软件简介:
捆绑文件给我搜 文件捆绑原理:
EXE文件有点怪,在后面加个尾巴,一般仍能正常运行。文件捆绑机正是钻了这个空子,它们在一个正常文件后面,附上木马、病毒等东东;运行经过捆绑的文件,正常文件运行的同时,恶意程序也被启动。
本程序工作原理:
分析PE文件结构,得到正常文件捆绑前的本来长度。如果实际长度>本来长度,则一定在正常文件后面加了尾巴。然后对尾巴进行分析:如果尾巴的头部是可执行的头部,则该文件很可能有问题。
尾巴性质:
PE--Portable Executable(可移植的执行体)。它是Win32环境自身所带的执行体文件格式
DOS EXE--命令行程序。
包--不好判别的尾巴:(1)可能含有文件安装信息;(2)可能是安装文件制作的包;(3)也可能是文件捆绑机作的包。如果来历不明的文件有包,很可能有鬼。
忽略小于1K的尾巴:
许多正道的文件也有尾巴。我用此程序发现MS的很多东东都有一个小小的尾巴,一般在1K以内。1K以内的尾巴是恶意东东的可能性比较小,但如果真是恶意东东,则一定非常厉害。
尾巴头部前256字节:
选择一个搜索到的文件,用16进制方式显示其头部信息。在这里你会发现很多程序的小秘密 :)
请点这里:进入软件下载页面 
