标签：分析 混淆 函数 恶意代码 使用 第一章 加壳 文件格式 PE

一、加壳脱壳

可以使用PEiD检测加壳。

PE文件格式
可移植执行（PE）文件格式是Windows可执行文件、对象代码和DLL所使用的标准格式。
PE文件其实是一种数据结构。

1.1 加壳后的特征

1、合法程序往往包含较多的字符串，而加壳或混淆后直接分析得到的可打印字符串则很少。
2、加壳/混淆后代码至少包含LoadLibray和GetProcAddress函数，用来加载和使用其他函数。

1.2 使用 Dependency Walker工具探索动态链接函数

标签：分析,混淆,函数,恶意代码,使用,第一章,加壳,文件格式,PE
来源： https://www.cnblogs.com/amnotgcs/p/15485601.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。