[讨论]如何判断一个exe或者dll是系统的-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
mudebug 雪币： 8040 活跃值： (5240) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2021-4-13 20:36 2 楼 0 md5庫很大????????????
狐臭雪币： 733 活跃值： (1355) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 37 粉丝 10 关注私信	狐臭 2021-4-13 21:06 3 楼 0 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的.
luskyc 雪币： 248 活跃值： (3784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2021-4-13 22:32 4 楼 0 有微软签名就是系统的，没有就不是，有些杀软就是这么干的，导致微软的一些模块没有签名也被报毒
MSA_Li 雪币： 3148 活跃值： (244) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 39 粉丝 4 关注私信	MSA_Li 1 2021-4-14 09:37 5 楼 0 pchunter和很多ARK工具都是看hash，没别的法
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 10:12 6 楼 0 mudebug md5庫很大???????????? 对啊，系统有那么多个版本，每个版本又有那么多的文件，所以库会很大
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 10:15 7 楼 0 狐臭 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的. 应该32字节128位吧，我看校验catalog会用到hash
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 11:06 8 楼 0 MSA_Li pchunter和很多ARK工具都是看hash，没别的法那么pchunter应该会释放一个白名单或者黑名单hash库吧
潇遥子枫雪币： 7 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	潇遥子枫 2021-4-14 11:15 9 楼 0 验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件.
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 11:56 10 楼 0 潇遥子枫验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件. win7上面这两种签名都没有
huojier 雪币： 135 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 6 关注私信	huojier 2021-4-14 13:02 11 楼 0 xxyiyi win7上面这两种签名都没有[em_27] 有的是在cat目录下的不是在文件属性里
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 15:54 12 楼 0 huojier 有的是在cat目录下的不是在文件属性里文件属性里面是嵌入签名肯定是没有的，签名目录签名也没有,我验证过
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (11)
mudebug 雪币： 8040 活跃值： (5240) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2021-4-13 20:36 2 楼 0 md5庫很大????????????
狐臭雪币： 733 活跃值： (1355) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 37 粉丝 10 关注私信	狐臭 2021-4-13 21:06 3 楼 0 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的.
luskyc 雪币： 248 活跃值： (3784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2021-4-13 22:32 4 楼 0 有微软签名就是系统的，没有就不是，有些杀软就是这么干的，导致微软的一些模块没有签名也被报毒
MSA_Li 雪币： 3148 活跃值： (244) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 39 粉丝 4 关注私信	MSA_Li 1 2021-4-14 09:37 5 楼 0 pchunter和很多ARK工具都是看hash，没别的法
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 10:12 6 楼 0 mudebug md5庫很大???????????? 对啊，系统有那么多个版本，每个版本又有那么多的文件，所以库会很大
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 10:15 7 楼 0 狐臭 md5为什么会很大呢？一个只有128个字节，要检查一个文件的完整性也只有签名这种方法，microsoft都是这么做的. 应该32字节128位吧，我看校验catalog会用到hash
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 11:06 8 楼 0 MSA_Li pchunter和很多ARK工具都是看hash，没别的法那么pchunter应该会释放一个白名单或者黑名单hash库吧
潇遥子枫雪币： 7 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	潇遥子枫 2021-4-14 11:15 9 楼 0 验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件.
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 11:56 10 楼 0 潇遥子枫验证微软数字签名, 考虑内嵌数字签名和目录签名双重验证方式. PE文件/CAT目录都验证, 应该可以覆盖绝大部分系统文件. win7上面这两种签名都没有
huojier 雪币： 135 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 6 关注私信	huojier 2021-4-14 13:02 11 楼 0 xxyiyi win7上面这两种签名都没有[em_27] 有的是在cat目录下的不是在文件属性里
xxyiyi 雪币： 337 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 37 粉丝 3 关注私信	xxyiyi 2021-4-14 15:54 12 楼 0 huojier 有的是在cat目录下的不是在文件属性里文件属性里面是嵌入签名肯定是没有的，签名目录签名也没有,我验证过
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复