一、加壳脱壳
可以使用PEiD检测加壳。
PE文件格式
可移植执行(PE)文件格式是Windows可执行文件、对象代码和DLL所使用的标准格式。
PE文件其实是一种数据结构。
1.1 加壳后的特征
1、合法程序往往包含较多的字符串,而加壳或混淆后直接分析得到的可打印字符串则很少。
2、加壳/混淆后代码至少包含LoadLibray和GetProcAddress函数,用来加载和使用其他函数。
相关文章
- 01-162018-2019-2 《网络对抗技术》Exp4 恶意代码分析 20165326
- 01-162019-2020-2 网络对抗技术 20175211 Exp4 恶意代码分析
- 01-16恶意代码分析实战第一章(一)
- 01-16【恶意代码分析】【第一章】静态分析基础技术
- 01-16【第一章:绪论】静态时序分析圣经翻译计划
- 01-1620181313毕然《网络对抗技术》——Exp4 恶意代码分析
- 01-16恶意代码分析入门系列之 - 基础知识
- 01-162018-2019-2 20165205《网络对抗技术》Exp4 恶意代码分析
- 01-162019-2020-2 20175334罗昕锐《网络对抗技术》Exp4 恶意代码分析
- 01-16【DataWhale数据分析】第一章:第二节pandas基础