php 判断exe文件是否正常

include "ExeInfo.php";
$pe = new PE_VIEWER( 'cmd.exe' );
$pe->out();
?>

、通常病毒会加壳，加壳后的程序其节名不再是常见的.text、.data、.rdata、.rsrc等，而是包含UPX、Aspack等字符的节名；
2、通常程序的入口点在10000一下，大多数在1000稍多一点的地方，如果程序入口点数值过大，就值得怀疑；
3、分析导入表，通常病毒的KERNEL32.DLL导入表只有LoadLibrary、GetProcAddress等少数几个函数。
当然上述判断并不准确，一些黑客程序及需要保密的程序也会加壳。
这个脚本能获取exe文件的基本信息，并以xml格式输出，目前不包含引入表信息。可以查看输出信息来判断exe文件是否正常。