|
|
|
|
| 软件大小:179 KB |
| |
| 软件语言:简体中文 |
| |
| 软件类别:系统安全 |
| |
| 运行环境:Win9x/ME/NT/2000/XP/2003 |
| |
| 软件更新:2006-7-27 9:12:53 |
| |
| 页面刷新:2008-5-12 13:26:25 |
| |
| 开发商: |
| |
软件介绍:
文件捆绑原理:
EXE文件有点怪,在后面加个尾巴,一般仍能正常运行。文件捆绑机正是钻了这个空子,它们在一个正常文件后面,附上木马、病毒等东东;运行经过捆绑的文件,正常文件运行的同时,恶意程序也被启动。
本程序工作原理:
分析PE文件结构,得到正常文件捆绑前的本来长度。如果实际长度>本来长度,则一定在正常文件后面加了尾巴。然后对尾巴进行分析:如果尾巴的头部是可执行的头部,则该文件很可能有问题。
尾巴性质:
PE--Portable Executable(可移植的执行体)。它是Win32环境自身所带的执行体文件格式
DOS EXE--命令行程序。
包--不好判别的尾巴:(1)可能含有文件安装信息;(2)可能是安装文件制作的包;(3)也可能是文件捆绑机作的包。如果来历不明的文件有包,很可能有鬼。
忽略小于1K的尾巴:
许多正道的文件也有尾巴。我用此程序发现MS的很多东东都有一个小小的尾巴,一般在1K以内。1K以内的尾巴是恶意东东的可能性比较小,但如果真是恶意东东,则一定非常厉害。
尾巴头部前256字节:
选择一个搜索到的文件,用16进制方式显示其头部信息。在这里你会发现很多程序的小秘密 :)
|
|
| |
点击这儿下载 Download Now: 
|
| |
相关软件:
·更多相关 Related GO!->
|
| |
注意事项:
☉本站允许1000人同时下载,如果总是不能下载,请点击报告错误,谢谢。
☉请一定升级到最新版[WinRAR]才能正常解压本站提供的软件;如有其它问题,欢迎发信笨笨下载
☉如果您喜欢这个软件请推荐给朋友,谢谢。 |
|
|
