如何用程序判定一个PE文件是否加壳

11 |

1 | 2013-10-12 12:20:50 | 显示全部楼层 |阅读模式

开始切入正题前，让我先解释一下这篇文章的结构。一个很平凡的题目（命名的确是很头疼的问题，以此命名的原因是希望能在搜索引擎提高命中率：D），但却不好回答。当我拿到需求并且与需求方确认后将需求分解为以下2个层次：1.初级需求是函数的返回值是BOOL型，返回True或者False表示是否加壳。2.高级需求是函数的返回值必须能返回表示壳的种类，返回壳ID或者壳名称。关于手动脱壳的分析员来说判断一个PE文件是否加壳方法太多，而且通常非常容易。但是如果将这些方法一一列举出来后，我发现用程序来模拟这些人工的动作有3个问题：1.大部分方法，实现起来比较复杂。2.有些方法误判率非常高。3.大部分方法，判定的壳种类非常有限。所以本文的正文部分结构上分成二...

使用道具举报

返回列表发新帖

千问

主题	0 回帖	4882万积分

论坛元老

Rank: 8 Rank: 8

积分: 48824836

回复楼主返回列表

问答

热门排行