可执行文件里隐藏的玄机，来聊聊

无符号整形 · 发表于 2016-6-27 19:16:50

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

本帖最后由无符号整形于 2016-6-29 17:41 编辑

打开一个可执行文件，你看到的可能是这样的

别急，滚到下面去看看？

发现了有价值的信息，这是内存块
在下去

loseHandle "GlobalLock ?WriteFile GlobalAlloc PSleep )GlobalUnlock GlobalFree
KERNEL32.dll SMoveWindow ?RegisterClassA ? DialogBoxParamA LoadCursorA WUpdateWindow ?
GetSystemMetrics ? DispatchMessageA ShowWindow LoadAcceleratorsA 7GetDesktopWindow ?
DefWindowProcA ? EndDialog <TranslateAcceleratorA ?ReleaseDC 5GetDCEx p CreateWindowExA ?
InvalidateRect FMessageBoxA 3LockWindowUpdate ?TranslateMessage 4GetDC BeginPaint
EMessageBeep "LoadIconA qPostQuitMessage oGetMessageA ?SetCursor ? EndPaint USER32.dll J
CreatePalette UpdateColors 9GetStockObject EndDoc 'GetObjectA 7 CreateDIBitmap ?
SelectPalette ?RealizePalette
StartDocA 0 CreateCompatibleBitmap 1 CreateCompatibleDC ?
SelectObject DeleteObject 2 CreateDCA ?GetDIBits ?GetDeviceCaps DeleteDC StartPage
BitBlt EndPage GDI32.dll PrintDlgA
GetSaveFileNameA GetOpenFileNameA COMDLG32.dll ?
free ?malloc [color=Lime]MSVCR120.dll[/color] k_XcptFilter ?__crtGetShowWindowMode _amsg_exit ?__getmainargs
?__set_app_type Nexit ?_exit /_cexit 1_ismbblead @_configthreadlocale ?__setusermatherr
_initterm_e _initterm _acmdln ?_fmode ?_commode P_crt_debugger_hook ?
__crtUnhandledException ?__crtTerminateProcess 5?terminate@@YAXXZ ?
__crtSetUnhandledExceptionFilter ?_lock _unlock ._calloc_crt ?__dllonexit :_onexit
_invoke_watson C_controlfp_s z_except_handler4_common !EncodePointer gIsDebuggerPresent
mIsProcessorFeaturePresent -QueryPerformanceCounter
GetCurrentProcessId GetCurrentThreadId
?GetSystemTimeAsFileTime ? DecodePointer

复制代码

这一段是关于API和DLL的的代码，程序调用这些API时会调用载入这些DLL
再往下看，有一段这样的

<?xml version='1.0' encoding='UTF-8'
standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
<security>
<requestedPrivileges>
<requestedExecutionLevel level='asInvoker' uiAccess='false' />
</requestedPrivileges>
</security>
</trustInfo>
</assembly>

复制代码

这段是必须的，有着重要功能。比如我想让他永远以管理员身份运行的话就把这一段改成下面这样

<?xml version='1.0' encoding='UTF-8'
standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
<security>
<requestedPrivileges>
<requestedExecutionLevel
level='requireAdministrator'/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>

复制代码

level属性可能有三个值
asInvoker:以主调线程相同的权限启动
requireAdministrator:必须以管理员身份启动，否则不会运行
highestAvaikavle:应用程序已当前可用的最高权限允许
最后一段就是数字签名，了解一下即可，不必深究（删了很多地方，要文件的话

截图工具.zip (8.43 KB, 下载次数: 8) ）
0$0*0H0o0????

010U
e鄘&S鱡t_b0
111231160000Z
191231160000Z010U
e鄘&S鱡t_b0仧0
*咹嗺

0U10 UCN10U
WoSign CA Limited1*0(U!Certification Authority of

WoSign0
090808010005Z
240808010005Z0O10 UCN10U
WoSign CA

Limited1$0"UWoSign Time Stamping Signer0?"0

UCN10U
WoSign CA Limited1*0(U!Certification Authority of WoSign%]榿?.<A?O癅L0

+ 燷0 *咹嗺
1 *咹嗺
0 *咹嗺
1
160625034919Z0# *咹嗺
关键区域已经用粗体表示
大家有什么不懂得地方欢迎更贴

无符号整形 · 发表于 2016-6-27 19:41:14

顶一顶，别沉了

零度非安全 · 发表于 2016-6-27 23:22:21

那我给你顶一下吧

梨窝浅笑 · 发表于 2016-6-28 08:39:22

那个截图工具怎么用的呀

无符号整形 · 发表于 2016-6-28 11:51:30

梨窝浅笑发表于 2016-6-28 08:39
那个截图工具怎么用的呀

傻瓜试的，截屏菜单选择截屏按钮截屏
文件菜单可以保存另存为打开一个位图文件打印当前的位图
更多关于打开关于
注意：另存为时文件名要加.bmp，否则输出的文件是打不开的

梨窝浅笑 · 发表于 2016-6-29 09:40:09

无符号整形发表于 2016-6-28 11:51
傻瓜试的，截屏菜单选择截屏按钮截屏
文件菜单可以保存另存为打开一个位图文件打印当前的位图
更多 ...

诶？XP系统是不是不能用呀？我双击截图工具后跳出来的是DOS窗口，而且是闪一下就自动消失了

小甲鱼 · 发表于 2016-6-29 17:02:34

有意思

zlh · 发表于 2016-6-29 17:30:48

楼主有前途

无符号整形 · 发表于 2016-6-29 17:39:35

梨窝浅笑发表于 2016-6-29 09:40
诶？XP系统是不是不能用呀？我双击截图工具后跳出来的是DOS窗口，而且是闪一下就自动消失了

是的，必须在winXP以上

ELI_ · 发表于 2016-7-1 23:02:48

谢谢分享

黑龍 · 发表于 2016-9-13 05:20:10

玄机呢

heidelberg · 发表于 2016-10-18 12:27:22

了解了一点，顶楼主一下

账号		自动登录	找回密码
密码			立即注册

[技术交流] 可执行文件里隐藏的玄机，来聊聊

马上注册，结交更多好友，享用更多功能^_^

评分

本帖被以下淘专辑推荐: