[原创]PETotal V1.7（可自定义识别壳的特征码，新增添加导入函数功能，方便花指令调用）-安全工具-看雪-安全社区|安全招聘|kanxue.com

[原创]PETotal V1.7（可自定义识别壳的特征码，新增添加导入函数功能，方便花指令调用）

发表于: 2010-3-2 00:10 10043

[原创]PETotal V1.7（可自定义识别壳的特征码，新增添加导入函数功能，方便花指令调用）

fhurricane 活跃值

2010-3-2 00:10

10043

应一些热心朋友的建议，我把特征码拿到文件里面读取了，
这样可以自定义特征码了，非常感谢大家的建议~~~

这次的改善点：
1. 检查壳和编译信息的特征码信息，转移到外部文件中，支持自定义特征码

这次新增的功能：
1. 新增添加导入函数功能，方便花指令调用函数

总结一下到目前为止的功能吧：
1. 支持换肤
2. 可以看可执行文件（exe，dll，sys）的版本信息，
PE头信息（可用于效验文件的三个字段）和
这个可执行文件使用的DLL和函数，以及输出地函数接口
3. 支持拖拽功能，可以直接拖拽文件到界面，即可分析
4. 可以检查可执行文件是否已经数字签名了
5..可以探测一部分加壳的信息和编译器的信息
6. 可以自动添加花指令，免杀功能
也可以手动添加空白Section，然后修改入口地址，自己通过第三方工具加花指令
7. 支持添加自定义花指令
8. 支持自定义shellcode探框的消息内容
9. 新增提取图标和位图的资源文件功能
10. 文件捆绑功能
12. 支持拖入快捷方式分析，直接拖入桌面的快捷方式即可分析
13. 附加数据的分析和提取附加数据
14. 自定义查壳/编译器信息的特征码
15. 可添加导入函数，方便花指令调用函数

特征码格式如下：
# 特征码位置索引; 特征码; 壳/编译器名称; 是否从头往下查询（如果有位置索引请置0）
例子：
0106090A;E8E9FFFF;Micorsoft Visual C++ 2005/2008;0
0106090A是特征码相对于程序入口点所处位置，第01位，第06位，以此类推。。。
E8E9FFFF就是这些位置分别对应的特征码，第01位是E8，第06位是E9，以此类推。。。
Micorsoft Visual C++ 2005/2008就是要显示的信息
最后一个0是说按照位置索引来查找，
如果是1就是说从头开始一次查找，这个时候位置索引项目请置0

以分号（;）间隔，一行为一条特征码，#号作为注释行

来看一下添加导入函数的效果：
首先选择一个DLL，下拉框会自动取得DLL导出函数

选择想要添加的函数点击添加增加到列表框里面，然后点击保存按钮

最后看一下PESniffer.dll里的两个函数已经添加到导入列表里面了

最后感谢大家的支持和关注，
有什么疑问和好的建议，欢迎联系我，谢谢~~~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#[PEtools]

上传的附件：

addimp1.jpg （32.30kb，807次下载）
addimp2.jpg （33.17kb，802次下载）
addimp3.jpg （38.77kb，807次下载）
PETotal V1.7.zip （987.69kb，669次下载）

收藏・5

免费・0

支持

最新回复 (31) 1 2 ▶
奘和雪币： 4902 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 2 楼不是我不明白是这世界变化快啊更新速度那是相当快啊 2010-3-2 00:28 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 3 楼功能越來越強大啦實用性也增強了下載更新，感謝樓主更新分享 2010-3-2 01:55 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 4 楼谢谢大家的支持～～～不知道有人知道贝壳安全吗？ http://bbs.beike.cn/thread-5331-1-1.html 企图把我的软件列入黑名单啊。。。 2010-3-2 09:20 0
crdiy 雪币： 346 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 1 关注私信	crdiy 5 楼支持下哦。更新的非常的哦。而且做的还很好哦 2010-3-2 11:33 0
zoomlp 雪币： 720 活跃值： (857) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 276 粉丝 0 关注私信	zoomlp 6 楼谢谢！！！谢谢！！！！！！ 2010-3-2 12:42 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 7 楼又有更新了!! 2010-3-2 21:38 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 8 楼下載更新版本. 感謝您. 2010-3-2 22:36 0
云台雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	云台 9 楼支持下做免杀还是来看雪值得！！！ 2010-3-3 18:44 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 10 楼非常感谢，您这一帖太宝贵了，呵呵 2010-3-4 12:26 0
风中飘叶雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	风中飘叶 11 楼你应该加个更新功能更新速度太快了 2010-3-5 10:22 0
风中飘叶雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	风中飘叶 12 楼发现bug 在拉入一个文件时发生的上传的附件： QQ截图未命名.jpg （12.62kb，697次下载） 2010-3-5 10:58 0
music错过了雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	music错过了 13 楼支持更新的谢谢分享啦 2010-3-5 12:58 0
xmy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xmy 14 楼又更新了,真是好东西,谢谢楼主了 2010-3-6 16:38 0
资本雪币： 249 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	资本 15 楼更新真快刚看的时候才1.0 现在就变1.7了 2010-3-7 00:01 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 16 楼多谢这位朋友的提醒，的确还有不稳定的地方啊。。。 2010-3-7 11:07 0
奘和雪币： 4902 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 17 楼嘿嘿看来下一次更新不远了 2010-3-7 11:13 0
piscesaaa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	piscesaaa 18 楼 1.7版不能运行在Win7下？运行环境：Windows Server 2008 R2 出错现象：系统报错：有助于描述该问题的文件: C:\Users\Administrator\AppData\Local\Temp\WERF580.tmp.WERInternalMetadata.xml C:\Users\Administrator\AppData\Local\Temp\WERFD4.tmp.appcompat.txt C:\Users\Administrator\AppData\Local\Temp\WERFE4.tmp.mdmp 联机阅读隐私声明: http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0804 如果无法获取联机隐私声明，请脱机阅读我们的隐私声明: C:\Windows\system32\zh-CN\erofflps.txt 2010-3-13 20:39 0
xtaymimk 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 102 粉丝 0 关注私信	xtaymimk 19 楼学习下~~~~~ 2010-3-15 08:00 0
lhbking 雪币： 2568 活跃值： (399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	lhbking 20 楼谢谢分享，支持楼主。 2010-3-15 20:02 0
vdo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	vdo 21 楼更新真快哦 2010-3-17 13:53 0
mmzhzyh 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mmzhzyh 22 楼支持啊,LZ继续加油啊.....顶起 2010-3-17 19:04 0
classfree 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	classfree 23 楼顶！谢谢分享！ 2010-3-20 10:34 0
z3663050 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	z3663050 24 楼真是好东西,谢谢楼主了 2010-3-20 15:38 0
南方失败雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	南方失败 25 楼如果VC也能写木马，是不是要把VC也杀了？呵呵，支持一下楼主 2010-3-23 08:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fhurricane

