提前说一下:ql不要照抄
使用UPX和ZProtect对exe文件加壳,然后使用PE文件解析器读取
https://down.52pojie.cn/Tools/Packers/
(ZProtect解压两次)
使用UPX加壳
win+r进cmd 然后cd到文件夹路径对exe加壳,可以把文件拖到这个文件夹里,这样不用填绝对路径
使用ZProtect加壳
如图即可
PE分析
最后会有三个程序
分析他们三个
一、分析
可以使用文本分析工具
[FILE_HEADER]:
NumberofSections不一致
在PE文件中,NumberOfSections表示文件中节表中的节数。加壳工具会解压和重组原始文件,在处理过程中可能会减小节数,这会导致NumberOfSections减小
[option_HEADER]