Wykryj kompilator używany dla pliku EXE

18

Czy jest jakiś sposób na wykrycie (lub ukrycie) kompilatora, który został użyty do zbudowania pliku wykonywalnego?

Remus Rigo
źródło

Odpowiedzi:

12

PEiD jest całkiem niezły

PEiD wykrywa najpopularniejsze programy pakujące, kryptory i kompilatory plików PE. Obecnie może wykryć ponad 600 różnych podpisów w plikach PE.

PEiD jest wyjątkowy w niektórych aspektach w porównaniu z innymi dostępnymi już identyfikatorami!

  1. Ma znakomity interfejs graficzny, a interfejs jest naprawdę intuicyjny i prosty.
  2. Wskaźniki wykrywalności należą do najlepszych podanych przez jakikolwiek inny identyfikator.
  3. Specjalne tryby skanowania do zaawansowanego wykrywania zmodyfikowanych i nieznanych plików.
  4. Integracja z powłoką, obsługa wiersza poleceń, funkcje Always on top i Drag'n'Drop.
  5. Skanowanie wielu plików i katalogów z rekurencją.
  6. Przeglądarka zadań i kontroler.
  7. Interfejs wtyczek z wtyczkami takimi jak Generic OEP Finder i Krypto ANALyzer.
  8. Dodatkowe techniki skanowania stosowane w celu jeszcze lepszego wykrywania.
  9. Opcje skanowania heurystycznego.
  10. Nowe informacje na temat PE, importów, eksportów i przeglądarek TLS
  11. Nowy wbudowany szybki deasembler.
  12. Nowa wbudowana przeglądarka szesnastkowa.
  13. Zewnętrzny interfejs podpisu, który może być aktualizowany przez użytkownika.
Sathyajith Bhat
źródło
4
„PEiD wykrywa najpopularniejsze [...] kompilatory plików PE.” tak mówi readme - w rzeczywistości nie mówi, jak to osiągnąć
mbx
@Sathya Uwaga, dołączony link nie działa.
DuckMaestro,
@DuckMaestro zaktualizowano za pomocą alternatywnego linku
Sathyajith Bhat
Jeśli nie może wykryć kompilatora, pojawi się komunikat Niczego nie znaleziono [Nakładka] * - co jest mylące, jeśli używasz tego narzędzia po raz pierwszy.
mbx
„Witryna przed nami zawiera szkodliwe programy” - Google Chrome. Oto lepszy link.
Ben N
8

Wypróbuj ciągi narzędzia * nix . Używanie strings -a foo.exe powinno dać stos wyników. Przekieruj do pliku i sprawdź w swoim ulubionym edytorze. Może zostać wyświetlony wiersz bezpośrednio sugerujący określony kompilator, taki jak Borland C ++ - Copyright 2002 Borland Corporation . Być może będziesz w stanie znaleźć tylko linie sugerujące użycie określonego kompilatora, na przykład ścieżkę dołączania lub cokolwiek innego.

Ciągi są również dostępne dla Windows jako część cygwin lub jako część pakietu sysinternals firmy Microsoft .

DaveParillo
źródło
Nie pokazuje mi nazwy kompilatora, tylko niektóre projekty nazw bibliotek dll
Eduardo Xavier
1

Nie za darmo, ale IDA Pro ma bardzo ładne wykrywanie kompilatora. Oczywiście nie jest to główna funkcja, ale fajny dodatek.

Henno
źródło
0

Jeśli potrafisz znaleźć sposób na sprawdzenie pierwszych kilkunastu bajtów pliku EXE, na zrzutie heksadecymalnym z wyświetlonymi odpowiednimi znakami ASCII, zwykle wskazują one używany kompilator.

pavium
źródło
1
zastanawiałem się, czy ktoś lub jakieś oprogramowanie może dowiedzieć się, czy exe zostało zbudowane z konkretną edycją kompilatora (Visual Studio 2010 Professional lub Enterprise lub Express)
Remus Rigo,
To zwykle nie jest prawda. Pierwszą częścią pliku PE jest skrót DOS, który zwykle jest programem, który drukuje coś takiego: „Nie można uruchomić tego programu w trybie DOS”.
lesderid
-1

Możesz użyć „walker zależności”, aby sprawdzić, z którą biblioteką wykonawczą się łączy. MSVCP100 to Microsoft Visual C ++ 2010 x86

użytkownik509763
źródło