如果你已经下载了游戏外挂,想知道它是否捆绑了木马,该怎么办?我们可以利用PEID、LordPE等工具,对游戏外挂进行检测。
辨别外挂是否捆绑木马
我们首先利用PEID这款工具来进行检测,熟悉文件破解的用户都知道,PEID是一款强大的查壳工具,其自动脱壳器插件可以应对现在大部分的软件脱壳任务。
运行PEID后点击“文件”选项后的按钮,从弹出的窗口选择要检测的可疑程序,现在我们来操作工具的检查结果。不管PEID检测出程序使用什么壳进行的加密,只要是在检测结果里面发现了有“[Overlay]”这样的结果,那么就说明这个程序被捆绑了其他的文件。
如果用户要运行这个程序的话,那么就一定要提高警惕。PEID软件可以查很多的壳信息,有的可以直接查找出带有捆绑的文件,有的则要进行深度或者核心扫描才能查找出带有捆绑的文件。
如果没有出现这样的字样的话,还可以点击“扩展”按钮中的“深度扫描”命令再次进行检测。如果真的没有出现类似字样的话,就表示这个文件是安全的。
接下来我们利用另一款名为LordPE的工具来进行检测。运行LordPE后点击“PE编辑器”按钮来选择需要查看的文件,确定文件后程序会自动弹出一个“PE编辑”窗口。
点击窗口“目录”按钮后,在弹出的“目录表”窗口中点击“导入表”后面的按钮,然后在弹出的“导入表”窗口中的“DLL文件”列表中进行查找。
如果列表中只有一个USER32文件的话,那么一般都可以放心进行使用,如果要是文件带有两个USER32文件的话,那么就表示这个文件被进行过捆绑操作。
这里要对用户特别强调的是,利用LordPE工具进行检测,其准确度比不上利用PEID检测的准确度。所以大家在进行文件捆绑检测的时候最好将两种方法配合使用,毕竟这两种方法只需要点击几下鼠标即可。
文章是转载的.....
上面提到的软件我不传上来了,免得被人说我骗DB.希望BZ加精.....
