这次的改善点:
1. 检查壳和编译信息的特征码信息,转移到外部文件中,支持自定义特征码
这次新增的功能:
1. 新增添加导入函数功能,方便花指令调用函数 总结一下到目前为止的功能吧:
1. 支持换肤
2. 可以看可执行文件(exe,dll,sys)的版本信息,
PE头信息(可用于效验文件的三个字段)和
这个可执行文件使用的DLL和函数,以及输出地函数接口
3. 支持拖拽功能,可以直接拖拽文件到界面,即可分析
4. 可以检查可执行文件是否已经数字签名了
5..可以探测一部分加壳的信息和编译器的信息
6. 可以自动添加花指令,免杀功能
也可以手动添加空白Section,然后修改入口地址,自己通过第三方工具加花指令
7. 支持添加自定义花指令
8. 支持自定义shellcode探框的消息内容
9. 新增提取图标和位图的资源文件功能
10. 文件捆绑功能
12. 支持拖入快捷方式分析,直接拖入桌面的快捷方式即可分析
13. 附加数据的分析和提取附加数据
14. 自定义查壳/编译器信息的特征码
15. 可添加导入函数,方便花指令调用函数 特征码格式如下:
# 特征码位置索引; 特征码; 壳/编译器名称; 是否从头往下查询(如果有位置索引请置0) 例子:
0106090A;E8E9FFFF;Micorsoft Visual C++ 2005/2008;0
0106090A是特征码相对于程序入口点所处位置,第01位,第06位,以此类推。。。
E8E9FFFF就是这些位置分别对应的特征码,第01位是E8,第06位是E9,以此类推。。。
Micorsoft Visual C++ 2005/2008就是要显示的信息
最后一个0是说按照位置索引来查找,
如果是1就是说从头开始一次查找,这个时候位置索引项目请置0
以分号(;)间隔,一行为一条特征码,#号作为注释行 
来看一下添加导入函数的效果:
首先选择一个DLL,下拉框会自动取得DLL导出函数
选择想要添加的函数点击添加增加到列表框里面,然后点击保存按钮
最后看一下PESniffer.dll里的两个函数已经添加到导入列表里面了
微博帐号登录