- UID
- 6086
注册时间2005-12-29
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
半成品下载:
PE分析完成了
新增加了易格式分析,下面是易之软件保护神扫瞄自己的报告:
易之软件保护神 V1.0 PE文件扫描报告 时间:2006年7月11日15时40分59秒
-------------------------------------------------------
文件:C:\Documents and Settings\new\桌面\易之软件保护神 V1.0.exe
-------------------------------------------------------
PE可执行文件格式分析
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
PE 文件头长度 :248
文件运行所要求的CPU :Intel 80386 processor
节数目 :4
OptionalHeader 结构大小 :224
文件信息的标记 :10Fh
文件创建的时间 :UTC时间 2000年5月19日10时11分55秒
标志字(Magic) :10Bh
连接器版本号 :4.0
代码段长度 :400h
已初始化数据块大小 :C600h
未初始化数据块大小 :0h
程序入口 [EntryCodeData]:00001000
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:00002000
优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000h
文件中节对齐粒度 :200h
系统所需版本号 :4.0
自定义版本号 :1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :10000h
所有头+节表的大小 :400h
校验和 :0
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DllCharacteristics :0
保留栈的大小 :100000h
初始时指定栈大小 :1000h
保留堆大小 :100000h
指定堆大小 :1000h
加载器标志 :0
Rva数和大小 :16
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 0000022C 00000400 00000400 60000020
2 .rdata 00002000 00000194 00000800 00000200 40000040
3 .ecode 00003000 0000B800 00000A00 0000B800 E0000040
4 .rsrc 0000F000 00000BA8 0000C200 00000C00 40000040
分析导入表【Import Table】
动态链接库 :USER32.dll
地址 : 8B8 830 ==> MessageBoxA
动态链接库 :KERNEL32.dll
地址 : 898 810 ==> FreeLibrary
地址 : 89C 814 ==> lstrcatA
地址 : 8A0 818 ==> GetModuleFileNameA
地址 : 8A4 81C ==> ExitProcess
地址 : 8A8 820 ==> LoadLibraryA
地址 : 8AC 824 ==> GetProcAddress
地址 : 8B0 828 ==> lstrlenA
动态链接库 :ADVAPI32.dll
地址 : 888 800 ==> RegQueryValueExA
地址 : 88C 804 ==> RegCloseKey
地址 : 890 808 ==> RegOpenKeyExA
易格式数据分析
文件头分析【APP_HEADER_INFO】
易格式数据基址 :00000A00
程序标记(m_dwMark) :454E5457
说明文本(m_chMark) : / MADE BY E COMPILER - WUTAO
文件头+附加数据尺寸 :1E7h
程序版本 :1
程序类型 :3
状态标志 :0
m_Reserved :18A85
调用DLL数 :13
程序入口点偏移 :0000B498
常量数据段偏移 :000001E7
窗口模板数据段偏移 :00000F66
接口数据段偏移 :00003A72
代码数据段偏移 :00003ADE
全局变量数据段偏移 :00003ADE
节数据段偏移 :000001E7
数据段分析【SECTION_INFO】
名称 数据尺寸 数据偏移 记录尺寸 载入尺寸 数据属性 下节记录
@const 00000038 0000021F 00000D47 00000D47 00000001 00000F66
@form 00000038 00000F9E 00002AD4 00002AD4 00000001 00003A72
@hlpfn 00000038 00003AAA 00000034 00000034 00000001 00003ADE
@code 0000069C 0000417A 000073A1 000073A1 00000005 0000B51B
@var 00000038 FFFFFFFF 00000000 00000034 00000013 0000B553
@reloc1 00000038 0000B58B 000001AC 000001AC 00000001 FFFFFFFF
导入库分析【DLL_INFO】
命令名 库名
00000CE6==>HideCaret 0000002F==>
00000CF0==>UnmapViewOfFile 0000002F==>
00000D00==>CloseHandle 0000002F==>
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D1A==>CreateFileA 00000CD9==>kernel32.dll
00000D26==>CreateFileMappingA 0000002F==>
00000D39==>MapViewOfFile 0000002F==>
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
00000D0C==>RtlMoveMemory 00000CD0==>kernel32
接口数据分析【LIB_INFO】
系统核心支持库
文件名 :krnln
数字签名 :d09f2340818511d396f6aaf844c7e325
版本 :4.4
扩展界面支持库二
文件名 :iext2
数字签名 :AF6AD80AA4244A59AFB3D83ECF5173CC
版本 :1.1
拖放支持库
文件名 :edroptarget
数字签名 :{9DA96BF9CEBD45c5BFCF94CBE61671F5}
版本 :1.0
应用接口支持库
文件名 :eAPI
数字签名 :F7FC1AE45C5C4758AF03EF19F18A395D
版本 :1.1
eLIB支持库
文件名 :eLIB
数字签名 :DA19BC3ADD2F4121ABD84AC5FBCAFC71
版本 :1.1
-------------------------------------------------------
加壳 ing......
请期待!
[ 本帖最后由 hacker0058 于 2006-7-11 19:08 编辑 ] |
|
IP卡
发表于 2006-7-8 18:15:43
提升卡
置顶卡
变色卡
千斤顶
显身卡
楼主
发表于 2006-7-8 18:53:08
发表于 2006-7-8 21:36:29