php 判斷exe文件是否正常
<?php
include "ExeInfo.php";
$pe = new PE_VIEWER( 'cmd.exe' );
$pe->out();
?>
、通常病毒會加殼,加殼後的程序其節名不再是常見的.text、.data、.rdata、.rsrc等,而是包含UPX、Aspack等字符的節名;
2、通常程序的入口點在10000一下,大多數在1000稍多一點的地方,如果程序入口點數值過大,就值得懷疑;
3、分析導入表,通常病毒的KERNEL32.DLL導入表只有LoadLibrary、GetProcAddress等少數幾個函數。
當然上述判斷並不准確,一些黑客程序及需要保密的程序也會加殼。
這個腳本能獲取exe文件的基本信息,並以xml格式輸出,目前不包含引入表信息。可以查看輸出信息來判斷exe文件是否正常。
