目前想到的办法有3个1.微软签名,但是很多系统的exe和dll都没有签名,win7基本都没有2.MD5值,这个效率低,而且MD5的库会特别大。3.特征码,特征码的库也会特别大。还有没有其他的办法判断呢?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
mudebug md5庫很大????????????
狐臭 md5为什么会很大呢?一个只有128个字节,要检查一个文件的完整性也只有签名这种方法,microsoft都是这么做的.
MSA_Li pchunter和很多ARK工具都是看hash,没别的法
潇遥子枫 验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件.
xxyiyi win7上面这两种签名都没有[em_27]
huojier 有的 是在cat目录下的 不是在文件属性里