[原创]如何用程序判定一个PE文件是否加壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]如何用程序判定一个PE文件是否加壳

2010-6-22 10:41 42704

[原创]如何用程序判定一个PE文件是否加壳

Lenus

2010-6-22 10:41

42704

查看主题内容

收藏・59

点赞・8

打赏

最新回复 (53) ◀ 1 2 3 ▶
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 2010-7-9 18:29 26 楼 0 感谢LZ这么好的资料
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 2010-7-10 11:12 27 楼 0 有空再研究研究, 看不太懂... 收藏了, 谢谢~
枫癫雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	枫癫 2010-7-10 14:49 28 楼 0 下收藏了再说
feilang非浪雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	feilang非浪 2010-7-10 23:03 29 楼 0 其实有一段时间有对这方面的稍微研究了一下，对于lenus所说的，加了什么壳，我的理解可能是差不多，基本的都是按照特征码来的，每一个语言开发出来的软件，都会带有自己的特征，这是肯定了，那目前有多少种语言，汇编，C,C++,Dehpi,.NET,JAVA，E语言等等，都有自己的特征码，还有已知的所有壳，PEID这类的有着很多年历史的，对于特征码的收集，肯定很多，但是对于楼主所说的神经网络，智能学习，探测类的，估计目前也许有，但是知识太深奥了。
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 2010-7-12 02:45 30 楼 0 看不懂Entropy
wdbg 雪币： 287 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	wdbg 2010-7-12 09:33 31 楼 0 这篇文章非常不错，很有耳目一新的感觉
流云似水雪币： 261 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	流云似水 2010-7-12 15:06 32 楼 0 学习了，感谢分享！
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 281 粉丝 1 关注私信	小娃崽 13 2010-7-13 09:42 33 楼 0 LENUS的那篇ESP定律给我的印象很深，刚开始学脱壳，看的就是ESP定律
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 2010-7-13 10:50 34 楼 0 不错楼主很强大啦关于墒的概念应该是信息论方面的知识啦
思远软件雪币： 84 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 49 回帖 321 粉丝 0 关注私信	思远软件 2010-7-13 12:13 35 楼 0 不错不错！！
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 19 关注私信	Lenus 3 2010-7-13 12:37 36 楼 0 说真的，最后一章我就是在扯淡。与其说判断加什么壳方式有这样的缺点，还不如说基于特征扫描的方式都会存在误报等缺点。虽然说建立类似神经网络等这样的系统的确能解决调大部分人工的参与，但是将这些引入到“加壳”的判定来说就是小题大作。所以，最后一章纯属扯淡！
yzcool 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yzcool 2010-7-19 11:15 37 楼 0 学习了，谢谢！！
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 69 粉丝 0 关注私信	estelle 2010-7-19 13:37 38 楼 0 呵呵等我有时间的时候去学习下
GuluYZ 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	GuluYZ 2010-7-19 22:58 39 楼 0 PEID的。 unsigned char data[4096] = {0x00};//测试计算 static void makeHistogram(const unsigned char buffer, int sizeOfBuffer, int histogramArray[256]) { int i; memset(histogramArray, 0, sizeof(int) 256); for(i = 0; i < sizeOfBuffer; i++) histogramArray[buffer[i]]++; } double calc_entropy(int code[],int size) { double d_key=0.0; double code_size=(double)size; if (code_size<0) { code_size+=4294967296.000000; } for (int i=0;i<256;i++) { double result=(double)code[i]; if (result!=0) { result=(double)(int)result; if (result<0) { result=+4294967296.000000; } result=result / code_size; d_key-=resultlog(result); } } d_key= d_key / log((double)2); return d_key; } int _tmain(int argc, _TCHAR argv[]) { int histogramArray[256]; double i; makeHistogram( data, sizeof(data), histogramArray); i=calc_entropy( histogramArray, sizeof(data)); printf("%f",i); return 0; }
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2010-7-20 05:20 40 楼 0 啊我说的是看过类似的英文文章忘了哪看的了
tjszlqq 雪币： 774 活跃值： (1511) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 867 粉丝 1 关注私信	tjszlqq 1 2010-7-23 08:53 41 楼 0 高人终于又现身了,理论强大啊
backervon 雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	backervon 2010-7-30 09:39 42 楼 0 学习中，很有帮助！
TCAV 雪币： 137 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 2010-7-31 12:22 43 楼 0 好文章！顶lenus！期待lenus再次放血。
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 427 粉丝 1 关注私信	代码疯子 3 2010-8-12 13:07 44 楼 0 虽然我是新手也总得试着看看吧呵呵谢谢楼主了
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 2010-8-12 17:52 45 楼 0 不懂，学习一下
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 6 关注私信	wynney 24 2010-8-18 10:33 46 楼 0 代码简陋了点，单靠熵的标准，误报率相当哪个的高之前论坛上的GUnpack的误报率基本能控制在10%以内
hunain 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hunain 2010-9-1 12:40 47 楼 0 看着有点晕菜了,不过想要弄懂我想也只是时间上的问题,努力中......
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 196 粉丝 0 关注私信	hack一生 1 2010-9-8 17:30 48 楼 0 up...看雪强人真多
鸭子雪币： 257 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	鸭子 2010-9-18 22:25 49 楼 0 好文章,特来学习,谢了
jjjackup 雪币： 14289 活跃值： (2745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 2010-9-20 11:56 50 楼 0 收藏了，慢慢学习。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Lenus

