Detect It Easy签名创建指南.pdfVIP

本文将详细介绍如何为程序„DetectItEasy“创建签名。DetectItEasy（简称DIE）是一款

用于识别文件类型的应用程序。

DIE是一个跨平台应用程序，除了Windows版本之外，还有适用于Linux和MacOS的版

本。

许多同类程序（如PEID、PEtools）都支持使用第签名。但遗憾的是，这些签名

只能按照指定的字节码进行匹配，无法设置额外的参数，因此经常出现误报。而更可

靠的算法通常被硬编码在程序，要添加新的复杂检测逻辑就必须重新编译整个项

目。除了作者之外，其他人无法修改检法。一旦缺乏持续，这类程序就会逐

渐失去实用性。

DetectItEasy采用了完全开放的签名架构，可以轻松添加或修改现有的检法。这种实

现方式依赖于。语言非常类似于JavaScript，任何具备基本编程知识的人都能

很快理解其工作原理。也许有人会觉得运行速度较慢。确实，的执行速度比不

上编译后的代码，但由于引擎经过良好优化，这种性能差异并不会造成明显影响。而

开放架构所带来的优势完全可以弥补这一不足。

DIE有三个版本：版（DIE）、精简版（DIEL）和控制台版（DIEC）。这三个版本使用

相同的签名，这些签名存放在「db」文件夹中。如果打开该文件夹，可以看到其中包含多个

子文件夹（如„Binary“、„PE“等），

Вэтойстатьебудетподробноописано,каксоздаватьсигнатурыдляпрограммы„DetectIt

Easy“.DetectItEasyилисокращённоDIEэтопрограммадляопределениятиповфайлов.

DIE–кроссплатформенноеприложениеикромеWindows-версииестьверсиидляLinuxи

MacOS.

Многиепрограммыподобногорода(PEID,PEtools)позволяютиспользоватьсторонние

сигнатуры.Ноксожалениюэтисигнатурысканируюттолькобайтыпозаданноймаскеи

невозможнозадатьдополнительныепараметры.Поэтомучастослучаютсяложные

срабатывания.Болеенадежныеалгоритмыобычножесткопрописанывсамой

программе.Идлядобавленияновогосложногодетектанужноперекомпилироватьвесь

проект.Никто,кромеавторов,неможетизменитьалгоритмдетекта.Ибезпостоянной

поддержкитакиепрограммысовременемтеряютсвоюактуальность.

DetectItEasyимеетполностьюоткрытуюархитектурусигнатур.Можнолегкодобавлять

своиалгоритмыдетектаилиизменятьужеимеющиеся.Этодостигаетсяиспользованием

скриптов.ЯзыкскриптовоченьпохожнаJavaScriptилюбойчеловек,понимающийосновы

программирования,безтрударазберется,какэтоработает.Возможнокому-топокажется,

чтоскриптыработаюточеньмедленно.Действительноскрипт