判断程序是否易语言做的

卓卓2030

检测程序是否易语言写的，提供下思路，感谢

z573277679

采用多种命中手段进行检测

开始运行被调试程序
* “命中特征数：” | 1
* 真
被调试易程序运行完毕

  

子程序名	返回值类型	公开	备 注
是否为易语言程序	逻辑型
参数名	类 型	参考	可空	数组	备 注
目标路径	文本型

变量名	类 型	静态	数组	备 注
文件数据	字节集
特征命中	整数型
搜索位置	整数型

文件数据 ＝ 读入文件 (目标路径)
如果真 (取字节集长度 (文件数据) ＜ 1024)
返回 (假)

如果真 (寻找字节集 (文件数据, 到字节集 (“krnlln”), ) ≠ -1)
特征命中 ＝ 特征命中 ＋ 1
如果真 (寻找字节集 (文件数据, 到字节集 (“Krnlln”), ) ≠ -1)
特征命中 ＝ 特征命中 ＋ 1

如果真 (寻找字节集 (文件数据, 字节集_十六进制到字节集 (“E80000000050E8”), ) ≠ -1 或 寻找字节集 (文件数据, 字节集_十六进制到字节集 (“558BEC6A”), ) ≠ -1)
特征命中 ＝ 特征命中 ＋ 1

如果真 (寻找字节集 (文件数据, 到字节集 (“.ersrc”), ) ≠ -1)
特征命中 ＝ 特征命中 ＋ 1

如果真 (寻找字节集 (文件数据, 到字节集 (“GetNewInf”), ) ≠ -1)
特征命中 ＝ 特征命中 ＋ 1

调试输出 (“命中特征数：”, 特征命中)
返回 (特征命中 ＞ 0)

子程序名	返回值类型	公开	备 注
_按钮_确定_被单击

调试输出 (是否为易语言程序 (“C:\Users\Administrator\Desktop\Test_ASM.exe”))

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 是否为易语言程序, 逻辑型, 公开<br /> .参数 目标路径, 文本型<br /> .局部变量 文件数据, 字节集<br /> .局部变量 特征命中, 整数型<br /> .局部变量 搜索位置, 整数型<br /> <br /> 文件数据 ＝ 读入文件 (目标路径)<br /> .如果真 (取字节集长度 (文件数据) ＜ 1024)<br />     返回 (假)<br /> .如果真结束<br /> <br /> .如果真 (寻找字节集 (文件数据, 到字节集 (“krnlln”), ) ≠ -1)<br />     特征命中 ＝ 特征命中 ＋ 1<br /> .如果真结束<br /> .如果真 (寻找字节集 (文件数据, 到字节集 (“Krnlln”), ) ≠ -1)<br />     特征命中 ＝ 特征命中 ＋ 1<br /> .如果真结束<br /> <br /> .如果真 (寻找字节集 (文件数据, 字节集_十六进制到字节集 (“E80000000050E8”), ) ≠ -1 或 寻找字节集 (文件数据, 字节集_十六进制到字节集 (“558BEC6A”), ) ≠ -1)<br />     特征命中 ＝ 特征命中 ＋ 1<br /> .如果真结束<br /> <br /> .如果真 (寻找字节集 (文件数据, 到字节集 (“.ersrc”), ) ≠ -1)<br />     特征命中 ＝ 特征命中 ＋ 1<br /> .如果真结束<br /> <br /> .如果真 (寻找字节集 (文件数据, 到字节集 (“GetNewInf”), ) ≠ -1)<br />     特征命中 ＝ 特征命中 ＋ 1<br /> .如果真结束<br /> <br /> 调试输出 (“命中特征数：”, 特征命中)<br /> 返回 (特征命中 ＞ 0)<br /> <br /> <br /> .子程序 _按钮_确定_被单击<br /> <br /> 调试输出 (是否为易语言程序 (“C:\Users\Administrator\Desktop\Test_ASM.exe”))

温柔小仙女

易语言核心运行支持库。eAPI.dll  ，可以cha询程序字符串特征 但是不能保证100%精准！

zainex

使用易语言程序的特征，比如静态编译后，易语言程序都会带有一些字符串。
可以利用这些作为特征：

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口

子程序名	返回值类型	公开	备 注
__启动窗口_创建完毕

变量名	类 型	静态	数组	备 注
文件	字节集
特征码	字节集

文件 ＝ 读入文件 (取特定目录 ( #系统桌面 ) ＋ “0.exe”)
特征码 ＝ 到字节集 (“名称首字符必须为全半角字母或汉字，其他字符必须为全半角字母、全半角数字或汉字。”)
如果 (寻找字节集 (文件, 特征码, ) ≠ -1)
调试输出 (“是易语言程序”)
调试输出 (“不是易语言程序”)

