eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: stran34, Dangerousg95 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› WinHex в качестве PE редактора
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 102.6 (ветеран)
Статус: Участник
ex TSRh TeaM

Создано: 23 июня 2008 10:05 New!
Цитата · Личное сообщение · #1

Посмотрел я на этом сайте описание 010 Editor'a:
Профессиональный hex-редактор, главным отличием которого от того же WinHex является наличие С-подобного скриптового языка, заметно упрощающего работу при ислледовании файла. Так же радует большое количество встроенных инструментов: калькулятор, подсчет контрольных сумм и т.д.
И стало мне обидно за мой любимый hex-редактор - за WinHex
Унизили его, так сказать, не по-детски, а ведь у него тоже есть и скрипты и вычисление различных хэшей и много чего ещё.
Скрипт как-нибудь в другой раз, может быть. А сегодня я нацарапал шаблон, с помощью которого можно удобно редактировать MZ и PE заголовки. Чтобы применить шаблон, нужно выбрать "View->Template Manager..." или просто нажать "Alt+F12". Дальше выбирате необходимый шаблон и нажимаете "Apply!".

В аттаче архив, в котором два файла:
EXE_headers.tpl - полный вариант (все поля MZ и PE заголовков);
PE_header_main.tpl - урезанный вариант (можете по своему вкусу подправить внутренности, чтобы убрать или добавить необходимые поля).

Второй шаблон, по-умолчанию, считывает информацию от позиции курсора, который должен быть установлен на начало PE заголока, т.е. на букву "P". Это удобно использовать для чтения PE структуры, например, где-нибудь в памяти. (кто не будет использовать эту возможность, может подправить файл и он будет сам находить PE заголовок, но в этом случае в Raw данных он работать не будет).

Чуть не забыл, шаблоны нужно поместить в каталог с WinHex'ом.

P. s.: Кто сомневается, что WinHex поддерживает скрипты, может заглянуть в файл "Sample script.whs".

Удачи

// Lice^TSRh

{ Атач доступен только для участников форума } - WinHex_as_PE_Editor.zip


Ранг: 601.2 (!)
Статус: Модератор
Research & Development

Создано: 2 августа 2009 00:42 New!
Цитата · Личное сообщение · #2

MasterSoft
какого hera архив с паролем? >|


Ранг: 601.2 (!)
Статус: Модератор
Research & Development

Создано: 2 августа 2009 01:14 New!
Цитата · Личное сообщение · #3

WinHex.v15.4.Incl.Keymaker-ZWT Size: 1504 KB

без пароля

Ранг: 1.3 (гость)
Статус: Участник

Создано: 9 сентября 2009 12:51 New!
Цитата · Личное сообщение · #4

Не смог перейти на нужную мне точку в тексте программы
Пришлось вернуться назад к Hex Workshop
А может к WinHex.v15.4 русик есть?

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 8 марта 2010 08:51 · Поправил: Dem0n1C New!
Цитата · Личное сообщение · #5

--> WinHex.v15.6 <--, ключ в коментах


Ранг: 76.9 (постоянный)
Статус: Участник

Создано: 21 апреля 2010 07:34 New!
Цитата · Личное сообщение · #6

WinHex 15.6 SR-6 + KeyGen by SnD

letitbit.net/download/03506.03a647a5f17d828c12235b7db/WinHex.15.6.SR_6.zip.html
www.easy-share.com/1909976511/WinHex.15.6.SR-6.zip
rapidshare.com/files/377954067/WinHex.15.6.SR-6.zip
s4w.ifolder.ru/17376301

Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 14 января 2017 02:22 · Поправил: v00doo New!
Цитата · Личное сообщение · #7

Фиг его знает куда кидать, все темы мертвые, заброшу сюда:

Китайцы слили 19.0 SR-6
WinHex v19.0 SR-6 x86 Specialist
_http://rgho.st/7XJ8h5ZCd
WinHex v19.0 SR-6 x64 Specialist
_https://www.upload.ee/files/6549473/WinHex_v19.0_SR-6_x86_x64_Specialist.rar.html

Но китайцы не были бы китайцами, если бы не накрыли это говно vmp и поставили еще галку на блокировку при работе на ВМ...
Code:
  1. Под паком кусок кода где патч, начиная с VirtualProtect пошифрован для статик анализа...
  2. CODE:00532F49 call    VirtualProtect
  3. В динамике все равно видно, патчит:
  4. CODE:00532FF8 lea     eax, [esp+1000h+pDec]
  5. CODE:00532FFC push    eax
  6. на
  7. CODE:00532FF8 push    00532B2C
  8.  
  9. А вот самое главное, заранее расшифрованный кусок кода с 0x00532B2C размером 0x3DF обработан VMP... 

