[原创]如何用程序判定一个PE文件是否加壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]如何用程序判定一个PE文件是否加壳

发表于: 2010-6-22 10:41 44708

[原创]如何用程序判定一个PE文件是否加壳

Lenus

2010-6-22 10:41

44708

查看主题内容

收藏・59

免费・9

支持

最新回复 (53) ◀ 1 2 3 ▶
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 26 楼感谢LZ这么好的资料 2010-7-9 18:29 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 27 楼有空再研究研究, 看不太懂... 收藏了, 谢谢~ 2010-7-10 11:12 0
枫癫雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	枫癫 28 楼下收藏了再说 2010-7-10 14:49 0
feilang非浪雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	feilang非浪 29 楼其实有一段时间有对这方面的稍微研究了一下，对于lenus所说的，加了什么壳，我的理解可能是差不多，基本的都是按照特征码来的，每一个语言开发出来的软件，都会带有自己的特征，这是肯定了，那目前有多少种语言，汇编，C,C++,Dehpi,.NET,JAVA，E语言等等，都有自己的特征码，还有已知的所有壳，PEID这类的有着很多年历史的，对于特征码的收集，肯定很多，但是对于楼主所说的神经网络，智能学习，探测类的，估计目前也许有，但是知识太深奥了。 2010-7-10 23:03 0
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 30 楼看不懂Entropy 2010-7-12 02:45 0
wdbg 雪币： 287 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	wdbg 31 楼这篇文章非常不错，很有耳目一新的感觉 2010-7-12 09:33 0
流云似水雪币： 261 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	流云似水 32 楼学习了，感谢分享！ 2010-7-12 15:06 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 33 楼 LENUS的那篇ESP定律给我的印象很深，刚开始学脱壳，看的就是ESP定律 2010-7-13 09:42 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 34 楼不错楼主很强大啦关于墒的概念应该是信息论方面的知识啦 2010-7-13 10:50 0
思远软件雪币： 88 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 50 回帖 320 粉丝 0 关注私信	思远软件 35 楼不错不错！！ 2010-7-13 12:13 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 36 楼说真的，最后一章我就是在扯淡。与其说判断加什么壳方式有这样的缺点，还不如说基于特征扫描的方式都会存在误报等缺点。虽然说建立类似神经网络等这样的系统的确能解决调大部分人工的参与，但是将这些引入到“加壳”的判定来说就是小题大作。所以，最后一章纯属扯淡！ 2010-7-13 12:37 0
yzcool 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yzcool 37 楼学习了，谢谢！！ 2010-7-19 11:15 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 38 楼呵呵等我有时间的时候去学习下 2010-7-19 13:37 0
GuluYZ 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	GuluYZ 39 楼 PEID的。 unsigned char data[4096] = {0x00};//测试计算 static void makeHistogram(const unsigned char buffer, int sizeOfBuffer, int histogramArray[256]) { int i; memset(histogramArray, 0, sizeof(int) 256); for(i = 0; i < sizeOfBuffer; i++) histogramArray[buffer[i]]++; } double calc_entropy(int code[],int size) { double d_key=0.0; double code_size=(double)size; if (code_size<0) { code_size+=4294967296.000000; } for (int i=0;i<256;i++) { double result=(double)code[i]; if (result!=0) { result=(double)(int)result; if (result<0) { result=+4294967296.000000; } result=result / code_size; d_key-=resultlog(result); } } d_key= d_key / log((double)2); return d_key; } int _tmain(int argc, _TCHAR argv[]) { int histogramArray[256]; double i; makeHistogram( data, sizeof(data), histogramArray); i=calc_entropy( histogramArray, sizeof(data)); printf("%f",i); return 0; } 2010-7-19 22:58 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 40 楼啊我说的是看过类似的英文文章忘了哪看的了 2010-7-20 05:20 0
tjszlqq 雪币： 1319 活跃值： (2306) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 884 粉丝 2 关注私信	tjszlqq 1 41 楼高人终于又现身了,理论强大啊 2010-7-23 08:53 0
backervon 雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	backervon 42 楼学习中，很有帮助！ 2010-7-30 09:39 0
TCAV 雪币： 139 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 43 楼好文章！顶lenus！期待lenus再次放血。 2010-7-31 12:22 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 44 楼虽然我是新手也总得试着看看吧呵呵谢谢楼主了 2010-8-12 13:07 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 45 楼不懂，学习一下 2010-8-12 17:52 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 46 楼代码简陋了点，单靠熵的标准，误报率相当哪个的高之前论坛上的GUnpack的误报率基本能控制在10%以内 2010-8-18 10:33 0
hunain 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hunain 47 楼看着有点晕菜了,不过想要弄懂我想也只是时间上的问题,努力中...... 2010-9-1 12:40 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 48 楼 up...看雪强人真多 2010-9-8 17:30 0
鸭子雪币： 257 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	鸭子 49 楼好文章,特来学习,谢了 2010-9-18 22:25 0
jjjackup 雪币： 14677 活跃值： (3130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 50 楼收藏了，慢慢学习。 2010-9-20 11:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Lenus

