[分享]一个自己写的查壳、找字符串的小工具-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]一个自己写的查壳、找字符串的小工具

2016-3-3 15:53 13246

[分享]一个自己写的查壳、找字符串的小工具

安静的小酒吧

2016-3-3 15:53

13246

由于项目需要，要对PE文件进行静态分析，查壳是必不可少的一步，但是很多查壳工具例如PEID，EXEInfo等都不方便实现自动化处理，所以自己尝试写了一个查壳工具（命令行操作，使用输出重定向到文件就很容易实现批量操作），查壳原理和PEID差不多都是根据特征序列（不一定完全准确，但是常见的壳和编程语言还是可以搞定的），特征序列来源于一蓑烟雨论坛公开的特征序列，大概有四千多个特征，在此表示诚挚的感谢

。
除了查壳，还有字符串的搜索，可以指定字符串长度和是否搜索Unicode字符串，这个做的比较low，大家需要的话将就着用吧。
刚写完，自己只进行了简单的测试，欢迎交流。细节讨论，我的QQ是3089457174。
代码就先不放出来了，合适的时候我会放到github上。
效果图如下：

文件： PECheck.rar

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

1.png （9.08kb，5次下载）
2.png （13.57kb，3次下载）
PECheck.rar （174.25kb，104次下载）

收藏・7

点赞・0

打赏

最新回复 (16)
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 2016-3-3 18:47 2 楼 0 经测试，Win7 64下用不了， XP SP3 下也用不了。。。表示不会用。。。上传的附件： 2016-03-03_184626.jpg （108.55kb，4次下载）
zplusplus 雪币： 689 活跃值： (427) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 134 粉丝 25 关注私信	zplusplus 1 2016-3-3 20:40 3 楼 0 楼主发帖用的是哪个字体啊？
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 10:21 4 楼 0 这是幼圆。
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 10:23 5 楼 0 sig.txt 在同一目录下吗？
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 2016-3-4 14:12 6 楼 0 解压你提供的压缩包，没做任何改动，sig.txt 在同一目录下。。。上传的附件： 2016-03-04_142008.jpg （33.39kb，3次下载）
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 16:02 7 楼 0 可以把你的测试文件发我一份吗？Q3089457174
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 2016-3-4 17:40 8 楼 0 主程序怎么那么小呀？？才9.5K 你打的压缩包里的文件是否对？？测试很多的文件，都不能用！难道你测试能用？？或者是我不会用，我直接把文件拖放进去的。。。难道是用命令操作？？如果是用命令来查壳，那也太不方便了吧？测试文件http://pan.baidu.com/s/1eRwWRXC
wofan[OCN] 雪币： 2773 活跃值： (1628) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 814 粉丝 8 关注私信	wofan[OCN] 21 2016-3-4 20:25 9 楼 0 看截图和文件大小，就知道是命令行操作的，都说是测试了，还说。命令行加外壳，也是分分钟的事的，测试嘛，主要是看功能和速度。
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 357 粉丝 1 关注私信	影子不寂寞 2016-3-4 20:49 10 楼 0 谢谢楼主分享
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 22:32 11 楼 0 重新上传了文件，源码没改，改成了静态编译，运行时就不需要msvcr之类的dll了，xp下正常使用，那个说有问题的，我测试了你的文件，是正常的，如下：重新编译后的文件： PECheck.7z 上传的附件： PECheck.7z （123.78kb，64次下载） 1.png （1.40kb，1次下载）
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 22:35 12 楼 0 你再试一下吧，我这边没问题，看一下帖子的上一条回复
TorzSaber 雪币： 72 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 29 粉丝 0 关注私信	TorzSaber 2016-3-12 21:50 13 楼 0 朋友，请问能否提供一下这个特征序列呢？毕竟unpack关闭了。谢谢。
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-13 18:18 14 楼 0 下载我发的工具
TorzSaber 雪币： 72 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 29 粉丝 0 关注私信	TorzSaber 2016-3-14 15:13 15 楼 0 我下了一个;20090904版的，但是竟然只有近2000行。比你那个少了1万多行。神马情况。
mokey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	mokey 2016-3-16 22:12 17 楼 0 用不了
wx_ROAR 雪币： 1233 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 13 粉丝 0 关注私信	wx_ROAR 2020-4-5 10:03 18 楼 0 你好，请问有源码吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

安静的小酒吧

发帖

回帖

RANK

关注

私信

他的文章

[分享]一个自己写的查壳、找字符串的小工具

[原创]hook007木马分析

[原创]一个完整的crackme

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 2016-3-3 18:47 2 楼 0 经测试，Win7 64下用不了， XP SP3 下也用不了。。。表示不会用。。。上传的附件： 2016-03-03_184626.jpg （108.55kb，4次下载）
zplusplus 雪币： 689 活跃值： (427) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 134 粉丝 25 关注私信	zplusplus 1 2016-3-3 20:40 3 楼 0 楼主发帖用的是哪个字体啊？
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 10:21 4 楼 0 这是幼圆。
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 10:23 5 楼 0 sig.txt 在同一目录下吗？
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 2016-3-4 14:12 6 楼 0 解压你提供的压缩包，没做任何改动，sig.txt 在同一目录下。。。上传的附件： 2016-03-04_142008.jpg （33.39kb，3次下载）
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 16:02 7 楼 0 可以把你的测试文件发我一份吗？Q3089457174
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 2016-3-4 17:40 8 楼 0 主程序怎么那么小呀？？才9.5K 你打的压缩包里的文件是否对？？测试很多的文件，都不能用！难道你测试能用？？或者是我不会用，我直接把文件拖放进去的。。。难道是用命令操作？？如果是用命令来查壳，那也太不方便了吧？测试文件http://pan.baidu.com/s/1eRwWRXC
wofan[OCN] 雪币： 2773 活跃值： (1628) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 814 粉丝 8 关注私信	wofan[OCN] 21 2016-3-4 20:25 9 楼 0 看截图和文件大小，就知道是命令行操作的，都说是测试了，还说。命令行加外壳，也是分分钟的事的，测试嘛，主要是看功能和速度。
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 357 粉丝 1 关注私信	影子不寂寞 2016-3-4 20:49 10 楼 0 谢谢楼主分享
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 22:32 11 楼 0 重新上传了文件，源码没改，改成了静态编译，运行时就不需要msvcr之类的dll了，xp下正常使用，那个说有问题的，我测试了你的文件，是正常的，如下：重新编译后的文件： PECheck.7z 上传的附件： PECheck.7z （123.78kb，64次下载） 1.png （1.40kb，1次下载）
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-4 22:35 12 楼 0 你再试一下吧，我这边没问题，看一下帖子的上一条回复
TorzSaber 雪币： 72 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 29 粉丝 0 关注私信	TorzSaber 2016-3-12 21:50 13 楼 0 朋友，请问能否提供一下这个特征序列呢？毕竟unpack关闭了。谢谢。
安静的小酒吧雪币： 62 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	安静的小酒吧 1 2016-3-13 18:18 14 楼 0 下载我发的工具
TorzSaber 雪币： 72 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 29 粉丝 0 关注私信	TorzSaber 2016-3-14 15:13 15 楼 0 我下了一个;20090904版的，但是竟然只有近2000行。比你那个少了1万多行。神马情况。
mokey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	mokey 2016-3-16 22:12 17 楼 0 用不了
wx_ROAR 雪币： 1233 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 13 粉丝 0 关注私信	wx_ROAR 2020-4-5 10:03 18 楼 0 你好，请问有源码吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复