一、观察PE文件结构
1、PEid:使用何种编译器;使用PEid插件
2、LordPE:是否有恶意性
1)节分配:
节名字是否规范
标志位:E开头,则可执行
2)入口点:
0E000在最后一节,可能是病毒
3)导入表:
导入特定的函数,例如,没有通信功能的软件导入通信函数
一、观察PE文件结构
1、PEid:使用何种编译器;使用PEid插件
2、LordPE:是否有恶意性
1)节分配:
节名字是否规范
标志位:E开头,则可执行
2)入口点:
0E000在最后一节,可能是病毒
3)导入表:
导入特定的函数,例如,没有通信功能的软件导入通信函数