На вскидку глянул, ранее как-то никогда не ковырял WinHex, хз, авось кому-то это франкинштейн пригодится...

Ранг: 409.7 (мудрец)
Статус: Участник

Создано: 14 января 2017 05:25 · Поправил: dosprog New!
Цитата · Личное сообщение · #8

v00doo пишет:
Фиг его знает куда кидать, все темы мертвые, заброшу сюда:


)) Это да, типа есть такое.

v00doo пишет:
Китайцы слили 19.0 SR-6
WinHex v19.0 SR-6 x86 Specialist
_http://rgho.st/7XJ8h5ZCd


)) Тоже видел это говно.
Попробовал - реально "посоны никочайте там вирус".

Во-первых, начались нехорошие глюки в другом софте после как эта херня поработала
(даже не стал разбираться, ну их фкитайскуюпесду. Тупо восстановил систему и всех делов)
, а во-вторых, определяется вирустоталом как малварь по-полной.

Сколько раз себе говорил не запускать говна под vmprotector'ом..
В особенности китайского.

В принципе, не проблема пофиксить и оригинал v.19,
но ещё не отошёл от ковыряния 18.7. Её хватает.
Жаль времени вдобавок

В v.19 типа что-то пофиксено касаемо снимания имиджей с очень больших HDD,
но мне такое от WinHex'a и даром не надо.

"Франкинштейн" этот китайский не нужен, они накрыли VM самое важное.
)) и выложили потусоваться - нате кушайте.
) Не знаю, зачем такое делать, разве что позадрачивать немца-разраба, чтоб злее был.
Так что не, пускай играются сами.



Ранг: 264.7 (наставник)
Статус: Участник
RBC

Создано: 14 января 2017 12:31 · Поправил: Kindly New!
Цитата · Личное сообщение · #9

dosprog пишет:
Попробовал - реально "посоны никочайте там вирус".

Во-первых, начались нехорошие глюки в другом софте после как эта херня поработала
(даже не стал разбираться, ну их фкитайскуюпесду. Тупо восстановил систему и всех делов)

раз запустил, не будь голословным, не напоминай школьников с их антивирусами...
сделай снимки до и после, сравни, что именно "ломает" в системе. а то я запустил (без установки), и мне стало очень страшно , но никак на систему это не повлияло. я бы с радостью откатил систему или обновил с образа, но нечего.


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 14 января 2017 12:42 New!
Цитата · Личное сообщение · #10

dosprog пишет:
Не знаю, зачем такое делать

чтобы другие кейгены не стали писать там ведь вся фишка в пошифрованных кусках в программе, а остальное на коленке разбирается


Ранг: 312.4 (мудрец)
Статус: Участник

Создано: 14 января 2017 13:21 New!
Цитата · Личное сообщение · #11

dosprog пишет:
Попробовал - реально "посоны никочайте там вирус".

либо карженый вмпрот, либо с ватермарками от владельца, накрывавшего трояны, либо нарушившего лицензионные условия )

Добавлено спустя 5 минут
--> Link <--
... Win32/Packed.VMProtect.AAA/AAB/AAC/AAD это признак того, что файл защищен скарженной версией VMProtect. ...

Тут ABO, по чему можно предположить, что не меньше 40 копий вмпрота нелегальные

Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 14 января 2017 13:57 · Поправил: v00doo New!
Цитата · Личное сообщение · #12

ClockMan пишет:
чтобы другие кейгены не стали писать

ClockMan, это называется просто: м*даки, не понимаю смысла в таких извратах.

| Сообщение посчитали полезным: dosprog


Ранг: 409.7 (мудрец)
Статус: Участник

Создано: 14 января 2017 14:20 · Поправил: dosprog New!
Цитата · Личное сообщение · #13

v00doo пишет:
это называется просто: м*даки


) Они хуже.

ClockMan пишет:
чтобы другие кейгены не стали писать


Ну, не думаю, что людей из ZWT это убедит.
Они прочно сидят на этой теме, но последние версии у них что-то никак не получается закейгенить как следует.

ClockMan пишет:
там ведь вся фишка в пошифрованных кусках в программе, а остальное на коленке разбирается


) Эти самые куски, расшифрованные, хулиганьё и заVMило.

Kindly пишет:
раз запустил, не будь голословным, не напоминай школьников с их антивирусами...

