易之软件保护神 V1.0(半成品测试)
半成品下载:PE分析完成了
新增加了易格式分析,下面是易之软件保护神扫瞄自己的报告:
易之软件保护神 V1.0PE文件扫描报告时间:2006年7月11日15时40分59秒
-------------------------------------------------------
文件:C:\Documents and Settings\new\桌面\易之软件保护神 V1.0.exe
-------------------------------------------------------
PE可执行文件格式分析
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
PE 文件头长度 :248
文件运行所要求的CPU :Intel 80386 processor
节数目 :4
OptionalHeader 结构大小:224
文件信息的标记 :10Fh
文件创建的时间 :UTC时间 2000年5月19日10时11分55秒
标志字(Magic) :10Bh
连接器版本号 :4.0
代码段长度 :400h
已初始化数据块大小 :C600h
未初始化数据块大小 :0h
程序入口:00001000
代码段起始 :00001000
数据库段起始 :00002000
优先装载地址:00400000
内存中节对齐粒度 :1000h
文件中节对齐粒度 :200h
系统所需版本号 :4.0
自定义版本号 :1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :10000h
所有头+节表的大小 :400h
校验和 :0
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DllCharacteristics :0
保留栈的大小 :100000h
初始时指定栈大小 :1000h
保留堆大小 :100000h
指定堆大小 :1000h
加载器标志 :0
Rva数和大小 :16
分析节表【Section Table】
序号 名称代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text00001000 0000022C 00000400 00000400 60000020
2 .rdata00002000 00000194 00000800 00000200 40000040
3 .ecode00003000 0000B800 00000A00 0000B800 E0000040
4 .rsrc0000F000 00000BA8 0000C200 00000C00 40000040
分析导入表【Import Table】
动态链接库 :USER32.dll
地址 : 8B8830 ==> MessageBoxA
动态链接库 :KERNEL32.dll
地址 : 898810 ==> FreeLibrary
地址 : 89C814 ==> lstrcatA
地址 : 8A0818 ==> GetModuleFileNameA
地址 : 8A481C ==> ExitProcess
地址 : 8A8820 ==> LoadLibraryA
地址 : 8AC824 ==> GetProcAddress
地址 : 8B0828 ==> lstrlenA
动态链接库 :ADVAPI32.dll
地址 : 888800 ==> RegQueryValueExA
地址 : 88C804 ==> RegCloseKey
地址 : 890808 ==> RegOpenKeyExA
易格式数据分析
文件头分析【APP_HEADER_INFO】
易格式数据基址 :00000A00
程序标记(m_dwMark) :454E5457
说明文本(m_chMark) : / MADE BY E COMPILER - WUTAO
文件头+附加数据尺寸 :1E7h
程序版本 :1
程序类型 :3
状态标志 :0
m_Reserved :18A85
调用DLL数 :13
程序入口点偏移 :0000B498
常量数据段偏移 :000001E7
窗口模板数据段偏移 :00000F66
接口数据段偏移 :00003A72
代码数据段偏移 :00003ADE
全局变量数据段偏移 :00003ADE
节数据段偏移 :000001E7
数据段分析【SECTION_INFO】
名称 数据尺寸数据偏移记录尺寸载入尺寸数据属性下节记录
@const 000000380000021F00000D4700000D470000000100000F66
@form 0000003800000F9E00002AD400002AD40000000100003A72
@hlpfn 0000003800003AAA00000034000000340000000100003ADE
@code 0000069C0000417A000073A1000073A1000000050000B51B
@var 00000038FFFFFFFF0000000000000034000000130000B553
@reloc1000000380000B58B000001AC000001AC00000001FFFFFFFF
导入库分析【DLL_INFO】
命令名 库名
00000CE6==>HideCaret 0000002F==>
00000CF0==>UnmapViewOfFile 0000002F==>
00000D00==>CloseHandle 0000002F==>
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D1A==>CreateFileA 00000CD9==>kernel32.dll
00000D26==>CreateFileMappingA 0000002F==>
00000D39==>MapViewOfFile 0000002F==>
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
接口数据分析【LIB_INFO】
系统核心支持库
文件名 :krnln
数字签名 :d09f2340818511d396f6aaf844c7e325
版本 :4.4
扩展界面支持库二
文件名 :iext2
数字签名 :AF6AD80AA4244A59AFB3D83ECF5173CC
版本 :1.1
拖放支持库
文件名 :edroptarget
数字签名 :{9DA96BF9CEBD45c5BFCF94CBE61671F5}
版本 :1.0
应用接口支持库
文件名 :eAPI
数字签名 :F7FC1AE45C5C4758AF03EF19F18A395D
版本 :1.1
eLIB支持库
文件名 :eLIB
数字签名 :DA19BC3ADD2F4121ABD84AC5FBCAFC71
版本 :1.1
-------------------------------------------------------
加壳 ing......
请期待!
[ 本帖最后由 hacker0058 于 2006-7-11 19:08 编辑 ] 易语言写的,未独立编译
在安装了易语言的机器上才能运行 强人。。。。。。。 那就期待中................
页:
[1]