PEID判断一个APP应用程序的开发环境主要基于三个地方
1、代码入口
2、PE结构的链接版本
BYTEMajorLinkerVersion;
BYTEMinorLinkerVersion;
3、特征码。 让我们看看不同VS版本生成的exe的特征码。
(一) VC6标准OEP :
入口点代码是固定代码(55推式ebp ),条目调用的API也相同,其中推式地址不同,程序也可能不同。 四个部分都是固定的。 text、 rdata、 data和. rsrc。
图1
(2) VS2013或更低版本(包括VS2013 )标准OEP :
入口点只有两行代码,在一个CALL后直接JMP,在第一个CALL进入后调用的API也是如此; 部分为VC6增加了一个. reloc。
由VS2010生成的OEP :
图2
VS2013生成的OEP :
图3
图2、3虽然不认识生成exe的编译器,但是知道了连接器版本,那个版本的PEid可能比编译器早上市了。