[求助]关于使用特征码识别PE文件壳类型-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	 2 楼自己c32asm搜索一下不就知道在什么位置了.. 或者打开文件修改读写位置为0 查找（返回的文件是文件位置）关闭文件 2011-8-27 21:19 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 3 楼 peid的签名，多数都是在入口点处开始。这种签名可以直接定位到入口点之后再对比。有的可能有通配符对于那些不在入口点的，就必须在全Section搜索了。 2011-8-28 23:56 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 4 楼如果对于不在入口点的情况，那搜索起来是不是很复杂，因为壳的特征码是未知的，特征码的位置也是未知的，怎么解决这个问题？ 2011-8-29 10:20 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 5 楼你是想自己写引擎吗？特征码位置未知，就只能全文搜索了，其实也不负责，就是效率太低。可以用考虑开源引擎 2011-8-29 13:27 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 6 楼写引擎倒是不至于，只是一个项目中的一块，希望能够检测到是否加壳。不过我也乐意研究下这种开源的引擎，希望你能给我大概介绍下有哪些开源的，谢谢 2011-8-30 09:07 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 7 楼可以考虑yara 2011-8-30 17:20 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 8 楼十分感谢！ 2011-8-30 18:54 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 9 楼不好意思又要问你了，看了两天的YARA，用了Windows命令行的版本，大部分怎么都是python的，怎么把YARA集成到我的ｃ项目中，网站上的source里面windows下的头文件和代码文件不会用 2011-9-2 17:12 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 10 楼 yara是有c版本的，这个头文件的问题，我也没有搞过，你可以具体调试看看，linux可以编译，理论上windows也可以。实在不行，可以调用yara.exe嘛 2011-9-5 19:18 0
fzyysky 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fzyysky 11 楼十分感谢楼主，顶！ 2011-9-5 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	 2 楼自己c32asm搜索一下不就知道在什么位置了.. 或者打开文件修改读写位置为0 查找（返回的文件是文件位置）关闭文件 2011-8-27 21:19 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 3 楼 peid的签名，多数都是在入口点处开始。这种签名可以直接定位到入口点之后再对比。有的可能有通配符对于那些不在入口点的，就必须在全Section搜索了。 2011-8-28 23:56 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 4 楼如果对于不在入口点的情况，那搜索起来是不是很复杂，因为壳的特征码是未知的，特征码的位置也是未知的，怎么解决这个问题？ 2011-8-29 10:20 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 5 楼你是想自己写引擎吗？特征码位置未知，就只能全文搜索了，其实也不负责，就是效率太低。可以用考虑开源引擎 2011-8-29 13:27 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 6 楼写引擎倒是不至于，只是一个项目中的一块，希望能够检测到是否加壳。不过我也乐意研究下这种开源的引擎，希望你能给我大概介绍下有哪些开源的，谢谢 2011-8-30 09:07 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 7 楼可以考虑yara 2011-8-30 17:20 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 8 楼十分感谢！ 2011-8-30 18:54 0
XDLover 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	XDLover 9 楼不好意思又要问你了，看了两天的YARA，用了Windows命令行的版本，大部分怎么都是python的，怎么把YARA集成到我的ｃ项目中，网站上的source里面windows下的头文件和代码文件不会用 2011-9-2 17:12 0
whiledone 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	whiledone 10 楼 yara是有c版本的，这个头文件的问题，我也没有搞过，你可以具体调试看看，linux可以编译，理论上windows也可以。实在不行，可以调用yara.exe嘛 2011-9-5 19:18 0
fzyysky 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fzyysky 11 楼十分感谢楼主，顶！ 2011-9-5 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于使用特征码识别PE文件壳类型 0.00雪花