-
-
[旧帖]
[原创]判断PE文件是否加密加壳的方法
0.00雪花
-
发表于:
2012-2-8 00:02
2250
-
[旧帖] [原创]判断PE文件是否加密加壳的方法
0.00雪花
http://bbs.pediy.com/showthread.php?p=1042209#post1042209
前几天发了该帖,上面一帖被众多神牛鄙视了,想想这个方法太概率了。
今日偶然相处了一个新的方法,求众神牛扔砖头。
对于加密文件,往往要自己重新获取需要使用的API函数的地址,假如这个前提成立的话(看了《加密与解密》说一般的壳都有这么做),那么就有下面的方法啦:
1 原来的PE文件所使用的API被隐藏了,也就是对PE结构进行分析无法获取这些被隐藏的将要使用的API
2 PE文件运行时,所使用的API就会暴露出来,这是采用API HOOk技术,注入每一个在进程中使用的DLL,遍历每个API函数,通过他的句柄获取原来的文件路径,通过这个路径,分析该PE文件的导入函数表中是否有目前正在调用的API,如果没有,说明该PE有隐藏的API,可以推测具有加密行为。
这个方法还没来得及编程实验,刚想到就很激动的在这里描述出来,求众神牛意见。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
