PE文件加壳检测

Question

我想知道 Peid exe 工具或 protectedid 等检测器如何检测 pe 文件的加壳/保护。我想当程序打包时可能会有一些常量值，但我不太清楚。有人可以解释一下它到底是如何工作的吗？在 OllyDbg 或其他类似的调试器中显示它的最佳方式。对我来说，这些程序如何检测到这一点真是一个谜。

预先感谢您的任何帮助！

Answer 1

大多数这些工具都是基于签名的，并带有一些额外的启发式方法。检测编译器也是如此（通过检测编译器启动代码和其他签名）。检测编译器比检测保护器更容易，因为大多数保护器都会改变对打包应用程序进行解密/解压缩的代码部分。