Có cách nào để phát hiện (hoặc ẩn) trình biên dịch đã được sử dụng để xây dựng một tệp thực thi không?
Có cách nào để phát hiện (hoặc ẩn) trình biên dịch đã được sử dụng để xây dựng một tệp thực thi không?
Câu trả lời:
PEiD là khá tốt
PEiD phát hiện hầu hết các trình đóng gói, mật mã và trình biên dịch phổ biến cho các tệp PE. Hiện tại nó có thể phát hiện hơn 600 chữ ký khác nhau trong các tệp PE.
PEiD đặc biệt ở một số khía cạnh khi so sánh với các định danh khác đã có!
- Nó có một GUI tuyệt vời và giao diện thực sự trực quan và đơn giản.
- Tỷ lệ phát hiện là một trong những mức tốt nhất được đưa ra bởi bất kỳ định danh nào khác.
- Các chế độ quét đặc biệt để phát hiện nâng cao các tệp đã sửa đổi và chưa biết.
- Tích hợp Shell, hỗ trợ dòng lệnh, Luôn luôn đứng đầu và các khả năng của Drag'n'Drop.
- Nhiều tập tin và thư mục quét với đệ quy.
- Trình xem tác vụ và bộ điều khiển.
- Giao diện Plugin với các plugin như Generic OEP Finder và Krypto ANALyzer.
- Kỹ thuật quét thêm được sử dụng để phát hiện thậm chí tốt hơn.
- Tùy chọn quét heuristic.
- Chi tiết PE mới, Nhập khẩu, Xuất khẩu và người xem TLS
- Mới được xây dựng trong trình phân tách nhanh.
- Mới được xây dựng trong trình xem hex.
- Giao diện chữ ký bên ngoài có thể được cập nhật bởi người dùng.
Hãy thử các chuỗi tiện ích * nix . Sử dụng strings -a foo.exe
nên tạo ra một đống kết quả. Chuyển hướng đến một tập tin và kiểm tra trong trình soạn thảo yêu thích của bạn. Bạn có thể thấy một dòng liên quan trực tiếp đến một trình biên dịch cụ thể, chẳng hạn như Borland C ++ - Bản quyền 2002 Borland Corporation . Bạn chỉ có thể tìm thấy các dòng ngụ ý một trình biên dịch cụ thể đã được sử dụng, chẳng hạn như trong một đường dẫn bao gồm hoặc bất cứ điều gì.
Chuỗi cũng có sẵn cho các cửa sổ như là một phần của cygwin hoặc là một phần của gói microsys sysiternals .
(Cũ nhưng không sao ..)
Ngôn ngữ 2000 : http://farrokhi.net/lingu
Nếu bạn có thể tìm cách kiểm tra hàng chục byte đầu tiên của tệp EXE, trong kết xuất hex với các ký tự ASCII tương ứng được hiển thị, chúng thường sẽ chỉ ra trình biên dịch được sử dụng.
Bạn có thể sử dụng "walker walker" để kiểm tra thư viện thời gian chạy mà nó liên kết đến. MSVCP100 là Microsoft Visual C ++ 2010 x86