-
-
[讨论]PEID该升级了
-
发表于:
2012-7-29 21:04
19828
-
使用了这么长时间PEID,发现一个严重问题,一般我们都会认为PEID是根据userdb.txt签名来识别加了哪种壳的,但是我遇到好几次这样的问题,发现PEID有时候会对加了壳的文件误报为
Microsoft Visual C++ 6.0
下面是heXer提供的PE签名
[* iPB Protect 0.1.3 - 0.1.7 -> forgot]
signature = 55 8B EC 6A FF 68 4B 43 55 46 68 54 49 48 53 64 A1 00 00 00 00
ep_only = true
PEID就是无法正确识别!!!老报为Microsoft Visual C++ 6.0
我们首先想到可能PEID的userdb.txt签名库中的Microsoft Visual C++ 6.0误报,好,我们来做一个实验,将userdb.txt中的所有Microsoft Visual C++ 6.0签名全部删除,这下该不会误报了吧,可结果呢,气死人,还是报为Microsoft Visual C++ 6.0 ,我晕
连不出名的Stud_PE都能正确识别,PEID该升级了,否则如此瞎报,岂不笑到大牙,终将被淘汰出局
提供几个iPB Protect加壳的文件,有兴趣的可以试下
test
附件原址http://bbs.pediy.com/showthread.php?s=&threadid=10806
或者从作者提供的unpackme.rar 下载最新版本
http://bbs.pediy.com/showthread.php?t=11776&highlight=forgot+V0
[课程]Android-CTF解题方法汇总!