD提供了一个扩展接口文件userdb.txt ,用户可以自定义一些特征码,这样就可识别出新的文件类型。
有些外壳程序为了欺骗PEiD等文件识别软件,会伪造启动代码部分,例如将入口代码改成与Visual C++ 6.0所编程程序入口处类似代码,即可达到欺骗目的。
所以,文件识别工具所给出的结果只是个参考,文件是否被加壳处理过,还得跟踪分析程序代码才可得知。
可参考这个文档了解如何伪装:
让侦测工具把壳识别为VC++7.0的源代码
。目前Hying的壳PE-Armor伪装能力是最强的:
PEiD分析不出类型的文件就报告是“Nothing found *”,如出现这情况一般都是未知壳或新版的壳。
下面PEiD识别出这个软件是用Asprotect 1.2x加的壳。
2.FileInfo
FileInfo(简称Fi)另一款不错的文件检测工具。Fi运行时是DOS界面,在DOS窗口中运行程序相当不便,建议采用下面的技巧:
1.用鼠标将文件拖到Fi主文件上。
2.将Fi快捷方放进
Windows
的SendTo文件夹里.以后要分析某文件,只需右击“发送到”功能就可打开Fi。
FileInfo升级慢,其识别库不能自定义。而PEiD升级比较频繁,用户也可自定义特征码,因此PEiD用的比较普遍。
有时,FileInfo和PEID会报“PE Win GUI”,Win GUI就是
Windows
图形用户界面程序统称,表明程序
可能
没加壳。但不排除也有加壳的可能性,下图是一个ExeCryptor 2.2x的壳,FileInfo报“*PE Win GUI *section* ??”,其不能识别出来。识别信息中带了个问号,表明FI对给出的结果不是太肯定。
发表于 2006-10-10 06:50
stone
阅读(260)
评论(0)
编辑
收藏
引用
只有注册用户
登录
后才能发表评论。
随笔:32 文章:7 评论:29 引用:0
<
2024年12月
>
日
一
二
三
四
五
六
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
3
4
公告
当发现不再是我心中最美丽 当心情慢慢的趋于平静 当希望自己会有更多的快乐... 才发 现这一刻来得并不容易... 或许我不能把未来的路看的很清楚 只想选择属于自己快乐的路... 或许我不能把爱看的很清楚 只想把快乐牢牢的握在手中... 如果未来的路 会有很多快乐... 快乐需要去争取 也需要珍惜...
常用链接
我的随笔
我的评论
我参与的随笔
留言簿
(6)
给我留言
查看公开留言
查看私人留言
随笔分类
(32)
入侵检测(5)
(rss)
学习笔记(17)
(rss)
生活笔记(3)
(rss)
黑软交流(7)
(rss)
文章档案
(7)
2006年10月 (7)
相册
工具
彼暗...
收藏夹
(5)
一些看了有感触的东西(2)
(rss)
技术档案(3)
(rss)
友情叶子
Sumer's bolg
问心'bolg
在线服务
Alexa排名查询
IP查询
中国站长同盟
卡巴免费查毒
在线MD5破解
在线查文件类型
在线端口扫描
在线网页编辑器
在线翻译
文档在线编辑器
系统安全测试
网页版photoshop
学习基地
黑客派对
E.S.T
Script.Security.Team
中国红客
波波下载
黑客X档案
黑客基地
黑客小组
黑客手册
最新随笔
1. CISCO协议总结大全
2. SQL Server SA权限总结经典技术
3. SA权限仅需xp_regwrite即可有dos shell (转)
4. 欺骗?.快乐...?
5. 木马专杀
6. 各类技术认证
7. 简单的命令控制同一局域网内的电脑
8. DOS下一些很有用的命令
9. 一些有用的ASP注入相关的命令
10. 一个网马源码,把其中木马地址填成你自己的就可以了.
搜索
最新随笔
1. CISCO协议总结大全
2. SQL Server SA权限总结经典技术
3. SA权限仅需xp_regwrite即可有dos shell (转)
4. 欺骗?.快乐...?
5. 木马专杀
6. 各类技术认证
7. 简单的命令控制同一局域网内的电脑
8. DOS下一些很有用的命令
9. 一些有用的ASP注入相关的命令
10. 一个网马源码,把其中木马地址填成你自己的就可以了.
最新评论
1. re: -netsh命令详解
评论内容较长,点击标题查看
--TTT
2. re: 破解工具大全--190个
xie xie
--1
3. re: NBSI2破解版
不能下载!!!
--寻欢
4. re: 冰舞V2.5
下载后有病毒!!
--寻欢
5. re: 明小子的php注入工具
这款太容易用了
--123
阅读排行榜
1. -netsh命令详解(10846)
2. 简单的命令控制同一局域网内的电脑(4986)
3. 明小子的php注入工具(3925)
4. 破解工具大全--190个(2571)
5. NBSI2破解版(1920)
评论排行榜
1. 经典入侵模式(4)
2. 破解工具大全--190个(3)
3. 明小子的php注入工具(3)
4. 中国红客内部后台入侵程序(2)
5. -netsh命令详解(2)