一个自己写的查壳、找字符串的小工具

安静的小酒吧 · 发表于 2016-3-8 08:24

本帖最后由安静的小酒吧于 2016-3-8 08:25 编辑

由于项目需要，要对PE文件进行静态分析，查壳是必不可少的一步，但是很多查壳工具例如PEID，EXEInfo等都不方便实现自动化处理，所以自己尝试写了一个查壳工具（命令行操作，使用输出重定向到文件就很容易实现批量操作），查壳原理和PEID差不多都是根据特征序列（不一定完全准确，但是常见的壳和编程语言还是可以搞定的），特征序列来源于一蓑烟雨论坛公开的特征序列，大概有四千多个特征，在此表示诚挚的感谢

。
除了查壳，还有字符串的搜索，可以指定字符串长度和是否搜索Unicode字符串，这个做的比较low，大家需要的话将就着用吧。
刚写完，自己只进行了简单的测试，欢迎交流。觉得有用的拿走不谢。
代码就先不放出来了，合适的时候我会放到github上。
效果图如下：

PECheck：

PECheck.rar (174.25 KB, 下载次数: 261)

安静的小酒吧 · 发表于 2016-3-8 18:57

C-FBI-QM 发表于 2016-3-8 08:58
好久不见安静的小酒吧了不过小酒吧要加油咯
刚才测了下
VMP,SE,Themida没查出，ZP查成了ASPROTECT

这和特征码有关，我做的只是特征码识别，那个sig.txt文件里面没有的特征就不能查出来，特征相同的也有可能差错，欢迎丰富那个特征文件

11212122 · 发表于 2016-3-11 19:20

安静的小酒吧发表于 2016-3-8 18:58
什么是UserDB？特征码吗？里面有个sig.txt文件，和PEID那个一样，你去爱盘下载PEID，里面的就是了

听你说是UPK 的特征码，我说要一份呢，
打开一看跟爱盘下的差不多。

以前下载UserDb都在UPK下载的，现在UPK关了。

kesshei · 发表于 2016-3-8 08:29

用什么语言写的瞄瞄。

hft好粥道 · 发表于 2016-3-8 08:37

只有板凳了，火前留名

安静的小酒吧 · 发表于 2016-3-8 08:37

kesshei 发表于 2016-3-8 08:29
用什么语言写的瞄瞄。

纯C语言，过段时间我再完善下会吧代码贡献出来

云中燕 · 发表于 2016-3-8 08:48

火前留名

C-FBI-QM · 发表于 2016-3-8 08:58

本帖最后由 C-FBI-QM 于 2016-3-8 09:08 编辑

好久不见安静的小酒吧了不过小酒吧要加油咯
刚才测了下
VMP,SE,Themida没查出，ZP查成了ASPROTECT

wangiquyun · 发表于 2016-3-8 09:10

坐等源码，{:1_912:}，谨记一蓑烟雨论坛。。。

xzf680 · 发表于 2016-3-8 10:14

好强大，学习一下

11212122 · 发表于 2016-3-8 10:18

想要你的 UserDB

帐号		自动登录	找回密码
密码			注册[Register]

[PEtools] 一个自己写的查壳、找字符串的小工具

个人中心