exeinfo pe的使用(基本)

最新推荐文章于 2025-10-18 11:30:14 发布
原创 最新推荐文章于 2025-10-18 11:30:14 发布 · 1.3w 阅读 · 86 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#测试工具

文章介绍了如何使用exeinfope和PE-Bear工具获取程序的哈希值、PE结构、是否加壳、导入导出表,以及识别常用DLL和其功能,强调了静态分析在初步理解文件性质中的重要性。

基本静态信息获取

一般需要获取的信息包括但不限于:

  1. 程序哈希值
  2. 导入函数表
  3. 导出函数表
  4. 是否有壳
  5. 程序的位数
  6. 字符串

具体步骤

使用exeinfope获取相关信息
  1. 讲文件拖入到exeinfope.exe中,可获取该文件的PE信息,示例如下:

如图中标记,可以知道:

  1. 该程序是个32的可执行程序
  2. 通过节区信息可以判断是否加壳,该程序没加壳,现实的是正常的.text节区

如下图:可以看到加了upx

  1. 点击图中的PE,可以进一步获取导入表等相关信息


![](https://img-blog.csdnimg.cn/img_convert/100e0e68bb155ca89217f61ee3385bcc.jpeg)

  1. 导入表、导出表信息可以帮助我们获取到程序所用到的功能函数,在恶意代码中获取常用的windows api.

初学者应该多翻翻导入的函数,熟悉哪些是恶意软件常用函数以及了解常用的windows api函数

常见dll程序如下:

Kemel32.dll - 这是 个很常见的 DLL 它包含核心系统功能,如访问和操作内存、文件和硬件,

等等

Advapi32.dll - 这个 DLL 提供了对核心 Window 组件的访问,比如服务管理器和注册表

User32.dll - 这个 DLL 包含了所有用户界面组件,如按钮、滚动条以及控制和响应用户操作的组件

Gdi32.dll - 这个 DLL 中包含了图形显示和操作的函数

Ntdll.dll - 这个 LL Window 内核的接口 可执行文件通常不直接导入这个函数,而是由 Kemel32.dll 接导入,如果这个可执行文件导入了这个文件,这意味着作者企图使用那些不是正常提供给 Windows 程序使用的函数。 一些如隐藏功能和操作进程等任务会 使用这个接口

