那么,IDA如何理解文件是由打包程序打包的?

如何区分不同类型的包装机?

它们是否留下了一些重要的签名或字节码的某些模式?

或者它们是否确实以某种方式修改了文件的标头?

#1 楼

IDA不会检测包装机的类型。另外,不使用签名。相反,它分析PE头:.idata节,入口点和导入项。
此方法非常准确,误报率低。