首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
经典问答
发新帖
0
0
[求助]怎么识别一个PE文件有某个区域被填充了
发表于: 2009-8-5 10:33
4181
[求助]怎么识别一个PE文件有某个区域被填充了
HCracker
2009-8-5 10:33
4181
假设在第一次碰到某个PE文件,这个PE文件标准的内容是:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX(一个X表示一块)
可是有人把它填充成
XX
0
XXXXXXXXXXXXXXXXXXXX
0
XXXXXXXXXXXXXXX(
0
表示被填充的区域)
现在用一个程序怎么识别出这个PE文件哪些区域是原始的,哪些区域是被填充了的。
分两种情况考虑:
1.用相同的十六进制填充,如:00 90 FF这些常用的填充码
2.用像WinHex里的随机填充。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
8
)
狼头头
雪 币:
212
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
64
粉丝
0
关注
私信
狼头头
2
楼
不明白什么意思。。。
2009-8-5 12:30
0
redleafe
雪 币:
362
活跃值:
(12)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
51
粉丝
0
关注
私信
redleafe
3
楼
这个实现起来不太可能吧?。
除非你跟踪到了它的填充算法。
你能不能举个这样加密PE文件的例子?
期待高手指点。
2009-8-5 12:38
0
北极狐狸
雪 币:
2368
活跃值:
(81)
能力值:
(RANK:300 )
在线值:
发帖
46
回帖
1342
粉丝
0
关注
私信
北极狐狸
7
4
楼
UltraCompare.exe
二进制比较软件
2009-8-5 12:50
0
HCracker
雪 币:
201
活跃值:
(13)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
34
粉丝
0
关注
私信
HCracker
5
楼
To 3楼的:填充算法可能是WinHex的随机填充法,也可能是用户自己用00之类的指令填充。我们必须想办法判断哪些是正常指令,要举个例子也很容易,最简单的就是有些人把一个病毒的特征码所在的模糊区域用一些无意义的指令填充了。
To 4楼的:我是说第一次见到(而且每历史记录)就要判断出来,二进制比较软件找谁做比较?
2009-8-5 14:03
0
HCracker
雪 币:
201
活跃值:
(13)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
34
粉丝
0
关注
私信
HCracker
6
楼
怎么还是没人知道,很难吗?
2009-8-6 14:14
0
轩辕小聪
雪 币:
722
活跃值:
(123)
能力值:
( LV12,RANK:300 )
在线值:
发帖
10
回帖
547
粉丝
5
关注
私信
轩辕小聪
7
7
楼
楼主的意思好像是在不知道原始程序是什么样子的情况下进行的判断……
2009-8-6 15:21
0
HCracker
雪 币:
201
活跃值:
(13)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
34
粉丝
0
关注
私信
HCracker
8
楼
这个问题好像把全坛的大虾给难倒了,哈哈!
2009-8-7 14:11
0
北极狐狸
雪 币:
2368
活跃值:
(81)
能力值:
(RANK:300 )
在线值:
发帖
46
回帖
1342
粉丝
0
关注
私信
北极狐狸
7
9
楼
我想你说的就是防止静态反汇编的方法。实际上有IDA在分析软件的时候,已经做的很好了。那些无效的数据是会被IDA挑出来的。不会被当做指令分析的。那个技术应该是"加花"..
2009-8-7 22:35
0
goodlucky
雪 币:
257
活跃值:
(28)
能力值:
( LV7,RANK:100 )
在线值:
发帖
25
回帖
286
粉丝
0
关注
私信
goodlucky
2
10
楼
对我等菜鸟来说,这种问题和Stolen Code确实都是令人头痛的问题!又没原文件可作对比
2009-8-13 22:56
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
HCracker
8
发帖
34
回帖
10
RANK
关注
私信
他的文章
[求助]IMAGE_FILE_BYTES_REVERSED_LO和IMAGE_FILE_BYTES_REVERSED_HI同时为1是怎么回事?
3302
[求助]有谁能把某个PE文件里的DOS Stub程序分离出来吗?
8814
[求助]怎么识别一个PE文件有某个区域被填充了
4182
[求助][求助]紧急求助,在.rsrc区段修改软件谁能做到吗?帮帮我
3347
[求助]全局钩子怎么只在本程序和explorer.exe下被发现呢?
6564
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部