无符号整形 发表于 2016-6-27 19:16:50

可执行文件里隐藏的玄机,来聊聊

本帖最后由 无符号整形 于 2016-6-29 17:41 编辑

打开一个可执行文件,你看到的可能是这样的

别急,滚到下面去看看?

发现了有价值的信息,这是内存块
在下去
loseHandle "GlobalLock?WriteFile GlobalAlloc PSleep )GlobalUnlockGlobalFree

KERNEL32.dllSMoveWindow?RegisterClassA? DialogBoxParamA LoadCursorA WUpdateWindow?

GetSystemMetrics? DispatchMessageA   ShowWindowLoadAcceleratorsA 7GetDesktopWindow?

DefWindowProcA? EndDialog <TranslateAcceleratorA ?ReleaseDC 5GetDCEx p CreateWindowExA ?

InvalidateRectFMessageBoxA 3LockWindowUpdate?TranslateMessage4GetDC  BeginPaint

EMessageBeep "LoadIconA qPostQuitMessage oGetMessageA ?SetCursor ? EndPaintUSER32.dllJ

CreatePalette UpdateColors9GetStockObjectEndDoc'GetObjectA7 CreateDIBitmap?

SelectPalette ?RealizePalette
StartDocA 0 CreateCompatibleBitmap1 CreateCompatibleDC?

SelectObjectDeleteObject2 CreateDCA ?GetDIBits ?GetDeviceCaps DeleteDCStartPage 

BitBltEndPage GDI32.dll  PrintDlgA
GetSaveFileNameA GetOpenFileNameACOMDLG32.dll?

free?mallocMSVCR120.dllk_XcptFilter ?__crtGetShowWindowMode_amsg_exit?__getmainargs

?__set_app_typeNexit?_exit /_cexit1_ismbblead@_configthreadlocale ?__setusermatherr


_initterm_e _initterm _acmdln ?_fmode?_commodeP_crt_debugger_hook?

__crtUnhandledException ?__crtTerminateProcess 5?terminate@@YAXXZ ?

__crtSetUnhandledExceptionFilter?_lock _unlock ._calloc_crt ?__dllonexit :_onexit

_invoke_watsonC_controlfp_sz_except_handler4_common !EncodePointer gIsDebuggerPresent

mIsProcessorFeaturePresent -QueryPerformanceCounter
GetCurrentProcessId GetCurrentThreadId

?GetSystemTimeAsFileTime ? DecodePointer                                                   
这一段是关于API和DLL的的代码,程序调用这些API时会调用载入这些DLL
再往下看,有一段这样的
<?xml version='1.0' encoding='UTF-8'

standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
      <requestedPrivileges>
      <requestedExecutionLevel level='asInvoker' uiAccess='false' />
      </requestedPrivileges>
    </security>
</trustInfo>
</assembly>
这段是必须的,有着重要功能。比如我想让他永远以管理员身份运行的话就把这一段改成下面这样
<?xml version='1.0' encoding='UTF-8'

standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges>
      <requestedExecutionLevel
                level='requireAdministrator'/>
      </requestedPrivileges>
    </security>
</trustInfo>
</assembly>
level属性可能有三个值
asInvoker:以主调线程相同的权限启动
requireAdministrator:必须以管理员身份启动,否则不会运行
highestAvaikavle:应用程序已当前可用的最高权限允许
最后一段就是数字签名,了解一下即可,不必深究(删了很多地方,要文件的话)
 0$0*0H0o0????

 010U
e鄘&S鱡t_b0
111231160000Z
191231160000Z010U
e鄘&S鱡t_b0仧0
        *咹嗺

 0U1 0        UCN10U
WoSign CA Limited1*0(U!Certification Authority of

WoSign0
090808010005Z
240808010005Z0O1 0        UCN10U
WoSign CA

Limited1$0"UWoSign Time Stamping Signer0?"0
       
UCN10U
WoSign CA Limited1*0(U!Certification Authority of WoSign%]榿?.<A?O癅L0       

+ 燷0        *咹嗺
        1         *咹嗺
0        *咹嗺
        1
160625034919Z0#        *咹嗺
关键区域已经用粗体表示
大家有什么不懂得地方欢迎更贴

无符号整形 发表于 2016-6-27 19:41:14

顶一顶,别沉了

零度非安全 发表于 2016-6-27 23:22:21

那我给你顶一下吧{:10_256:}

梨窝浅笑 发表于 2016-6-28 08:39:22

那个截图工具怎么用的呀

无符号整形 发表于 2016-6-28 11:51:30

梨窝浅笑 发表于 2016-6-28 08:39
那个截图工具怎么用的呀

傻瓜试的,截屏菜单选择截屏按钮截屏
文件菜单可以保存 另存为 打开一个位图文件 打印当前的位图
更多 关于打开关于
注意:另存为时文件名要加.bmp,否则输出的文件是打不开的

梨窝浅笑 发表于 2016-6-29 09:40:09

无符号整形 发表于 2016-6-28 11:51
傻瓜试的,截屏菜单选择截屏按钮截屏
文件菜单可以保存 另存为 打开一个位图文件 打印当前的位图
更多...

诶?XP系统是不是不能用呀?我双击截图工具后跳出来的是DOS窗口,而且是闪一下就自动消失了

小甲鱼 发表于 2016-6-29 17:02:34

有意思

zlh 发表于 2016-6-29 17:30:48

楼主有前途

无符号整形 发表于 2016-6-29 17:39:35

梨窝浅笑 发表于 2016-6-29 09:40
诶?XP系统是不是不能用呀?我双击截图工具后跳出来的是DOS窗口,而且是闪一下就自动消失了

是的,必须在winXP以上

ELI_ 发表于 2016-7-1 23:02:48

谢谢分享

黑龍 发表于 2016-9-13 05:20:10

玄机呢

heidelberg 发表于 2016-10-18 12:27:22

了解了一点,顶楼主一下
页: [1]
查看完整版本: 可执行文件里隐藏的玄机,来聊聊