eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: iswar (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› PE Tools 1.9
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение

Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 30 марта 2018 20:14 · Поправил: v00doo New!
Цитата · Личное сообщение · #1



Встречайте новый релиз старого-доброго PE Tools
Прошло много лет с тех пор, как NEOx выложил последнюю публичную версию PE Tools в 2006 году, и вы уже могли сто раз подумать, что PET мёртв, но он ожил на некоторое время, чтобы предстать перед вами в 2018 году!

Основной анонс на русском: petoolse.github.io/petools/Announce-RU

ОСНОВНЫЕ ИЗМЕНЕНИЯ

Исправления

В первую очередь новый релиз - это огромное количество багфиксов. Везде, до куда дотянулись наши ручки, были исправлены ошибки, утечки памяти, пофикшена логика работы.
Не исключено, что при исправлении старых ошибок были добавлены новые, но мы старались, чтобы количество исправленных ошибок не влияло на появление новых ))


Новые возможности

Было добавлено несколько приятных фич, которые сделают работу с исполняемыми файлами ещё более наглядной:

Code:
  1. - абсолютно новый график энтропии, Entropy View, (на глаз определяем запакованность, наличие шифрованных данных) в двух режимах: кривая и гистограмма;
  2. - новый движок дизассемблера (раньше был CADt от Ms-Rem, потом Mediana от mika0x65, а теперь это diStorm от Gil Dabah), что позволило реализовать поддержку дизасма как x86 (32 бит), так и x86-64 (64 бит);
  3. - отображение Config directory со всеми новыми полями
  4. - отображение обработчиков исключений (Structured Exception Handler) в Config directory
  5. - удаление директории сертификатов (с самими сертификатами)
  6. - поддержка File System Redirector (Windows-on-Windows, WoW)
  7. - добавлена функция редактирования в hex-редакторе
  8. - корректное отображение списка процессов на современных ОС
  9. - отображение x86-64 процессов
  10. - диалог DLL Characteristics
  11. - сигнатуры для PE Sniffer (Signs.txt) преобразованы в формат PEiD


Пачка мелких, но полезных фич:

Code:
  1. - переход по ярлыкам (.lnk)
  2. - чтение инфы в Debug directory: имя PDB, GUID, типы POGO, VC
  3. - отображение в дизасме направления прыжка (вверх / вниз относительно текущей позиции)
  4. - меню копирования (Copy) и сохранения (Save) в диалоге диазасма и hex-редактора
  5. - опции копирования из hex-редактора: исходник C (C source); экран как есть (Editor display); сырые байты (Hex values)
  6. - добавлены горячие клавиши в меню копирования в hex-редакторе
  7. - заполнение диапазона заданным значением с возможностью применения операций XOR, OR, AND, NOT, диалог Fill Block в hex-редакторе
  8. - в редакторе секций показывается порядковый номер секции (полезно в файлах с большим количеством безымянных секций)
  9. - добавлено действие по умолчанию на двойной клик: открываются соответсвтующие диалоги без необходимости вызова контекстного меню
  10. - корректировка значений полей `OperatingSystemVersion` и `SubsystemVersion` при увеличении количества секций в соответствии с максимально допустимым количеством секций в ОС
  11. - корректный пересчёт и исправление различных размеров заголовков
  12. - определение нескольких int3 опкодов для прекращения быстрого дизасма (fast disasm)
  13. - корректная очистка таблицы релокаций (relocation table) с исправлением соответствующих флагов
  14. - исправлены серьёзные ошибки в File Location Calculator (FLC)
  15. - исправлены ошибки с обрезанием имён функций при добавлении в импорт новой библиотеки
  16. - автоматически скрываемое предупреждение о привилегиях администратора с возможностью отключения


Get high

Добавлена поддержка высокого разрешения экрана (High DPI), что позволяет не вглядываться в иконки и текст, а наслаждаться комфортными пропорциями интерфейса.

Чистка

Были убраны лишние на наш взгляд фичи типа старой обновлялки и старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), сокращено количество внешних библиотек, объединены модули с базовым функционалом.

Другие изменения

Полный список изменений смотри на сайте PE Tools на Github:

HISTORY

Разумеется, было ещё много чего исправлено и добавлено по мелочи, о чём нет смысла писать подробно (да и не всё упомнишь), поэтому проще скачать и убедиться самостоятельно.

