RichPE:带有Rich Header的元数据散列具有针对打包和其他恶意软件技巧的鲁棒性

丰富标题研究 Rich标头是未记录的标头，包含在使用Microsoft工具链编译和链接的PE文件中。 它包含有关在其中创建PE文件的构建环境的信息。如果您想了解有关Rich标头的更多信息，请查看以下优秀文章： 先前对Rich标头的研究表明，它对于恶意软件分析非常有用： 该存储库包含我们对Rich标头的研究，其中包括RichPE元数据哈希和一个用于检查Rich标头中的元数据是否被其他PE文件元数据证实的工具。 RichPE： RichPE元数据哈希的实现。 usage: python3 richpe.py [any # of file paths] example: python3 richpe.py /path/to/file example: python3 richpe.py /path/to/directory/* 欺骗检查： 检查文件的Rich标头中的元数据是否与文件中