借助PHP分析exe文件

经常从网上下程序，免不了病毒骚扰，又不想开杀毒软件，所以写了这个程序，用来获取exe文件的基本信息，并根据这些信息来判断是否运行下载程序，典型的病毒软件具有以下行为：
1、通常病毒会加壳，加壳后的程序其节名不再是常见的.text、.data、.rdata、.rsrc等，而是包含UPX、Aspack等字符的节名；
2、通常程序的入口点在10000一下，大多数在1000稍多一点的地方，如果程序入口点数值过大，就值得怀疑；
3、分析导入表，通常病毒的KERNEL32.DLL导入表只有LoadLibrary、GetProcAddress等少数几个函数。
当然上述判断并不准确，一些黑客程序及需要保密的程序也会加壳。
这个脚本能获取exe文件的基本信息，并以xml格式输出，目前不包含引入表信息。可以查看输出信息来判断exe文件是否正常。
用法非常简单：

复制内容到剪贴板

代码:

<?php
include "ExeInfo.php";
$pe = new PE_VIEWER( 'cmd.exe' );
$pe->out();
?>

以上将会输出cmd.exe这个程序的基本信息。
将会继续完善，希望有用。
ExeInfo.rar (3.05 KB)

ExeInfo.rar (3.05 KB)
下载次数: 211

2008-4-3 01:05

作者: carche   发布时间: 2008-04-03

作者: luzhou   发布时间: 2008-04-03

作者: 长头发的和尚   发布时间: 2008-04-03

作者: thaiki   发布时间: 2008-04-03

作者: thaiki   发布时间: 2008-04-03

作者: adleyliu   发布时间: 2008-04-03

作者: ct_174880859   发布时间: 2008-04-03

试试看~~~

作者: richardhc   发布时间: 2008-04-03

作者: gently   发布时间: 2008-04-05

作者: carche   发布时间: 2008-04-05

好多强人啊 。。。

作者: thaiki   发布时间: 2008-04-05

喜欢

作者: kaixin99   发布时间: 2008-07-08

收藏了

作者: 汉化天空   发布时间: 2008-07-14