开发学院网络安全黑客技术 解密教学---第4章 静态分析技术 阅读

解密教学---第4章 静态分析技术

 2006-12-04 20:11:07 来源:WEB开发网   
核心提示: (图一)内存虚拟地址转换成文件偏移量二、文件类型分析文件分析是静态分析程序的第一步,通过相关工具显示欲调试文件的信息,解密教学---第4章 静态分析技术(2),如它是用什么语言写的,是否加壳等,文件CHAP301.EXE被分析出是用VC6.0编译的, CHAP303.EXE文件类型是Win

(图一)内存虚拟地址转换成文件偏移量

二、文件类型分析

文件分析是静态分析程序的第一步,通过相关工具显示欲调试文件的信息,如它是用什么语言写的,是否加壳等。常用的文件分析工具有TYP、Gtw或FileInfo。其中FileInfo(光盘  oolsfileFile analysers)由于识别文件类型较多,使用方便,在这一节简单地讲讲它的用法。

FileInfo运行时是DOS界面,支持Windows长文件名,能识别DOS、NE、PE等各种文件类型和壳。

语法:fi <drive:path><*.*> </r> </f> </d-> </l+> </p+>

 "fi /r"or "/s" 列出当前目录和子目录所有的文件信息;

 "fi /f" 仅列出能识别的文件

由于每次要进入DOS窗口运行程序相当不便,在这可创建快捷方式,把要分析的文章复制到FileInfo目录下,用鼠标双击FileInfo主文件即可。FileInfo快捷方式如图二。在快捷方式中的命令行中可以键入相关参数,如:FI.EXE /l /p+,此后用鼠标双击FileInfo快捷方式,会自动分析出FileInfo当前目录内的所有文件,不包含子目录。

图二FileInfo快捷方式中命令参数配制

双击此快捷方式就可执行带参数的FileInfo,显示结果如图三所示。

图三 FileInfo分析文件的报告

在此例中,文件CHAP301.EXE被分析出是用VC6.0编译的, CHAP303.EXE文件类型是Win GUI,就是Windows图形用户界面程序(一般FileInfo分析不出类型就报此类型)。另外此工具也可分析出程序是被何种软件所加密的等。

上一页  1 2 3 4 5 6 7  下一页

Tags:解密 教学 静态

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接