首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
切勿过于依赖Peid的扫描
发表于: 2005-1-9 12:04 5127

切勿过于依赖Peid的扫描

David 活跃值
20
2005-1-9 12:04
5127
参考教学  切勿过于依赖Peid的扫描

经常看到有人问*PESHiELD 0.25 -> ANAKiN*是什么壳,这个其实是Peid0.92新加入的Bug

以首末尾*识别的壳一般都是类似Fi的红色的提示 >>PE Win GUI *UNKNOWN*,就是无法识别的类型。想正确识别就得经常收集壳的入口特征码,加入Peid的Userdb.txt。

具体来看看

Windows 系统风云 V4.2是应用程序病毒免疫器 V0.88 Build 0523 ->周劲羽 *这种类型,PEID误认为*PESHiELD 0.25 -> ANAKiN*。

再看看

PESpin主程序和加密的记事本都是PESpin v1.0 -> cyberbod *,而PEID误认为了PESpin 0.3x - 0.4x -> cyberbob,只有扩展方式才能取得正确结果。

最后我们来将一个Peid能识别的VB程序来diy成一个Nothing found *。

结论,这些花指令,花技术是难不住我们不断成长的Unpacker的。

                                                                      作者  二哥weiyi75
                                                                           
                                                                                   2005.1.8

参考动画

http://www.chinadfcg.com/attachment.php?aid=7368

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
lihai3330
雪    币: 159
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
不错的动画,谢谢!
能不能提供二哥的 userdb.txt 文件?
2005-1-9 12:12
0
David
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
私信
3
我的

附件:userdb.rar
2005-1-9 13:01
0
linhanshi
雪    币: 93920
活跃值: (200199)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
辛苦!!!
2005-1-9 13:11
0
stan52
雪    币: 11957
活跃值: (3730)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢提供!!!
2005-1-9 13:11
0
ljy3282393
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
谢谢提供!辛苦!!!
2005-1-9 13:47
0
great123
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
说的有道理,其实最根本的还是彻底分析透PE文件的格式,一切就没有障碍了
2005-1-9 14:44
0
babo
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
厉害,涨学问
2005-1-9 20:03
0
peterchen
雪    币: 335
活跃值: (263)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
userdb.rar
为什么我下载回来的全部都是0kb?
2005-1-9 20:37
0
David
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
私信
10
去 dfcg大本营下。
2005-1-9 20:45
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//