一、觀察PE文件結構
1、PEid:使用何種編譯器;使用PEid插件
2、LordPE:是否有惡意性
1)節分配:
節名字是否規範
標誌位:E開頭,則可執行
2)入口點:
0E000在最後一節,可能是病毒
3)導入表:
導入特定的函數,例如,沒有通信功能的軟件導入通信函數
一、觀察PE文件結構
1、PEid:使用何種編譯器;使用PEid插件
2、LordPE:是否有惡意性
1)節分配:
節名字是否規範
標誌位:E開頭,則可執行
2)入口點:
0E000在最後一節,可能是病毒
3)導入表:
導入特定的函數,例如,沒有通信功能的軟件導入通信函數