Wsock32.dll、Ws2 32.dll - 这两个是联网 DLL, 访问其中任 DLL 程序非常可能连接网络,或是执行网络相关的任务

Wininet.dll - 这个 DLL 包含了更高层次的网络函数,实现了如 TP HTT NT 协议

使用PE-bear.exe获取相关信息

总结

在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。

使用工具进行初步的静态分析实践起来,后续可以对照PE格式进行分析。

病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 6350
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
手脱各种常见壳
欢迎来到我的博客
01-07 2467
进入第二个call然后F8单步跟踪,当遇到向下的跳转时就让它跳转,如果是遇到向上跳转就用F4运行到它的下一条指令处(与upx单步跟踪脱壳法一样)用od加载程序,用F8单步跟踪法当遇到向下的跳转时就让它跳转,如果是遇到向上跳转就用F4运行到它的下一条指令处(与upx单步跟踪脱壳法一样)当遇到这个jmp指令的时候会发现用F4运行到它下一行指令程序就已经开始运行了,所有我们要让它实现跳转(这个循环就是在修正IAT表)通过不断的单步跟踪会发现popad(出栈)指令然后用jmp跳转到真正的代码处。
客户端查壳工具ExeinfoPe
04-30
ExeinfoPe是一种用于分析和识别可执行文件(EXE、DLL、OCX等)的工具,通常用于安全研究和逆向工程的目的。使用ExeinfoPe可以帮助用户查看文件的属性、加密信息、文件头以及文件中使用的库等信息,帮助用户确定文件的类型、特征和可能存在的安全风险。 在使用ExeinfoPe时,您可以通过以下步骤进行: 1.打开ExeinfoPe工具,并将待分析的可执行文件拖入工具窗口中。 2.ExeinfoPe会自动分析文件,并显示文件的基本信息、文件头信息、加密信息等。 3.根据显示的信息,您可以了解文件的类型、可能存在的加密方式和可能的安全问题。 4.可以根据分析结果进一步进行研究或处理,如进行文件分析、查找漏洞等。 需要注意的是,使用ExeinfoPe进行文件分析和研究需要谨慎,并确保您有相关的法律权限和道德准则
exeinfo pe工具介绍和基本使用
菜鸟-宇的个人博客
10-02 7445
这个工具可以查看区段和EP设相当于一个查壳子的工具。它是一种类PEiD查壳程序,至今依然被更新,使它拥有鉴定相当多文件类别的能力,其整合丰富了PEiD的签名库。一、软件简介 Exeinfo PE是一款专业的程序查壳工具,主要用户帮助用户查看EXE DLL文件的编译器信息、是否加壳、入口点地址、输出表 输入表等等PE信息,这款查壳工具还支持提取PE文件中的相关资源,Exeinfo PE无需安装是一款不错的查壳工具。
exeinfope:功能强大的PE文件分析工具全面解析
最新发布
weixin_42509507的博客
10-18 988
exeinfope 是一款专为Windows可执行文件设计的轻量级分析工具,支持PE、NE、LE、MZ等多种二进制格式。其无需安装、即开即用的特性使其广泛应用于逆向工程和安全检测领域。工具通过图形化界面直观展示文件结构信息,涵盖编译器识别、加壳检测、导入表解析等关键功能。攻击者常常通过修改节区名称来隐藏真实意图。例如:- 将.text改为abc或xyz- 使用全大写、全小写或特殊字符(如.123._.- 利用Unicode编码绕过简单字符串匹配。
ExeinfoPE-非常好用的EXE文件信息查看工具
04-05
ExeinfoPE-非常好用的EXE文件信息查看工具,是用于软件调试、反汇编和软件脱壳破解的好帮手。
简单脱壳教程笔记(2)---手脱UPX壳(1)
热门推荐
oBuYiSeng的博客
03-18 1万+
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%
Exeinfo PE:深入分析Windows PE文件的工具
weixin_35756690的博客
04-24 1899
PE(Portable Executable)文件检查工具是指一系列用于分析和诊断Windows操作系统下可执行文件(EXE、DLL等)的工具软件。这类工具对安全分析人员和逆向工程师来说是不可或缺的,因为它可以帮助识别恶意软件,分析可疑文件行为,以及在软件开发过程中确保代码质量。市场上存在多种PE文件检查工具,包括但不限于Exeinfo PEPEview、Dependency Walker和CFF Explorer。每个工具都有其独特的功能和优势。
exeinfope查壳
10-11
哈哈 很好用的查壳工具。可以知道文件是经过什么软件加壳的,好解压出来。。。
反病毒工具-ExeInfoPE
KD的疯狂实验室
05-24 8567
ExeInfoPE简介一种类PEiD查壳程序.它至今依然被更新.使它拥有鉴定相当多文件类别的能力.其整合丰富了PEiD的签名库.所以
【免费下载】 客户端查壳工具ExeinfoPe
gitblog_09764的博客
10-17 1311
客户端查壳工具ExeinfoPe 【下载地址】客户端查壳工具ExeinfoPe 客户端查壳工具ExeinfoPeExeinfoPe是一种用于分析和识别可执行文件(EXE、DLL、OCX等)的工具,通常用于安全研究和逆向工程的目的 ...
ExeinfoPE查壳查壳脱壳工具PE
05-22
PE的界面一样.是一款功能很多的查壳脱壳 小工具!!
ExeinfoPe(查壳用).zip
03-08
好用的查壳软件,还支持提取、运行等高级功能,附带各种基本功能(如:基本入口),下载吧。如有疑问,请私信我(上传者)
ExeInfoPE查壳工具
08-06
非常实用的软件查壳工具,软件短小精悍,功能非常强大
Exeinfo PE-ver0.0.1.7 非常好用的查壳工具
10-13
查壳工具 Exeinfo PE-ver0.0.1.7 带插件,可以upack upx包 懂的下
ExeinfoPe exe查壳工具
05-24
使用ExeinfoPe,你可以进行以下操作: 1. **查看文件头信息**:检查PE文件的基本结构,如MZ标志、NT头、节表等。 2. **检查数字签名**:验证软件的发行者和证书的有效性,以确保软件的安全性。 3. **检测资源信息**...
ExeinfoPe查壳工具
12-07
ExeinfoPe是一款专业的查壳工具,主要用于检测可执行文件(EXE、DLL等)是否被加壳保护,以及识别其使用的加壳技术。在IT安全领域,加壳技术常被用于保护软件免受逆向工程分析,隐藏恶意代码,因此,查壳工具对于...
ExeinfoPE.rar
09-21
使用ExeinfoPE,开发者和安全专家可以有效地进行逆向工程、调试、漏洞研究和软件安全审计。它是一个免费且开源的工具,因此用户无需在优快云等平台上付费下载,可以直接从其官方网站或者其他可信源获取。 总之,...
exeinfope使用
03-23
### 如何使用 ExeinfoPE 工具 ExeinfoPE 是一款功能强大的查壳工具,主要用于分析可执行文件(EXE)、动态链接库(DLL)以及其他类型的二进制文件。以下是关于其使用的详细介绍: #### 功能概述 ExeinfoPE 可以帮助用户检测目标文件是否被加壳以及所采用的具体壳类型[^1]。此外,它还能够提供有关编程语言的信息和其他元数据,这对于逆向工程师和安全研究人员来说是非常有价值的。 #### 启动与界面说明 当打开 ExeinfoPE 应用程序时,会看到一个简洁直观的操作窗口。该界面上方有菜单栏选项可供配置设置;中间部分则是主要显示区域,在这里可以看到扫描后的结果列表[^2]。 #### 基本操作流程 - **加载文件**: 点击“File”-> “Open”,然后浏览并选择想要检查的目标文件。 - **开始分析**: 单击按钮启动自动检测过程。此阶段软件会对选定对象进行全面解析,并尝试匹配已知的各种外壳特征码数据库条目。 - **查看报告**: 扫描完成后,下方将以表格形式呈现发现的所有可能匹配项及其置信度百分比数值。高可信度的结果意味着更有可能准确反映实际情况。 注意:对于某些复杂情况下的多层嵌套封装结构,则需要进一步手动验证确认最终结论。 ```python # 示例 Python 脚本调用 exeinfope 进行批量处理 (伪代码演示) import subprocess def analyze_files(file_list): results = [] for file_path in file_list: result = subprocess.run(["path/to/exeinfope", "-a", file_path], capture_output=True, text=True) if "Packed with" in result.stdout: packer_info = extract_packer_info(result.stdout) results.append((file_path, packer_info)) return results def extract_packer_info(output_string): lines = output_string.split("\n") relevant_line = next(line for line in lines if "Packed with" in line) return relevant_line.strip() if __name__ == "__main__": files_to_check = ["example.exe", "another_example.dll"] analysis_results = analyze_files(files_to_check) print(analysis_results) ``` 上述脚本展示了如何通过命令行接口来自动化运行多个文件的打包器识别任务。这只是一个简单的例子,实际应用中可以根据需求调整参数或增加错误处理逻辑等功能模块。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值