查看一个文件是何时编译的:
PE文件结构中:NT头----->Image_File_HeaDer---->TimeDataStamp(可以利用010Editor来查看)
如何判断加壳或者混淆了--->用PEID
image.png
image.png
说明是没壳的
如何查看导入文件是干什么的??
用PEID:
image.png
使用Socket套接字,就一定会使用到下面这个dll:ws2_32.dll
image.png
继续查看kernel32.dll:(可疑函数:sleep,createProcessA;)
image.png
查看导出表:(居然没有!!!可以怀疑它是一个恶意的程序)
image.png
下面看一看exe的导入表:(发现有CopyFileA这个函数说明恶意程序将自身或者其他文件拷贝到系统敏感目录
image.png
image.png
监测此exe在本机上以及在网络上做了什么??
先strings + exe文件
image.png
image.png
打开dll:
image.png
image.png
可能开了一个后门!!!
