[讨论]如何判断一个exe或者dll是系统的-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
mudebug 雪币： 9032 活跃值： (6250) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 2 楼 md5庫很大???????????? 2021-4-13 20:36 0
狐臭雪币： 733 活跃值： (1395) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 47 粉丝 10 关注私信	狐臭 3 楼 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的. 2021-4-13 21:06 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼有微软签名就是系统的，没有就不是，有些杀软就是这么干的，导致微软的一些模块没有签名也被报毒 2021-4-13 22:32 0
MSA_Li 雪币： 3148 活跃值： (244) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 41 粉丝 4 关注私信	MSA_Li 1 5 楼 pchunter和很多ARK工具都是看hash，没别的法 2021-4-14 09:37 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 6 楼 mudebug md5庫很大???????????? 对啊，系统有那么多个版本，每个版本又有那么多的文件，所以库会很大 2021-4-14 10:12 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 7 楼狐臭 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的. 应该32字节128位吧，我看校验catalog会用到hash 2021-4-14 10:15 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 8 楼 MSA_Li pchunter和很多ARK工具都是看hash，没别的法那么pchunter应该会释放一个白名单或者黑名单hash库吧 2021-4-14 11:06 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 9 楼验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件. 2021-4-14 11:15 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 10 楼潇遥子枫验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件. win7上面这两种签名都没有 2021-4-14 11:56 0
huojier 雪币： 137 活跃值： (1375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 11 楼 xxyiyi win7上面这两种签名都没有[em_27] 有的是在cat目录下的不是在文件属性里 2021-4-14 13:02 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 12 楼 huojier 有的是在cat目录下的不是在文件属性里文件属性里面是嵌入签名肯定是没有的，签名目录签名也没有,我验证过 2021-4-14 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
mudebug 雪币： 9032 活跃值： (6250) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 2 楼 md5庫很大???????????? 2021-4-13 20:36 0
狐臭雪币： 733 活跃值： (1395) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 47 粉丝 10 关注私信	狐臭 3 楼 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的. 2021-4-13 21:06 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼有微软签名就是系统的，没有就不是，有些杀软就是这么干的，导致微软的一些模块没有签名也被报毒 2021-4-13 22:32 0
MSA_Li 雪币： 3148 活跃值： (244) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 41 粉丝 4 关注私信	MSA_Li 1 5 楼 pchunter和很多ARK工具都是看hash，没别的法 2021-4-14 09:37 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 6 楼 mudebug md5庫很大???????????? 对啊，系统有那么多个版本，每个版本又有那么多的文件，所以库会很大 2021-4-14 10:12 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 7 楼狐臭 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的. 应该32字节128位吧，我看校验catalog会用到hash 2021-4-14 10:15 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 8 楼 MSA_Li pchunter和很多ARK工具都是看hash，没别的法那么pchunter应该会释放一个白名单或者黑名单hash库吧 2021-4-14 11:06 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 9 楼验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件. 2021-4-14 11:15 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 10 楼潇遥子枫验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件. win7上面这两种签名都没有 2021-4-14 11:56 0
huojier 雪币： 137 活跃值： (1375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 11 楼 xxyiyi win7上面这两种签名都没有[em_27] 有的是在cat目录下的不是在文件属性里 2021-4-14 13:02 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 12 楼 huojier 有的是在cat目录下的不是在文件属性里文件属性里面是嵌入签名肯定是没有的，签名目录签名也没有,我验证过 2021-4-14 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复