[求助]怎么识别一个PE文件有某个区域被填充了-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
狼头头雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	狼头头 2 楼不明白什么意思。。。 2009-8-5 12:30 0
redleafe 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	redleafe 3 楼这个实现起来不太可能吧？。除非你跟踪到了它的填充算法。你能不能举个这样加密PE文件的例子？期待高手指点。 2009-8-5 12:38 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 4 楼 UltraCompare.exe 二进制比较软件 2009-8-5 12:50 0
HCracker 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	HCracker 5 楼 To 3楼的：填充算法可能是WinHex的随机填充法，也可能是用户自己用00之类的指令填充。我们必须想办法判断哪些是正常指令，要举个例子也很容易，最简单的就是有些人把一个病毒的特征码所在的模糊区域用一些无意义的指令填充了。 To 4楼的：我是说第一次见到(而且每历史记录)就要判断出来，二进制比较软件找谁做比较？ 2009-8-5 14:03 0
HCracker 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	HCracker 6 楼怎么还是没人知道，很难吗？ 2009-8-6 14:14 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼楼主的意思好像是在不知道原始程序是什么样子的情况下进行的判断…… 2009-8-6 15:21 0
HCracker 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	HCracker 8 楼这个问题好像把全坛的大虾给难倒了，哈哈！ 2009-8-7 14:11 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼我想你说的就是防止静态反汇编的方法。实际上有IDA在分析软件的时候，已经做的很好了。那些无效的数据是会被IDA挑出来的。不会被当做指令分析的。那个技术应该是"加花".. 2009-8-7 22:35 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 10 楼对我等菜鸟来说，这种问题和Stolen Code确实都是令人头痛的问题！又没原文件可作对比 2009-8-13 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
狼头头雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	狼头头 2 楼不明白什么意思。。。 2009-8-5 12:30 0
redleafe 雪币： 362 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	redleafe 3 楼这个实现起来不太可能吧？。除非你跟踪到了它的填充算法。你能不能举个这样加密PE文件的例子？期待高手指点。 2009-8-5 12:38 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 4 楼 UltraCompare.exe 二进制比较软件 2009-8-5 12:50 0
HCracker 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	HCracker 5 楼 To 3楼的：填充算法可能是WinHex的随机填充法，也可能是用户自己用00之类的指令填充。我们必须想办法判断哪些是正常指令，要举个例子也很容易，最简单的就是有些人把一个病毒的特征码所在的模糊区域用一些无意义的指令填充了。 To 4楼的：我是说第一次见到(而且每历史记录)就要判断出来，二进制比较软件找谁做比较？ 2009-8-5 14:03 0
HCracker 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	HCracker 6 楼怎么还是没人知道，很难吗？ 2009-8-6 14:14 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼楼主的意思好像是在不知道原始程序是什么样子的情况下进行的判断…… 2009-8-6 15:21 0
HCracker 雪币： 201 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	HCracker 8 楼这个问题好像把全坛的大虾给难倒了，哈哈！ 2009-8-7 14:11 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼我想你说的就是防止静态反汇编的方法。实际上有IDA在分析软件的时候，已经做的很好了。那些无效的数据是会被IDA挑出来的。不会被当做指令分析的。那个技术应该是"加花".. 2009-8-7 22:35 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 10 楼对我等菜鸟来说，这种问题和Stolen Code确实都是令人头痛的问题！又没原文件可作对比 2009-8-13 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复