发帖

394

回帖

130

RANK

关注

私信

他的文章

[分享]2015移动安全挑战赛第一题

[原创]如何用程序判定一个PE文件是否加壳

[求助]请问这个overridden 应该怎么理解？

问一个关于pipe的问题

关于OD插件的注入问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 2010-7-9 18:29 26 楼 0 感谢LZ这么好的资料
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 2010-7-10 11:12 27 楼 0 有空再研究研究, 看不太懂... 收藏了, 谢谢~
枫癫雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	枫癫 2010-7-10 14:49 28 楼 0 下收藏了再说
feilang非浪雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	feilang非浪 2010-7-10 23:03 29 楼 0 其实有一段时间有对这方面的稍微研究了一下，对于lenus所说的，加了什么壳，我的理解可能是差不多，基本的都是按照特征码来的，每一个语言开发出来的软件，都会带有自己的特征，这是肯定了，那目前有多少种语言，汇编，C,C++,Dehpi,.NET,JAVA，E语言等等，都有自己的特征码，还有已知的所有壳，PEID这类的有着很多年历史的，对于特征码的收集，肯定很多，但是对于楼主所说的神经网络，智能学习，探测类的，估计目前也许有，但是知识太深奥了。
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 2010-7-12 02:45 30 楼 0 看不懂Entropy
wdbg 雪币： 287 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	wdbg 2010-7-12 09:33 31 楼 0 这篇文章非常不错，很有耳目一新的感觉
流云似水雪币： 261 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	流云似水 2010-7-12 15:06 32 楼 0 学习了，感谢分享！
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 281 粉丝 1 关注私信	小娃崽 13 2010-7-13 09:42 33 楼 0 LENUS的那篇ESP定律给我的印象很深，刚开始学脱壳，看的就是ESP定律
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 2010-7-13 10:50 34 楼 0 不错楼主很强大啦关于墒的概念应该是信息论方面的知识啦
思远软件雪币： 84 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 49 回帖 321 粉丝 0 关注私信	思远软件 2010-7-13 12:13 35 楼 0 不错不错！！
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 19 关注私信	Lenus 3 2010-7-13 12:37 36 楼 0 说真的，最后一章我就是在扯淡。与其说判断加什么壳方式有这样的缺点，还不如说基于特征扫描的方式都会存在误报等缺点。虽然说建立类似神经网络等这样的系统的确能解决调大部分人工的参与，但是将这些引入到“加壳”的判定来说就是小题大作。所以，最后一章纯属扯淡！
yzcool 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yzcool 2010-7-19 11:15 37 楼 0 学习了，谢谢！！
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 69 粉丝 0 关注私信	estelle 2010-7-19 13:37 38 楼 0 呵呵等我有时间的时候去学习下
GuluYZ 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	GuluYZ 2010-7-19 22:58 39 楼 0 PEID的。 unsigned char data[4096] = {0x00};//测试计算 static void makeHistogram(const unsigned char buffer, int sizeOfBuffer, int histogramArray[256]) { int i; memset(histogramArray, 0, sizeof(int) 256); for(i = 0; i < sizeOfBuffer; i++) histogramArray[buffer[i]]++; } double calc_entropy(int code[],int size) { double d_key=0.0; double code_size=(double)size; if (code_size<0) { code_size+=4294967296.000000; } for (int i=0;i<256;i++) { double result=(double)code[i]; if (result!=0) { result=(double)(int)result; if (result<0) { result=+4294967296.000000; } result=result / code_size; d_key-=resultlog(result); } } d_key= d_key / log((double)2); return d_key; } int _tmain(int argc, _TCHAR argv[]) { int histogramArray[256]; double i; makeHistogram( data, sizeof(data), histogramArray); i=calc_entropy( histogramArray, sizeof(data)); printf("%f",i); return 0; }
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2010-7-20 05:20 40 楼 0 啊我说的是看过类似的英文文章忘了哪看的了
tjszlqq 雪币： 774 活跃值： (1511) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 867 粉丝 1 关注私信	tjszlqq 1 2010-7-23 08:53 41 楼 0 高人终于又现身了,理论强大啊
backervon 雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	backervon 2010-7-30 09:39 42 楼 0 学习中，很有帮助！
TCAV 雪币： 137 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 2010-7-31 12:22 43 楼 0 好文章！顶lenus！期待lenus再次放血。
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 427 粉丝 1 关注私信	代码疯子 3 2010-8-12 13:07 44 楼 0 虽然我是新手也总得试着看看吧呵呵谢谢楼主了
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 2010-8-12 17:52 45 楼 0 不懂，学习一下
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 6 关注私信	wynney 24 2010-8-18 10:33 46 楼 0 代码简陋了点，单靠熵的标准，误报率相当哪个的高之前论坛上的GUnpack的误报率基本能控制在10%以内
hunain 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hunain 2010-9-1 12:40 47 楼 0 看着有点晕菜了,不过想要弄懂我想也只是时间上的问题,努力中......
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 196 粉丝 0 关注私信	hack一生 1 2010-9-8 17:30 48 楼 0 up...看雪强人真多
鸭子雪币： 257 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	鸭子 2010-9-18 22:25 49 楼 0 好文章,特来学习,谢了
jjjackup 雪币： 14289 活跃值： (2745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 2010-9-20 11:56 50 楼 0 收藏了，慢慢学习。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复