一个自己写的查壳、找字符串的小工具
本帖最后由 安静的小酒吧 于 2016-3-8 08:25 编辑由于项目需要,要对PE文件进行静态分析,查壳是必不可少的一步,但是很多查壳工具例如PEID,EXEInfo等都不方便实现自动化处理,所以自己尝试写了一个查壳工具(命令行操作,使用输出重定向到文件就很容易实现批量操作),查壳原理和PEID差不多都是根据特征序列(不一定完全准确,但是常见的壳和编程语言还是可以搞定的),特征序列来源于一蓑烟雨论坛公开的特征序列,大概有四千多个特征,在此表示诚挚的感谢http://bbs.pediy.com/images/smilies/smile.gif。
除了查壳,还有字符串的搜索,可以指定字符串长度和是否搜索Unicode字符串,这个做的比较low,大家需要的话将就着用吧。
刚写完,自己只进行了简单的测试,欢迎交流。觉得有用的拿走不谢。
代码就先不放出来了,合适的时候我会放到github上。
效果图如下:
PECheck:
C-FBI-QM 发表于 2016-3-8 08:58
好久不见安静的小酒吧了不过小酒吧要加油咯
刚才测了下
VMP,SE,Themida没查出,ZP查成了ASPROTECT
这和特征码有关,我做的只是特征码识别,那个sig.txt文件里面没有的特征就不能查出来,特征相同的也有可能差错,欢迎丰富那个特征文件 安静的小酒吧 发表于 2016-3-8 18:58
什么是UserDB?特征码吗?里面有个sig.txt文件,和PEID那个一样,你去爱盘下载PEID,里面的就是了
听你说是UPK 的特征码,我说要一份呢,
打开一看跟爱盘下的差不多。
以前下载UserDb都在UPK下载的,现在UPK关了。 用什么语言写的 瞄瞄。 只有板凳了,火前留名 kesshei 发表于 2016-3-8 08:29
用什么语言写的 瞄瞄。
纯C语言,过段时间我再完善下会吧代码贡献出来 火前留名{:1_921:} 本帖最后由 C-FBI-QM 于 2016-3-8 09:08 编辑
好久不见安静的小酒吧了不过小酒吧要加油咯
刚才测了下
VMP,SE,Themida没查出,ZP查成了ASPROTECT
坐等源码,{:1_912:},谨记一蓑烟雨论坛。。。 好强大,学习一下 想要你的 UserDB