魔改010Editor Template 识别伪加密_小光头发多的博客

天安杯培训四叶草的大佬讲伪加密时说到“极客压缩”可以进行无视伪加密，直接打开压缩包，还有这么好的工具赶紧下载下来，但是火绒直接报病毒，直接把我劝退。 

后来网上看到百度大佬对软件的分析，竹节虫：暗藏在常用工具软件中的后门，这个软件存在Lua脚本机具备下载任意程序并静默执行、结束进程、修改任意注册表、向连接的手机安装APK、修改主页、本地提权等121个功能API，功能强大令人震惊。值得警惕的是，Lua脚本可随时被升级更新，不排除有幕后黑手利用这功能强大的后门执行隐私窃取等其他恶意行为，存在极高的安全隐患。

为了本地的环境的安全可靠，还是另辟蹊径吧，使用010Editor Template进行分析是不是伪加密。

首先什么是伪加密

如上图压缩文件数据区全局方式位标记为0000，而压缩文件目录区全局方式位标记为0900时就可以判断为伪加密。程序中实现也是这样判断。

正常的zip template是执行完只会判断zip文件的完整性，是否被损坏。

修改完的会判断是否是伪加密，如果符合上面的判断条件，就会给个提示

本来想直接判断出来是伪加密自动把文件里面的字节改掉，但是报了函数错误，换了几个函数都不行，接下来还要学习如何使用脚本更改打开的文件数据。

Function 'WriteBytes' cannot write to the current file in a template. Use a script instead.

今天先把能判断出来是伪加密的脚本贴出来，感谢韦神对我C语言结构体的指导

 欢迎关注“鸡术有限”