i支持库列表	支持库注释
shell	操作系统界面功能支持库
spec	特殊功能支持库

.版本 2<br /> .支持库 shell<br /> .支持库 spec<br /> <br /> .程序集 窗口程序集_启动窗口<br /> <br /> .子程序 __启动窗口_创建完毕<br /> .局部变量 文件, 字节集<br /> .局部变量 特征码, 字节集<br /> <br /> 文件 ＝ 读入文件 (取特定目录 (#系统桌面) ＋ “0.exe”)<br /> 特征码 ＝ 到字节集 (“名称首字符必须为全半角字母或汉字，其他字符必须为全半角字母、全半角数字或汉字。”)<br /> .如果 (寻找字节集 (文件, 特征码, ) ≠ -1)<br />     调试输出 (“是易语言程序”)<br /> .否则<br />     调试输出 (“不是易语言程序”)

开始运行被调试程序
* “是易语言程序”
被调试易程序运行完毕

psyche

OD里查看00401000这个位置的汇编代码



XOR EAX,EAX[size=18.6667px]就是易语言

卓卓2030

psyche 发表于 2026-1-10 19:16
OD里查看00401000这个位置的汇编代码

老大能帮忙写个源码 感谢

与孤

666  学习了

zainex

用 0x401000 入口点代码（xor eax, eax; ret; nop）判断的例子：

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口

子程序名	返回值类型	公开	备 注
__启动窗口_创建完毕

变量名	类 型	静态	数组	备 注
路径	文本型
文件	字节集
特征码	文本型

路径 ＝ 取特定目录 ( #系统桌面 ) ＋ “静态.exe”
文件 ＝ 读入文件 (路径)
特征码 ＝ 取十六进制文本 (反转整数字节序 (取字节集数据 (取字节集中间 (文件, 十六进制 (“1000”) ＋ 1, 4), #整数型, )))
如果 (特征码 ＝ “33C0C390”)
调试输出 (“是易语言程序”)
调试输出 (“不是易语言程序”)

i支持库列表	支持库注释
shell	操作系统界面功能支持库
spec	特殊功能支持库

.版本 2<br /> .支持库 shell<br /> .支持库 spec<br /> <br /> .程序集 窗口程序集_启动窗口<br /> <br /> .子程序 __启动窗口_创建完毕<br /> .局部变量 路径, 文本型<br /> .局部变量 文件, 字节集<br /> .局部变量 特征码, 文本型<br /> <br /> 路径 ＝ 取特定目录 (#系统桌面) ＋ “静态.exe”<br /> 文件 ＝ 读入文件 (路径)<br /> 特征码 ＝ 取十六进制文本 (反转整数字节序 (取字节集数据 (取字节集中间 (文件, 十六进制 (“1000”) ＋ 1, 4), #整数型, )))<br /> .如果 (特征码 ＝ “33C0C390”)<br />     调试输出 (“是易语言程序”)<br /> .否则<br />     调试输出 (“不是易语言程序”)

用 核心支持库 作为特征码，可以判断出 普通\独立\静态编译 的易语言程序：

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口

子程序名	返回值类型	公开	备 注
__启动窗口_创建完毕

变量名	类 型	静态	数组	备 注
文件	字节集
特征码	字节集

文件 ＝ 读入文件 (取特定目录 ( #系统桌面 ) ＋ “静态.exe”)
特征码 ＝ 到字节集 (“核心支持库”)
如果 (寻找字节集 (文件, 特征码, ) ≠ -1)
调试输出 (“是易语言程序”)
调试输出 (“不是易语言程序”)

i支持库列表	支持库注释
shell	操作系统界面功能支持库
spec	特殊功能支持库

.版本 2<br /> .支持库 shell<br /> .支持库 spec<br /> <br /> .程序集 窗口程序集_启动窗口<br /> <br /> .子程序 __启动窗口_创建完毕<br /> .局部变量 文件, 字节集<br /> .局部变量 特征码, 字节集<br /> <br /> 文件 ＝ 读入文件 (取特定目录 (#系统桌面) ＋ “静态.exe”)<br /> 特征码 ＝ 到字节集 (“核心支持库”)<br /> .如果 (寻找字节集 (文件, 特征码, ) ≠ -1)<br />     调试输出 (“是易语言程序”)<br /> .否则<br />     调试输出 (“不是易语言程序”)<br /> .如果结束

卓卓2030

zainex 发表于 2026-1-10 20:20
用 0x401000 入口点代码（xor eax, eax; ret; nop）判断的例子：
[e=1].版本 2
.支持库 shell

用 0x401000 入口点代码（xor eax, eax; ret; nop）判断的例子：

这个例子  自绘的 判断不出来 老大

zainex

易语言的入口点代码不是固定的，你用普通编译或者独立编译，就不会是这个代码。
之所以会有这个例子，是因为它确实能作为静态编译的判断依据，当然，这仅限于静态编译的普通易语言程序。
所以，上面才又给了个例子， 用 核心支持库 作为特征码。