我想知道像Peid exe工具或protectid这样的探测器如何检测pe文件的打包器/保护。当程序打包时,我想也许是一些常量值,但我不太了解。有人可以解释我这是如何工作的,这是在OllyDbg或其他类似的Debugers中展示它的最佳方式。对我来说,这些程序如何检测到这一点真是一个谜。
提前致谢!
答案 0 :(得分:1)
这些工具中的大多数都是基于签名的,并且还有一些额外的启发式方法。检测编译器也是如此(通过检测编译器启动代码和其他签名)。检测编译器然后保护器更容易,因为大多数保护器正在改变对打包应用程序进行解密/解压缩的代码部分。