发帖

394

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
langker 雪币： 65 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 199 粉丝 0 关注私信	langker 26 楼感谢LZ这么好的资料 2010-7-9 18:29 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 27 楼有空再研究研究, 看不太懂... 收藏了, 谢谢~ 2010-7-10 11:12 0
枫癫雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	枫癫 28 楼下收藏了再说 2010-7-10 14:49 0
feilang非浪雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	feilang非浪 29 楼其实有一段时间有对这方面的稍微研究了一下，对于lenus所说的，加了什么壳，我的理解可能是差不多，基本的都是按照特征码来的，每一个语言开发出来的软件，都会带有自己的特征，这是肯定了，那目前有多少种语言，汇编，C,C++,Dehpi,.NET,JAVA，E语言等等，都有自己的特征码，还有已知的所有壳，PEID这类的有着很多年历史的，对于特征码的收集，肯定很多，但是对于楼主所说的神经网络，智能学习，探测类的，估计目前也许有，但是知识太深奥了。 2010-7-10 23:03 0
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 30 楼看不懂Entropy 2010-7-12 02:45 0
wdbg 雪币： 287 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	wdbg 31 楼这篇文章非常不错，很有耳目一新的感觉 2010-7-12 09:33 0
流云似水雪币： 261 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	流云似水 32 楼学习了，感谢分享！ 2010-7-12 15:06 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 33 楼 LENUS的那篇ESP定律给我的印象很深，刚开始学脱壳，看的就是ESP定律 2010-7-13 09:42 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 34 楼不错楼主很强大啦关于墒的概念应该是信息论方面的知识啦 2010-7-13 10:50 0
思远软件雪币： 88 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 50 回帖 320 粉丝 0 关注私信	思远软件 35 楼不错不错！！ 2010-7-13 12:13 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 36 楼说真的，最后一章我就是在扯淡。与其说判断加什么壳方式有这样的缺点，还不如说基于特征扫描的方式都会存在误报等缺点。虽然说建立类似神经网络等这样的系统的确能解决调大部分人工的参与，但是将这些引入到“加壳”的判定来说就是小题大作。所以，最后一章纯属扯淡！ 2010-7-13 12:37 0
yzcool 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yzcool 37 楼学习了，谢谢！！ 2010-7-19 11:15 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 38 楼呵呵等我有时间的时候去学习下 2010-7-19 13:37 0
GuluYZ 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	GuluYZ 39 楼 PEID的。 unsigned char data[4096] = {0x00};//测试计算 static void makeHistogram(const unsigned char buffer, int sizeOfBuffer, int histogramArray[256]) { int i; memset(histogramArray, 0, sizeof(int) 256); for(i = 0; i < sizeOfBuffer; i++) histogramArray[buffer[i]]++; } double calc_entropy(int code[],int size) { double d_key=0.0; double code_size=(double)size; if (code_size<0) { code_size+=4294967296.000000; } for (int i=0;i<256;i++) { double result=(double)code[i]; if (result!=0) { result=(double)(int)result; if (result<0) { result=+4294967296.000000; } result=result / code_size; d_key-=resultlog(result); } } d_key= d_key / log((double)2); return d_key; } int _tmain(int argc, _TCHAR argv[]) { int histogramArray[256]; double i; makeHistogram( data, sizeof(data), histogramArray); i=calc_entropy( histogramArray, sizeof(data)); printf("%f",i); return 0; } 2010-7-19 22:58 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 40 楼啊我说的是看过类似的英文文章忘了哪看的了 2010-7-20 05:20 0
tjszlqq 雪币： 1319 活跃值： (2306) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 884 粉丝 2 关注私信	tjszlqq 1 41 楼高人终于又现身了,理论强大啊 2010-7-23 08:53 0
backervon 雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	backervon 42 楼学习中，很有帮助！ 2010-7-30 09:39 0
TCAV 雪币： 139 活跃值： (19) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	TCAV 43 楼好文章！顶lenus！期待lenus再次放血。 2010-7-31 12:22 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 44 楼虽然我是新手也总得试着看看吧呵呵谢谢楼主了 2010-8-12 13:07 0
lovebubble 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 72 粉丝 0 关注私信	lovebubble 45 楼不懂，学习一下 2010-8-12 17:52 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 46 楼代码简陋了点，单靠熵的标准，误报率相当哪个的高之前论坛上的GUnpack的误报率基本能控制在10%以内 2010-8-18 10:33 0
hunain 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hunain 47 楼看着有点晕菜了,不过想要弄懂我想也只是时间上的问题,努力中...... 2010-9-1 12:40 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 48 楼 up...看雪强人真多 2010-9-8 17:30 0
鸭子雪币： 257 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	鸭子 49 楼好文章,特来学习,谢了 2010-9-18 22:25 0
jjjackup 雪币： 14677 活跃值： (3130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 50 楼收藏了，慢慢学习。 2010-9-20 11:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复