54、软件分析中的关键技术与方法

软件分析中的关键技术与方法

1. 网络数据包解压缩函数分析

在软件分析过程中，发现存在包含详细调试信息的 .PDB 文件，这为分析提供了便利。通过分析，确定了 CsDecomprLZC 函数用于网络数据包的解压缩。通过谷歌搜索可知，该函数在开源的 SAP 项目 MaxDB 中被使用，且 MaxDB 和 SAP 6.0 软件在网络数据包的压缩/解压缩方面使用了相同的代码。

2. 可执行文件的识别

2.1 Microsoft Visual C++

不同版本的 MSVC 有对应的内部版本号、CL.EXE 版本号，并且会导入不同的 DLL 文件，具体信息如下表所示：
| 市场版本 | 内部版本 | CL.EXE 版本 | 导入的 DLL | 发布日期 |
| — | — | — | — | — |
| 6 | 6.0 | 12.00 | msvcrt.dll、msvcp60.dll | 1998 年 6 月 |
|.NET (2002) | 7.0 | 13.00 | msvcr70.dll、msvcp70.dll | 2002 年 2 月 13 日 |
|.NET 2003 | 7.1 | 13.10 | msvcr71.dll、msvcp71.dll | 2003 年 4 月 24 日 |
| 2005 | 8.0 | 14.00 | msvcr80.dll、msvcp80.dll | 2005 年 11 月 7 日 |
| 2008 | 9.0 | 15.00 | msvcr90.dll、msvcp90.dll | 2007