)) Сорри, некогда мне.
Может, то хорошая и нужная программа. Надо пробовать.
Ковырялся-то не сейчас, а когда по тому линку с rghost'а, что выше, было только 26 скачиваний.
Пару дней назад.

Пускай ковыряются, кому интересно.
1)
После работы поделия и даже перезагрузки машины стали криво работать все лаунчеры, использующие ShellExecute() - ждут в месте вызова возврата из функции, а его нет даже по завершении запущенной программы (при этом лаунчеры, использующие CreateProcess() работают нормально, естественно),
2)
Кое-какие программы перестали находить свои ini-файлы в собственных каталогах запуска,
3)
Перестал верно работать скриптовый язык в любимом редакторе.

Чо тут исследовать? - Сидит какая-то хня и мониторит файловую систему. Криво.
В принципе, такая возня может отнять довольно много времени.
) В такой ситуации согласен быть как школьник
Хотя, безусловно, могу и ошибаться. Бывает, в спешке.
Мнительность

DenCoder пишет:
либо карженый вмпрот, либо с ватермарками от владельца, накрывавшего трояны, либо нарушившего лицензионные условия )

Святое дело



Ранг: 228.9 (наставник)
Статус: Участник
radical

Создано: 14 января 2017 15:54 New!
Цитата · Личное сообщение · #14

Развели треп

v00doo
А ты зачем хлам в тему принес ?
Никто в здравом уме не будет хер знает чье и откуда поделие под ВМП юзать.

Ранг: 409.7 (мудрец)
Статус: Участник

Создано: 14 января 2017 16:37 · Поправил: dosprog New!
Цитата · Личное сообщение · #15

Отож бо

Оно уже по размеру exe-ка было видно, что лучше нуегона.



Ранг: 657.3 (! !)
Статус: Участник
CyberMonk

Создано: 14 января 2017 17:20 New!
Цитата · Личное сообщение · #16

Сняли бы VMProtect и выложили бы для всех , у нас же тут есть специалист для этого, испытали бы новую версию со статикой

Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 14 января 2017 18:04 · Поправил: v00doo New!
Цитата · Личное сообщение · #17

dosprog, у меня не было подобного, в любом случаи уже везде разнесли, намного раньше меня.
DimitarSerg, ну а чего бы нет?
Лучше, чем всякое Антивирусы Куранина говно и кигены ковырять, хоть польза будет
mak пишет:
Сняли бы VMProtect и выложили бы для всех , у нас же тут есть специалист для этого, испытали бы новую версию со статикой

Перевелись все те, кто тебе бесплатно это сделает тут

Ранг: 409.7 (мудрец)
Статус: Участник

Создано: 14 января 2017 21:51 · Поправил: dosprog New!
Цитата · Личное сообщение · #18

v00doo пишет:
Лучше, чем всякое говно и кигены ковырять, хоть польза будет

Это не тот случай.



Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 14 января 2017 22:16 · Поправил: mysterio New!
Цитата · Личное сообщение · #19

Как у сабжа отключить "дерганье" (включение дисков что не принимают участие в открытии файла) дисков при запуске ?
Когда имеем более чем 1 HDD, при запуске сабжа он активирует (включает - прерывая их "спящий" режим) все винчестеры, включая те что к открываемому файлу не относятся - т.е. открывая файл с винт1, или любой другой винт, попутно включаются винт2, винт3 и т.д будто файл открывают с них, а не с винт1. Где или как это безобразие можно отключить ?

dosprog пишет: Наверное, никак.
Это и плохо. Хороший hexeditor, а эта "фича" все портит. Из-за этого приходится пользоваться другими.

Ранг: 409.7 (мудрец)
Статус: Участник

Создано: 14 января 2017 22:46 · Поправил: dosprog New!
Цитата · Личное сообщение · #20

mysterio пишет:
Где или как это безобразие можно отключить ?


Наверное, никак.
При запуске он создаёт список партишенов для всех дисков,
а для этого ему нужно прочесть с каждого boot-секторы.
Шоб было удобно.

• By default WinHex numbers disk partitions in the order of their physical location.

mysterio пишет:
Это и плохо. Хороший hexeditor, а эта "фича" все портит.

) Для того чувака просто hexeditor это не круто.
Он прoдвигает так называемый Forensics, которым дорожит и который не знаю дляхерачего нужен вообще.
Так что кому надо просто хороший hexeditor, те могут отдыхать.


Ранг: 12.0 (новичок)
Статус: Участник

Создано: 15 января 2017 01:36 New!
Цитата · Личное сообщение · #21

mysterio пишет: Как у сабжа отключить "дерганье" (включение дисков что не принимают участие в открытии файла) дисков при запуске ?

