哪些程序对于检测是否已打包64位PE文件(主要关注EXE文件)最有用。
我对使用的打包程序不感兴趣,我只想知道文件是否已打包

我知道PE文件的各种属性,例如检查熵,导入等。
通常建议使用PeID,但不幸的是它不支持64位文件,是否有程序相似并且支持64位文件(我有大量文件需要检查)?还有其他建议可以解决此问题吗?

我遇到过一些程序,但是我不确定它们是否很好。

评论

Detect It Easy支持64位PE文件。

#1 楼

protectionid支持x64文件,没有问题...如果您能想到我可以添加的任何内容,请让我知道,我会看看我能做什么(新版本计划在万圣节前夕进行,这将是一个怪异的“主题”)。只是不告诉任何人,这是一个秘密

评论


第一个支持PE32 +的版本是什么?

–天使
2014年9月11日20:41在

嗯,版本6或可能的版本5,其支持的pe32 +已有相当长的一段时间了

–evlncrn8
2014年9月12日0:00

protectionid是否也使用文件的功能(熵,导入次数等),还是仅基于签名?

–拉斐尔
2014年9月12日上午11:46

其功能远不止基于签名的签名,熵,干扰,对部分,特征的分析等等……它不只是其他扫描仪进行的简单ep签名扫描而已

–evlncrn8
2014年9月12日下午13:06

#2 楼

正如Extreme Extreme Coders所提到的,我只知道另外两个打包检测器,Protection iD和DiE(Detect it Easy)。

无论如何,您都需要做的事情。除了IDA之外,64位逆向工程还处于起步阶段,因为它是一种新的体系结构(相对于现有的64位应用程序数量),因此工具正在开发中,可以在64位应用程序上使用。特别是,它带有自己的一套怪癖(驱动程序签名,PatchGuard),大大降低了反转速度。
但即使IDA尚未发布64位反编译器(尽管他们声称它已经准备就绪),我的话进一步证实。

评论


IDA 6.6已经具有x64反编译器

– 0xec
2014年9月9日在17:23

谢谢您的到来,但这是IDA 6.6,x64已经存在了十多年(尽管直到最近才开始使用它)。我的观点仍然是64位RE仍处于起步阶段。

–farmdve
2014年9月9日17:24



@farmvde-“我的观点仍然是64位RE仍处于起步阶段”。您只是断言了这一点,而没有提供支持它的证据。尽管可能没有那么多的64位RE工具,但这并不意味着它才刚刚起步。有很多支持64位的RE工具(radare2,Hopper,IDA Pro,x64_dbg,WinDbg,gdb,Visual DuxDebugger,Capstone,diStorm64,C4Decompiler等)。

–米克
2014年9月9日18:39

#3 楼

我使用以下规则:


RDG
DiE

Yara使用这套规则

该Python脚本使用PEiD规则(像这样)。