发帖

270

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
奘和雪币： 4902 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 2 楼不是我不明白是这世界变化快啊更新速度那是相当快啊 2010-3-2 00:28 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 3 楼功能越來越強大啦實用性也增強了下載更新，感謝樓主更新分享 2010-3-2 01:55 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 4 楼谢谢大家的支持～～～不知道有人知道贝壳安全吗？ http://bbs.beike.cn/thread-5331-1-1.html 企图把我的软件列入黑名单啊。。。 2010-3-2 09:20 0
crdiy 雪币： 346 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 1 关注私信	crdiy 5 楼支持下哦。更新的非常的哦。而且做的还很好哦 2010-3-2 11:33 0
zoomlp 雪币： 720 活跃值： (857) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 276 粉丝 0 关注私信	zoomlp 6 楼谢谢！！！谢谢！！！！！！ 2010-3-2 12:42 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 7 楼又有更新了!! 2010-3-2 21:38 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 8 楼下載更新版本. 感謝您. 2010-3-2 22:36 0
云台雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	云台 9 楼支持下做免杀还是来看雪值得！！！ 2010-3-3 18:44 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 10 楼非常感谢，您这一帖太宝贵了，呵呵 2010-3-4 12:26 0
风中飘叶雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	风中飘叶 11 楼你应该加个更新功能更新速度太快了 2010-3-5 10:22 0
风中飘叶雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	风中飘叶 12 楼发现bug 在拉入一个文件时发生的上传的附件： QQ截图未命名.jpg （12.62kb，697次下载） 2010-3-5 10:58 0
music错过了雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	music错过了 13 楼支持更新的谢谢分享啦 2010-3-5 12:58 0
xmy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xmy 14 楼又更新了,真是好东西,谢谢楼主了 2010-3-6 16:38 0
资本雪币： 249 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	资本 15 楼更新真快刚看的时候才1.0 现在就变1.7了 2010-3-7 00:01 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 16 楼多谢这位朋友的提醒，的确还有不稳定的地方啊。。。 2010-3-7 11:07 0
奘和雪币： 4902 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 17 楼嘿嘿看来下一次更新不远了 2010-3-7 11:13 0
piscesaaa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	piscesaaa 18 楼 1.7版不能运行在Win7下？运行环境：Windows Server 2008 R2 出错现象：系统报错：有助于描述该问题的文件: C:\Users\Administrator\AppData\Local\Temp\WERF580.tmp.WERInternalMetadata.xml C:\Users\Administrator\AppData\Local\Temp\WERFD4.tmp.appcompat.txt C:\Users\Administrator\AppData\Local\Temp\WERFE4.tmp.mdmp 联机阅读隐私声明: http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0804 如果无法获取联机隐私声明，请脱机阅读我们的隐私声明: C:\Windows\system32\zh-CN\erofflps.txt 2010-3-13 20:39 0
xtaymimk 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 102 粉丝 0 关注私信	xtaymimk 19 楼学习下~~~~~ 2010-3-15 08:00 0
lhbking 雪币： 2568 活跃值： (399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	lhbking 20 楼谢谢分享，支持楼主。 2010-3-15 20:02 0
vdo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	vdo 21 楼更新真快哦 2010-3-17 13:53 0
mmzhzyh 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mmzhzyh 22 楼支持啊,LZ继续加油啊.....顶起 2010-3-17 19:04 0
classfree 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	classfree 23 楼顶！谢谢分享！ 2010-3-20 10:34 0
z3663050 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	z3663050 24 楼真是好东西,谢谢楼主了 2010-3-20 15:38 0
南方失败雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	南方失败 25 楼如果VC也能写木马，是不是要把VC也杀了？呵呵，支持一下楼主 2010-3-23 08:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复