без глобального и объемного патчинга - никак.
проще забить на это говно мамонта и взять нормальный инструмент.
автор толком не представляет юзкейс подобных инструментов, без нормального скриптинга и шаблонов можно слать его в анналы истории. с этого говнища forensics, как с hiew ida, но в тоже время и как hex editor неюзабельно.

Ранг: 85.8 (постоянный)
Статус: Участник

Создано: 30 января 2017 02:22 New!
Цитата · Личное сообщение · #22

WinHex_v19.1_SR-1_x86_x64_(Specialist).rar
WinHex_v19.1_x86_x64_(Specialist).rar

| Сообщение посчитали полезным: v00doo



Ранг: 316.5 (мудрец)
Статус: Участник

Создано: 30 января 2017 12:55 New!
Цитата · Личное сообщение · #23

А что уже и хекс редакторы запротектили ?

Ранг: 8.9 (гость)
Статус: Участник

Создано: 30 января 2017 13:22 New!
Цитата · Личное сообщение · #24

difexacaw
Инде, ты с луны что ли свалился )
WinHex, HexWorkShop, FlexHex, Hexprobe, HexAssistant, 010 Editor, Hex Editor Neo - все платные

Ранг: 409.7 (мудрец)
Статус: Участник

Создано: 30 января 2017 13:37 · Поправил: dosprog New!
Цитата · Личное сообщение · #25

) Больше скажу - Hiew тоже небесплатный.
Всё за бабосы.

Последняя раздача от LinXP б.м. годная.
Как обычно - патчено и добавлен ключ.

Причём версия 19.1 SP1 при старте лезет во временный каталог %USER%... , которого нет.
С выдачей соответствующего сообщения об ошибке.
Просто v.19.1 работает, вроде бы, нормально.


Ранг: 316.5 (мудрец)
Статус: Участник

Создано: 30 января 2017 14:52 New!
Цитата · Личное сообщение · #26

dsrabot1

Как то не интересовался платностью их и содержимым

Ранг: 22.3 (новичок)
Статус: Участник

Создано: 30 января 2017 18:21 · Поправил: parfetka New!
Цитата · Личное сообщение · #27

dsrabot1
010Editor 2.1.3 бесплатный (условный триал-напоминание) и русский!!!

cppasm надеюсь, вы разработчик этого замечательного редактора? У меня и после 30дней продолжает полноценно работать! Проверьте сами:
http://my-files.ru/t762bl

Ранг: 238.9 (наставник)
Статус: Участник

Создано: 30 января 2017 18:39 New!
Цитата · Личное сообщение · #28

Да да, а мужики то и не знают.
То-то на странице загрузки написано:

All software is available for a 30-day free trial. After that time, you will need to purchase the software to continue using it.


Ранг: 316.5 (мудрец)
Статус: Участник

Создано: 31 января 2017 02:53 · Поправил: difexacaw New!
Цитата · Личное сообщение · #29

cppasm

Просто я к примеру хекс редактором(винхекс например) всегда выполнял примитивные манипуляции, я даже и не знаю поддерживают они более сложное. Любая более сложная работа делается компилятором. Парс релоков, выделение процедур етц. Собственно я вообще не представляю как это всё провернуть хекс-редактором. Ну и следует сказать что у нас в рб софт ставят с диска, который на каждом углу продаётся "вся беларусь". Кстате недавно я купил с осью 10-ки, но там оси не оказалось, а тонна софта и хексредакторы тоже как обычно.

Ранг: 12.0 (новичок)
Статус: Участник

Создано: 1 февраля 2017 07:45 New!
Цитата · Личное сообщение · #30

difexacaw пишет: Собственно я вообще не представляю как это всё провернуть хекс-редактором

скриптами можно многое, а так, разбор контейнеров и декрипт блоков\строк. зачем пилить свой инструмент если все решается несколькими строчками в скриптовом движке.


Ранг: 133.2 (ветеран)
Статус: Участник
bbs.pediy.com

Создано: 1 февраля 2017 08:01 New!
Цитата · Личное сообщение · #31

Posted on Monday, Jan 30, 2017 - 6:38:
WinHex SR-2:
* Computing hash values and matching them against hash databases was not done repeatedly in the original v19.1 release. Now it is done repeatedly again, and that operation is now officially documented as one of the operations that will be applied repeatedly to the same files in a volume snapshot, the only other exception being indexing.
* Many descriptions for registry events were not output to the event list. That was changed. This improvement will also be applied to v19.0 SR-13.
* Some minor improvements and fixes.
<< . 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› WinHex в качестве PE редактора

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS