检测套壳软件可以通过以下几种方法:
使用查壳工具
PEiD:PEiD是一款著名的查壳工具,可以探测大多数PE文件的封包器、加密器和编译器。它支持超过470种PE文档的加壳类型和签名。
Exeinfo PE:这是一个常用的查壳工具,通过对比PE文件的特征码来进行检测。
FastScanner:这是一个快速扫描工具,用于检测PE文件是否加壳以及加壳的类型。
RDG Packer Detector:这个工具通过对比userdb.txt数据库中的特征码来检测加壳程序。
使用专门的语言检测工具
fileinfo.exe(简称fi.exe):这个工具侦测壳的能力极强,可以检测待侦测壳的软件和fi.exe是否位于同一目录下,并通过不同的方式运行和检测。
language.exe:这个工具将侦测壳和软件所用编写语言的功能合为一体,可以方便地选取待侦测壳的软件进行检测。
手动检测
调用参数和返回值:如果软件的调用参数和返回值一样,则大概率是套壳软件。
建议
选择合适的工具:根据你的需求和软件类型选择合适的查壳工具。对于复杂的壳,可能需要使用多个工具进行交叉验证。
更新工具:由于新的加壳技术不断出现,定期更新查壳工具及其数据库,以确保检测的准确性。
谨慎分析结果:查壳工具的结果可能存在误报,特别是对于新出现的或加密的壳,需要结合其他方法进行综合分析。