可执行文件里隐藏的玄机，来聊聊

无符号整形 · 发表于 2016-6-27 19:16:50

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

本帖最后由无符号整形于 2016-6-29 17:41 编辑

打开一个可执行文件，你看到的可能是这样的

别急，滚到下面去看看？

发现了有价值的信息，这是内存块
在下去

loseHandle "GlobalLock  ?WriteFile GlobalAlloc PSleep )GlobalUnlock  GlobalFree  

KERNEL32.dll  SMoveWindow  ?RegisterClassA  ? DialogBoxParamA LoadCursorA WUpdateWindow  ?

GetSystemMetrics  ? DispatchMessageA   ShowWindow  LoadAcceleratorsA 7GetDesktopWindow  ? 

DefWindowProcA  ? EndDialog <TranslateAcceleratorA ?ReleaseDC 5GetDCEx p CreateWindowExA ?

InvalidateRect  FMessageBoxA 3LockWindowUpdate  ?TranslateMessage  4GetDC  BeginPaint  

EMessageBeep "LoadIconA qPostQuitMessage oGetMessageA ?SetCursor ? EndPaint  USER32.dll  J 

CreatePalette UpdateColors  9GetStockObject  EndDoc  'GetObjectA  7 CreateDIBitmap  ?

SelectPalette ?RealizePalette  
StartDocA 0 CreateCompatibleBitmap  1 CreateCompatibleDC  ?

SelectObject  DeleteObject  2 CreateDCA ?GetDIBits ?GetDeviceCaps DeleteDC  StartPage  

BitBlt  EndPage GDI32.dll  PrintDlgA 
 GetSaveFileNameA   GetOpenFileNameA  COMDLG32.dll  ?

free  ?malloc  MSVCR120.dll  k_XcptFilter ?__crtGetShowWindowMode  _amsg_exit  ?__getmainargs 

?__set_app_type  Nexit  ?_exit /_cexit  1_ismbblead  @_configthreadlocale ?__setusermatherr  


_initterm_e _initterm _acmdln ?_fmode  ?_commode  P_crt_debugger_hook  ?

__crtUnhandledException ?__crtTerminateProcess 5?terminate@@YAXXZ ?

__crtSetUnhandledExceptionFilter  ?_lock _unlock ._calloc_crt ?__dllonexit :_onexit 

_invoke_watson  C_controlfp_s  z_except_handler4_common !EncodePointer gIsDebuggerPresent 

mIsProcessorFeaturePresent -QueryPerformanceCounter 
GetCurrentProcessId GetCurrentThreadId  

?GetSystemTimeAsFileTime ? DecodePointer

这一段是关于API和DLL的的代码，程序调用这些API时会调用载入这些DLL
再往下看，有一段这样的

<?xml version='1.0' encoding='UTF-8' 

standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
      <requestedPrivileges>
        <requestedExecutionLevel level='asInvoker' uiAccess='false' />
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>

这段是必须的，有着重要功能。比如我想让他永远以管理员身份运行的话就把这一段改成下面这样

<?xml version='1.0' encoding='UTF-8' 

standalone='yes'?>
<assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges>
        <requestedExecutionLevel 
                level='requireAdministrator'/>
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>

level属性可能有三个值
asInvoker:以主调线程相同的权限启动
requireAdministrator:必须以管理员身份启动，否则不会运行
highestAvaikavle:应用程序已当前可用的最高权限允许
最后一段就是数字签名，了解一下即可，不必深究（删了很多地方，要文件的话

截图工具.zip (8.43 KB, 下载次数: 8) ）
0$0*0H0o0????

010U
e鄘&S鱡t_b0
111231160000Z
191231160000Z010U
e鄘&S鱡t_b0仧0
*咹嗺

0U10 UCN10U
WoSign CA Limited1*0(U!Certification Authority of

WoSign0
090808010005Z
240808010005Z0O10 UCN10U
WoSign CA

Limited1$0"UWoSign Time Stamping Signer0?"0

UCN10U
WoSign CA Limited1*0(U!Certification Authority of WoSign%]榿?.<A?O癅L0

+ 燷0 *咹嗺
1 *咹嗺
0 *咹嗺
1
160625034919Z0# *咹嗺
关键区域已经用粗体表示
大家有什么不懂得地方欢迎更贴

无符号整形 · 发表于 2016-6-27 19:41:14

顶一顶，别沉了

零度非安全 · 发表于 2016-6-27 23:22:21

那我给你顶一下吧

梨窝浅笑 · 发表于 2016-6-28 08:39:22

那个截图工具怎么用的呀

无符号整形 · 发表于 2016-6-28 11:51:30

梨窝浅笑发表于 2016-6-28 08:39
那个截图工具怎么用的呀

傻瓜试的，截屏菜单选择截屏按钮截屏
文件菜单可以保存另存为打开一个位图文件打印当前的位图
更多关于打开关于
注意：另存为时文件名要加.bmp，否则输出的文件是打不开的

梨窝浅笑 · 发表于 2016-6-29 09:40:09

无符号整形发表于 2016-6-28 11:51
傻瓜试的，截屏菜单选择截屏按钮截屏
文件菜单可以保存另存为打开一个位图文件打印当前的位图
更多 ...

诶？XP系统是不是不能用呀？我双击截图工具后跳出来的是DOS窗口，而且是闪一下就自动消失了

小甲鱼 · 发表于 2016-6-29 17:02:34

有意思

zlh · 发表于 2016-6-29 17:30:48

楼主有前途

无符号整形 · 发表于 2016-6-29 17:39:35

梨窝浅笑发表于 2016-6-29 09:40
诶？XP系统是不是不能用呀？我双击截图工具后跳出来的是DOS窗口，而且是闪一下就自动消失了

是的，必须在winXP以上

ELI_ · 发表于 2016-7-1 23:02:48

谢谢分享

黑龍 · 发表于 2016-9-13 05:20:10

玄机呢

heidelberg · 发表于 2016-10-18 12:27:22

了解了一点，顶楼主一下

账号		自动登录	找回密码
密码			立即注册

[技术交流] 可执行文件里隐藏的玄机，来聊聊

马上注册，结交更多好友，享用更多功能^_^

评分

本帖被以下淘专辑推荐: