Existe-t-il un moyen de détecter (ou masquer) le compilateur qui a été utilisé pour créer un fichier exécutable?
Existe-t-il un moyen de détecter (ou masquer) le compilateur qui a été utilisé pour créer un fichier exécutable?
Réponses:
PEiD est assez bon
PEiD détecte les packers, crypteurs et compilateurs les plus courants pour les fichiers PE. Il peut actuellement détecter plus de 600 signatures différentes dans les fichiers PE.
PEiD est spécial à certains égards par rapport à d'autres identifiants déjà disponibles!
- Il a une superbe interface graphique et l'interface est vraiment intuitive et simple.
- Les taux de détection sont parmi les meilleurs donnés par tout autre identifiant.
- Modes de numérisation spéciaux pour des détections avancées de fichiers modifiés et inconnus.
- Intégration du shell, prise en charge de la ligne de commande, toujours au top et capacités Drag'n'Drop.
- Analyse de plusieurs fichiers et répertoires avec récursivité.
- Visualiseur de tâches et contrôleur.
- Interface de plugin avec des plugins comme Generic OEP Finder et Krypto ANALyzer.
- Techniques de balayage supplémentaires utilisées pour des détections encore meilleures.
- Options d'analyse heuristique.
- Nouveaux détails PE, importations, exportations et visualiseurs TLS
- Nouveau démonteur rapide intégré.
- Nouvelle visionneuse hexagonale intégrée.
- Interface de signature externe qui peut être mise à jour par l'utilisateur.
Essayez les chaînes d' utilitaires * nix . L'utilisation strings -a foo.exe
devrait produire une pile de résultats. Redirigez vers un fichier et examinez-le dans votre éditeur préféré. Vous pouvez voir soit une ligne qui implique directement un compilateur spécifique, comme Borland C ++ - Copyright 2002 Borland Corporation . Vous ne pourrez peut-être trouver que des lignes qui impliquent qu'un compilateur spécifique a été utilisé, comme dans un chemin d'inclusion ou autre.
Strings est également disponible pour Windows dans le cadre de cygwin , ou dans le cadre du package microsoft sysinternals .
(Vieux mais correct ..)
Langue 2000 : http://farrokhi.net/language
Si vous pouvez trouver un moyen d'examiner la première douzaine d'octets du fichier EXE, dans un vidage hexadécimal avec les caractères ASCII correspondants affichés, ils indiqueront généralement le compilateur utilisé.
Vous pouvez utiliser le "marcheur de dépendances" pour vérifier à quelle bibliothèque d'exécution il est lié. MSVCP100 est Microsoft Visual C ++ 2010 x86