文章目录
学习整理源自:吾爱破解 https://www.52pojie.cn/thread-234739-1-1.html
一、程序由何种语言编写
国内比较流行的编译器有VC、易语言、.NET、Delphi,
曾经用但很少的有:VB、ASM、BC++
一些比较少的有:Autolt、PB、QT等
二、各开发语言区别【无壳】
2.1 VC6 编译无壳程序特征
通过查看PESniffer可查看到程序使用的开发语言,当然无壳的程序相对方便查看
2.1.1 Visule C++ EP区段信息
2.1.2 VC6无壳特征
| VC6 | 入口点代码是固定的代码,入口调用的API相同,push不同程序可能不同;EP区段四个固定 .text 代码段、.rdata it段、.data数据段、.rsrc资源段 |
|---|
2.2 VS2008和VS2013编译无壳程序特征
2.2.1 VS8 / VS2013 EP区段信息:
2.2.2 VS8 / VS2013 无壳特征
| VS8 / VS2013 | 入口点只有两行代码,首call后面直接jmp,第一个call进去调用的API也是相同的;区段相对于VC6多了个.reloc 重定类 |
|---|
2.3 易语言编译无壳程序特征
易语言分独立编译和非独立编译,非独立编译运行时加载一些运行库!
2.3.1.a易语言非独立编译无壳区段信息
是和VC6显示相同的开发语言和区段信息(因为编译是使用微软的连接器编译!)
2.3.1.b 易语言非独立编译特征查找方法
# 可看到下面的特征,一些ascii 和加载了一个krnln.fnr
# 再次确认(按下F9让程序运行,查看加载到的模块)
2.3.2.a 易语言独立编译特征查找方法
# 右键依次点击 ->中文搜索引擎 ->智能搜索
# 查看如下特征
扫描二维码关注公众号,回复:
9392372 查看本文章
2.4 Delhpi编译无壳程序特征
2.4.1 Delphi EP区段信息:
2.4.2 Delphi特征查找方法
# 将程序拖入 OllyDby程序后 在第一个call回车,看到GetModuleHandle
# 区段再次确认
2.5 .NET编译无壳程序特征
2.5.1 .NET无壳程序PE区段
(由于.Net代码少调用的大都是系统的API,因此代码会少一些)
2.5.2 .NET特征查找方法
# 点击模块.NET会加载很多dll系统API
