首页
社区
课程
招聘
[讨论]如何判断一个exe或者dll是系统的
发表于: 2021-4-13 18:31 3694

[讨论]如何判断一个exe或者dll是系统的

2021-4-13 18:31
3694

目前想到的办法有3个
1.微软签名,但是很多系统的exe和dll都没有签名,win7基本都没有
2.MD5值,这个效率低,而且MD5的库会特别大。
3.特征码,特征码的库也会特别大。
还有没有其他的办法判断呢?


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 8974
活跃值: (6195)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
md5庫很大????????????
2021-4-13 20:36
0
雪    币: 733
活跃值: (1395)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
3
md5为什么会很大呢?一个只有128个字节,要检查一个文件的完整性也只有签名这种方法,microsoft都是这么做的.
2021-4-13 21:06
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
有微软签名就是系统的,没有就不是,有些杀软就是这么干的,导致微软的一些模块没有签名也被报毒
2021-4-13 22:32
0
雪    币: 3148
活跃值: (244)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
pchunter和很多ARK工具都是看hash,没别的法
2021-4-14 09:37
0
雪    币: 337
活跃值: (641)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
mudebug md5庫很大????????????
对啊,系统有那么多个版本,每个版本又有那么多的文件,所以库会很大
2021-4-14 10:12
0
雪    币: 337
活跃值: (641)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
狐臭 md5为什么会很大呢?一个只有128个字节,要检查一个文件的完整性也只有签名这种方法,microsoft都是这么做的.
应该32字节128位吧,我看校验catalog会用到hash
2021-4-14 10:15
0
雪    币: 337
活跃值: (641)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
MSA_Li pchunter和很多ARK工具都是看hash,没别的法
那么pchunter应该会释放一个白名单或者黑名单hash库吧
2021-4-14 11:06
0
雪    币: 7
活跃值: (69)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件.
2021-4-14 11:15
0
雪    币: 337
活跃值: (641)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
潇遥子枫 验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件.
win7上面这两种签名都没有
2021-4-14 11:56
0
雪    币: 137
活跃值: (1345)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
xxyiyi win7上面这两种签名都没有[em_27]
有的 是在cat目录下的 不是在文件属性里
2021-4-14 13:02
0
雪    币: 337
活跃值: (641)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
huojier 有的 是在cat目录下的 不是在文件属性里
文件属性里面是嵌入签名肯定是没有的,签名目录签名也没有,我验证过
2021-4-14 15:54
0
游客
登录 | 注册 方可回帖
返回
//