逆向分析技术应用-PEID的工作原理

PEID是一款很好的PE文件分析工具，对于标准的PE文件，PEID可以分析出它是哪款编译器生成的等信息。

使用PEID打开生成的实例文件，得到生成PE文件编译器版本

图中的”Microsoft Visual C++5.0”是一个字符串信息，这个字符串信息一般不会是由PE文件提供的。

环境识别

PEID解析编译器版本流程：

• 读取分析oep地址偏移，并修正oep
• 再次检查oep地址合法性
• 将oep处的机器码与特征码进行比较
• 检查分析文件中是否存在”.rdata”节
• 根据分析结果获得对应处理函数所在数组的下标并保存
• 循环调用处理函数
• 在处理函数中再次检查
• 显示编译器版本

环境伪造

在环境识别过程中，最重要的是oep地址相关的机器码与特征码相匹配，所以伪造时需要伪造机器码。

• 伪造的ope在”.text”节指定范围内将对比机器码填入其中，并在伪造ope结尾处将程序重新调整为真正的ope处，使其可以正常运行。
• 检查伪造程序中是否存在”.rdata”节，若不存在需添加。