目前想到的办法有3个1.微软签名,但是很多系统的exe和dll都没有签名,win7基本都没有2.MD5值,这个效率低,而且MD5的库会特别大。3.特征码,特征码的库也会特别大。还有没有其他的办法判断呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课
mudebug md5庫很大????????????
狐臭 md5为什么会很大呢?一个只有128个字节,要检查一个文件的完整性也只有签名这种方法,microsoft都是这么做的.
MSA_Li pchunter和很多ARK工具都是看hash,没别的法
潇遥子枫 验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件.
xxyiyi win7上面这两种签名都没有[em_27]
huojier 有的 是在cat目录下的 不是在文件属性里