问题描述
|
他们打包了这个可执行文件,但是peid,protection_id或RDG都不告诉我它是什么,因为他们不知道。
我如何找到包装工?
还是定制的呢?
解决方法
它很容易从另一封隔器衍生而来,从而破坏了那些工具识别该封隔器的签名。拥有丰富经验的人可能会发现打包二进制文件的明显迹象,但如果所有三个工具都无法检测到它,则很有可能是定制的。它的定制标志是,如果解压缩代码相当简单并且在执行有效负载之前没有经过超过几KB的代码,那么它就是定制的。此外,还要寻找一些迹象表明它似乎无法打包通用程序二进制文件。