2021我来教你灭掉当前最流行的几种捆绑器WEB安全 电脑资料

我来教你灭掉当前最流行的几种捆绑器WEB安全 电脑资料 一、传统的捆绑器 这种原理很简单，也是目前用的最多的一种， 检测方法:稍微懂一点PE知识的人都应该知道。一个完整有效的PE/EXE文件，他的里面

我来教你灭掉当前最流行的几种捆绑器WEB安全电脑资料 一、传统的捆绑器 这种原理很简单，也是目前用的最多的一种， 检测方法:稍微懂一点PE知识的人都应该知道。一个完整有效的 PE/EXE文件，他的里面都包含了几个绝对固定的特点[不管是否加 壳]。一是文件以MZ开头，跟着DOS头后面的PE头以PE\0\0开头。 有了这两个特点，检测就变得很简单了。只需利用UltraEdit一类工 具打开目标文件搜索关键字MZ或者PE。如果找到两个或者两个以上。 则说明这个文件一定是被捆绑了。不过值得注意的是，一些生成器也 是利用了这个原理，将木马附加到生成器末尾，用户选择生成的时候 读出来。另外网上流行的多款“捆绑文件检测工具”都是文件读出 来，然后检索关键字MZ或者PE。说到这里，相信大家有了一个大概的 了解。那就是所谓的“捆绑文件检测工具”是完全靠不住的一样东 西。 二、资源包裹捆绑器 就这原理也很简单。大部分检测器是检测不出来的，但灰鸽子木马辅 助查找可以检测出捆绑后未经加壳处理的EXE文件。但一般人都会加 壳，所以也十分不可靠。这个学过编程或者了解PE结构的人都应该知 道。资源是EXE中的一个特殊的区段。可以用来包含EXE需要/不需要 用到的任何一切东西。利用这个原理进行100%免杀捆绑已经让人做成 了动画。大家可以去下载看看。那捆绑器是如何利用这一点的呢?这只 需要用到BeginUpdateResource、UpdateResource和 EndUpdateResource这三个API函数就可以搞定，