829
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
天涯倦客 2012-10-18
- 打赏
- 举报
[Quote=引用 20 楼 的回复:]
PEID是先脱壳再分析的。
[/Quote]
或者运行后 注入看下。
PEID是先脱壳再分析的。
[/Quote]
或者运行后 注入看下。
山东蓝鸟贵薪 2012-08-16
- 打赏
- 举报
如果用DELPHI编写出的EXE程序用PEID
测试时会显示相关的信息:“Borland Delphi 6.0 - 7.0”
测试时会显示相关的信息:“Borland Delphi 6.0 - 7.0”
山东蓝鸟贵薪 2012-08-16
- 打赏
- 举报
用 检测工具 测试一个EXE文件,看看有没有“壳”
如果有壳就脱壳,再用PEID测试一下,就可以看出是什么编程软件编写的了
如果有壳就脱壳,再用PEID测试一下,就可以看出是什么编程软件编写的了
shuihan20e 2012-08-16
- 打赏
- 举报
有些可以根据程序里的图标来判断,当然不完全准确
ccrun.com 2012-08-16
- 打赏
- 举报
PEID是先脱壳再分析的。
kaikai_kk 2012-08-16
- 打赏
- 举报
[Quote=引用 18 楼 的回复:]
引用 17 楼 的回复:
分析PE头,应该是比较正确些
想通过什么控件名,类名,关健字等去分析,也有不正确的
还有最好的方法,就是直接问设计者
加个壳,比较难脱掉的,你如何分析PE头?
[/Quote]
我没说壳头,而是真正的程序PE头
我猜PEID也是先分析壳,除壳后,再分析PE的得出的结果,猜的哈...
引用 17 楼 的回复:
分析PE头,应该是比较正确些
想通过什么控件名,类名,关健字等去分析,也有不正确的
还有最好的方法,就是直接问设计者
加个壳,比较难脱掉的,你如何分析PE头?
[/Quote]
我没说壳头,而是真正的程序PE头我猜PEID也是先分析壳,除壳后,再分析PE的得出的结果,猜的哈...
s11ss 2012-08-16
- 打赏
- 举报
[Quote=引用 17 楼 的回复:]
分析PE头,应该是比较正确些
想通过什么控件名,类名,关健字等去分析,也有不正确的
还有最好的方法,就是直接问设计者
[/Quote]
加个壳,比较难脱掉的,你如何分析PE头?
分析PE头,应该是比较正确些
想通过什么控件名,类名,关健字等去分析,也有不正确的
还有最好的方法,就是直接问设计者
[/Quote]
加个壳,比较难脱掉的,你如何分析PE头?
kaikai_kk 2012-08-16
- 打赏
- 举报
分析PE头,应该是比较正确些
想通过什么控件名,类名,关健字等去分析,也有不正确的
还有最好的方法,就是直接问设计者
想通过什么控件名,类名,关健字等去分析,也有不正确的
还有最好的方法,就是直接问设计者
fox600123 2012-08-15
- 打赏
- 举报
用UltraEdit打开exe,查找“Borland”或者"Delphi",在查找选项中把ASCII勾上,总能找出几处来~
记得N年前更有趣的讨论是“Delphi”自己是用什么做的?
记得N年前更有趣的讨论是“Delphi”自己是用什么做的?
s11ss 2012-08-15
- 打赏
- 举报
Exe运行起来后,用Spy++查看窗体、控件的类名,发现都是以T开头的,呵呵。
haitao 2012-08-15
- 打赏
- 举报
[Quote=引用 9 楼 的回复:]
如果exe没有压缩,用16进制编辑器打开,在偏移400的地方,如果有@ Boolean这个字符串的话,就是
[/Quote]
我是直接搜delphi或c++
如果exe没有压缩,用16进制编辑器打开,在偏移400的地方,如果有@ Boolean这个字符串的话,就是
[/Quote]
我是直接搜delphi或c++
wzwcn 2012-08-15
- 打赏
- 举报
最简单的是用记事本打开exe或dll,如果前三个字符是MZP基本上就确定是delphi写的
cdchq 2012-08-15
- 打赏
- 举报
PEID可以查看
还有,一般delphi开发的程序,默认情况下,任务栏菜单只有还原,最小化,关闭这三项。其它工具开发的程序一般都有6项。当然这个不是绝对的,可以自己改。
还有,一般delphi开发的程序,默认情况下,任务栏菜单只有还原,最小化,关闭这三项。其它工具开发的程序一般都有6项。当然这个不是绝对的,可以自己改。
hsfzxjy 2012-08-15
- 打赏
- 举报
PEID是个好东西!不过中文版中毒后会卡死,建议用英文
爱蹄子的羊头 2012-08-15
- 打赏
- 举报
1 . 入口地址
还有其他的方法么?
还有其他的方法么?
爱蹄子的羊头 2012-08-15
- 打赏
- 举报
[Quote=引用 1 楼 的回复:]
最基本的:exe、dll入口特征码:
[Borland Delphi v6.0 - v7.0=558BEC83C4F0B8::::::::E8::::FBFFA1::::::::8B::E8::::FFFF8B0D::::::::A1::::::::8B008B15::::::::E8::::FFFFA1::::::::8B::E8::::FFFFE8::::FBFF8D40]
[Bor……
[/Quote]
00407130 > 55 PUSH EBP
00407131 8BEC MOV EBP,ESP
00407133 83C4 F0 ADD ESP,-10
00407136 B8 AC654000 MOV EAX,exe.004065AC
0040713B E8 34A0FFFF CALL exe.00401174
果然...
最基本的:exe、dll入口特征码:
[Borland Delphi v6.0 - v7.0=558BEC83C4F0B8::::::::E8::::FBFFA1::::::::8B::E8::::FFFF8B0D::::::::A1::::::::8B008B15::::::::E8::::FFFFA1::::::::8B::E8::::FFFFE8::::FBFF8D40]
[Bor……
[/Quote]
00407130 > 55 PUSH EBP
00407131 8BEC MOV EBP,ESP
00407133 83C4 F0 ADD ESP,-10
00407136 B8 AC654000 MOV EAX,exe.004065AC
0040713B E8 34A0FFFF CALL exe.00401174
果然...
蓝色光芒 2012-08-15
- 打赏
- 举报
baidu PEID这个软件
frtrnr 2012-08-15
- 打赏
- 举报
最基本的:exe、dll入口特征码:
[Borland Delphi v6.0 - v7.0=558BEC83C4F0B8::::::::E8::::FBFFA1::::::::8B::E8::::FFFF8B0D::::::::A1::::::::8B008B15::::::::E8::::FFFFA1::::::::8B::E8::::FFFFE8::::FBFF8D40]
[Borland Delphi v5.0 KOL/MCK=558BEC::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::FF::::::::::::::::00::::::::::::::::::::::::000000::::::::::::::::00::::::::::::::::::::::::::::000000::::::::::::::::::::::::::::::::::::::::000000::::::::::::::::::::::::::::::::::::::::000000::::::::::::::::::::::::::::::::::::::::::::::::::::::00::::::::::000000::::::::::::::::::::::::::::::::::::::000000::::::::::000000]
[Borland Delphi v5.0 KOL=558BEC83C4F0B8::::4000E8::::FFFFE8::::FFFFE8::::FFFF8BC00000000000000000000000]
当然,还有特征字符串
exe与dll结构
很多方面............
[Borland Delphi v6.0 - v7.0=558BEC83C4F0B8::::::::E8::::FBFFA1::::::::8B::E8::::FFFF8B0D::::::::A1::::::::8B008B15::::::::E8::::FFFFA1::::::::8B::E8::::FFFFE8::::FBFF8D40]
[Borland Delphi v5.0 KOL/MCK=558BEC::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::FF::::::::::::::::00::::::::::::::::::::::::000000::::::::::::::::00::::::::::::::::::::::::::::000000::::::::::::::::::::::::::::::::::::::::000000::::::::::::::::::::::::::::::::::::::::000000::::::::::::::::::::::::::::::::::::::::::::::::::::::00::::::::::000000::::::::::::::::::::::::::::::::::::::000000::::::::::000000]
[Borland Delphi v5.0 KOL=558BEC83C4F0B8::::4000E8::::FFFFE8::::FFFFE8::::FFFF8BC00000000000000000000000]
当然,还有特征字符串
exe与dll结构
很多方面............
爱蹄子的羊头 2012-08-15
- 打赏
- 举报
总结一下:
1 入口地址
2 PEID软件(这个软件的原理是什么, 暂时不详细)
3 开头, Delphi是 MZP, VC++ 是 MZ?
4 PE 头 Delphi是 This program must be run under Win32, VC++ 是 This program cannot be run in DOS mode
5 用Spy++等 能看到类名 Delphi是 TForm C++ 是 #32270 MFC 是 afx***
1 入口地址
2 PEID软件(这个软件的原理是什么, 暂时不详细)
3 开头, Delphi是 MZP, VC++ 是 MZ?
4 PE 头 Delphi是 This program must be run under Win32, VC++ 是 This program cannot be run in DOS mode
5 用Spy++等 能看到类名 Delphi是 TForm C++ 是 #32270 MFC 是 afx***
爱蹄子的羊头 2012-08-15
- 打赏
- 举报
[Quote=引用 7 楼 的回复:]
Exe运行起来后,用Spy++查看窗体、控件的类名,发现都是以T开头的,呵呵。
[/Quote]
这是真的. 控件T打头, 不过可以改..
Exe运行起来后,用Spy++查看窗体、控件的类名,发现都是以T开头的,呵呵。
[/Quote]
这是真的. 控件T打头, 不过可以改..
加载更多回复(4)
