对开山文件合并器的资源分析
近来在各BBS上经常看到被捆绑的木马入侵的事情,
对开山文件合并器的资源分析
。而这些事情无不与一个文件合并器--开山文件合并器有关,我冒着被木马入侵的危险去下载了一个,由于没有反汇编工具和跟踪软件,因此没有对程序的内部工作进行分析,只是用简单的资源编辑器分析了一下表面的情况,供大家参考:1、我选择了最简单的资源编辑器EXESCOPE,打开该执行文件,发现有很多资源不可以使用(看来文件有一个加密的壳),当然你可以想办法脱掉这个壳,但不要紧,我只需要分析一些简单的东西就可以了。
2、首先我发现在头部,有一个CODE和DATA段,
电脑资料
《对开山文件合并器的资源分析》(https://www.unjs.com)。其次我发现在资源中有一个特殊的RC数据,叫PACKAGEINFO。这些都是本程序所特有的(由于分析的文件不多,不一定准确)3、我们在合并一个简单的文件看看,合并好的文件很小,看来做了压缩,在合并后的文件中,我们看到,同样存在以上的资源,尤其是RC数据的PACKARGINFO,几乎是必需的资源。而一般的执行文件中是无此资源的。因此我们可以通过这一点来判断文件是否经过合并。
4、而且经过合并的文件有着非常相似的资源结构。在这里我给出一个完整的合并后的文件的资源结构,供大家参考。
由于时间的关系,本次分析仅对程序的资源部分进行了简单的分析,疏漏之处,还请高手指点,等有时间了,再做细致的分析,期待吧。。。:)