Hi,
also ich hätte da einen Lösungsansatz. Man sucht sich die Raw Size und die Virtual Size der einzelnen Sections raus und vergleicht diese. Wenn sich R.Size und V.Size deutlich unterscheiden kann man davon ausgehen das diese .exe, .dll gepackt ist.
Aber aufgepasst, das die V.Size der .DATA Section sich stark gegenüber der R.Size unterscheiden kann liegt wohl daran das der Programmierer schonmal viel Memory pre-allocated also reserviert hat für irgendwelche Variablen oder Arrays.
Hier mal ein Beispiel einer gepackten Exe mit Aspack :
Zitat:
CODE-Section
-> VSIZE = 1B2000
-> RSIZE = 99E00
DATA-Section
-> VSIZE = D000
-> RSIZE = 6800
Und jetzt noch ein Beispiel einer nicht-gepackten Exe:
Zitat:
text-Section
-> VSIZE = 3344A
-> RSIZE = 34000
DATA-Section
-> VSIZE = 9FA8
-> RSIZE = 5000
Die Unterschiede bei der "normalen" Exe sind recht gering.
Das ist mir bei vielen Packern aufgefallen. Es wäre halt ein Weg um ne grobe Analyse zu zeigen.
Bye