YasXFile

显示全部楼层 · 发表于 2009-8-29 17:45:47

这个本是YasBox的一个模块..不过最近开学没什么时间更新..先放上来..就是简单的分析静态PE文件的....当然里面的信息需要你去判断//..

显示全部楼层 · 发表于 2009-8-29 17:46:47

支持原创！沙发柚～抢不到我沙发拉！

显示全部楼层 · 发表于 2009-8-29 18:02:03

难道是启发？能否具体讲讲

显示全部楼层 · 发表于 2009-8-29 18:15:21

原帖由 SONGLEI 于 2009-8-29 18:02 发表
难道是启发？能否具体讲讲

首先是对常见的感染类型进行检测...判断文件是否被感染或者加壳了..
接着判断文件的数字签名情况
根据PE格式判断文件资源情况...比如是否有对话框或者菜单..一般界面程序会有这个
判断导入表是否有 GDI.DLL....一般界面程序会有这个..
搜索文件查找字符串..看是否有可疑的字符串...比如出现avp.exe ekrn之类的就可疑了..可能有映像劫持的可能,或者结束进程..
接着判断文件是否捆绑了文件..一般正规的文件是不捆绑的..有捆绑的话会显示出来的..
基本就这些..比较简单的检测..

显示全部楼层 · 发表于 2009-8-29 18:19:39

支持下
RQ送上

显示全部楼层 · 发表于 2009-8-29 19:56:40

好东西，支持了。。。

显示全部楼层 · 发表于 2009-8-30 09:13:25

支持了看到了一个完整版工具的希望

显示全部楼层 · 发表于 2009-8-30 09:18:34

感谢详细的技术解答，和杀软的启发判断很像。祝愿你的一整套工具逐渐完善，在HIPS开专区讨论。

显示全部楼层 · 发表于 2009-8-30 09:20:29

支持原创

显示全部楼层 · 发表于 2009-8-30 10:44:05

楼主你的程序怎么用,能打开吗?
怎么打开时一闪而过,没有界面啊

[原创工具] YasXFile

评分

评分

回复 4楼 Sysnap 的帖子