Ссылки

Сайт проекта на Github:

petoolse.github.io/petools

Новости проекта:
@petoolse

СКАЧАТЬ

github.com/petoolse/petools/releases


--
Code:
  1. - Jupiter
  2. - PainteR


2018.03.30

| Сообщение посчитали полезным: Jupiter, batter-f, readt, Haoose-GP, mysterio, Kindly, CyberGod, r_e, Bronco, red0x, TRPD, mak, deniskore, hors, digger70, plutos, Gideon Vi, yashechka, BlackCode, sefkrd, Jaa, CKAP, DICI BF, -=AkaBOSS=-, sendersu, Orlyonok, ELF_7719116, YDS, void, MarcElBichon, Rio, HandMill, sashka2002, GPcH, shellstorm, UniSoft, Vamit, mkdev, mushr00m, Deluser, MacTep, d745150, ==DJ==[ZLO], hypn0, dosprog, SReg, ntldr, LinXP, random, ALSSL, Jim DiGriz, Nightshade, icerix, Smitis, Dr_Di0NiS, nar100, n0x90, KomatoZ, guga, FalseMaster


Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 5 мая 2018 01:01 New!
Цитата · Личное сообщение · #2

sendersu пишет:
Идея - раз будет (или уже есть ) удаление, может для полности функционала добавить добавление оверлея) ? (почти оксюморон получилс)

Оверлей добавляется командой "copy /b", без проблем.



Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 5 мая 2018 10:06 · Поправил: mysterio New!
Цитата · Личное сообщение · #3

Tools -> PE Editor -> Choose any file -> Sections -> Right Click -> DumpFixer -> Close -> Entropy -> привет вылет.

Самую малость не хватает Split/Unsplit как в LordPE. Функционал такой есть - но поштучно для каждой секции, без header, не совсем информативными именами секций в диалоге сохранения. section_2.bin -> 2_DATA.bin ? Если секция имени не имеет и т.д. - 0_header.bin, 1_CODE.bin, 2_section.bin ... 10_overlay.bin ?

Сохранение, удаление, добавление и замена сертификата ?

Для уменьшения размера: выкинуть все About.bmp, оставить одну большую которую ресайзить до нужных размеров ?
31064+48064+68864=147992 - функция ресайза точно будет меньше этого размера.

Есть еще одна-две мелочи ....

| Сообщение посчитали полезным: dosprog, sendersu


Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 6 мая 2018 13:25 · Поправил: v00doo New!
Цитата · Личное сообщение · #4

mysterio пишет:
Для уменьшения размера

Ну размер не стоял целью, ресайз отвратительный у винды по дефолту, разве что могу заюзать gdiplus и выкинуть ненужное, в таком свете можно порешать.
Падение тоже гляну, там очень много старых траблов с реалоком при изменении, все сразу и не выискать.

PS Может сделаем тему парням для обсуждения антивирусов и закладок, а то я смотрю актуально?

Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 6 мая 2018 15:18 · Поправил: dosprog New!
Цитата · Личное сообщение · #5

Так вроде создали уже. --> Link <--

Но надо непременно здесь.


Ранг: 591.5 (!)
Статус: Модератор
Research & Development

Создано: 6 мая 2018 20:01 New!
Цитата · Личное сообщение · #6

dosprog пишет:
Но надо непременно здесь.

Трёп на счёт антивирей, детектов и тому подобной болтовни, не касающейся PE Tools напрямую, потёр к чертям.

Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 6 мая 2018 20:09 · Поправил: dosprog New!
Цитата · Личное сообщение · #7

mysterio пишет:
Самую малость не хватает Split/Unsplit

[offtop]
Кстати, неплохая тулза на эту тему - --> PEWizard 1.10 (c)1999 ST!LLSON <--.
[/offtop]



Ранг: 591.5 (!)
Статус: Модератор
Research & Development

Создано: 6 мая 2018 21:35 New!
Цитата · Личное сообщение · #8

dosprog

Фишка с -join, -split хороша, судя по readme. Она работает с современными файлами, собираемыми последними студиями?

Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 6 мая 2018 21:37 · Поправил: dosprog New!
Цитата · Личное сообщение · #9

Да вроде бы проблем не было. Правда, совсем последние мне не попадаются.

--Добавлено--
И ещё - та тулза оверлеем не занимается. А было бы неплохо.
То есть после split + join получаем исходный файл без оверлея.

--Добавлено2--
В принципе, оно, может, и не критично, поскольку пользовался ею в основном для потрошения дампов.


--Добавлено3--

Пример работы опции "-split":

Code:
  1. .a..        2027520  6-May-2018 22:23 dc.exe     - исходный файл (там есть оверлей)
  2. .a..           1510  6-May-2018 22:20 dc.exe.pe   - результат -split (в этом файле текстом расписана стртура исходного файла) 
  3. .a..            240  6-May-2018 22:20 dosstub.bin  - файлы, на который расщеплён исходный файл. Оверлей игнорируется 
  4. .a..        1507328  6-May-2018 22:20 section0.bin
  5. .a..          90112  6-May-2018 22:20 section1.bin
  6. .a..         208896  6-May-2018 22:20 section2.bin
  7. .a..         217088  6-May-2018 22:20 section3.bin

Этот файл-описание dc.exe.pe (*.exe.pe) можно использовать потом аргументом при "-join"
В принципе, всё логично.



--Добавлено4--

[offtop]
[анегдот]
За совка, чувак приезжает в Москву. На вокзале садится в такси и небрежно говорит таксисту:
-- Давай, лети в Принцип
Таксист в недоумении - мол, сколько работаю, ни о каком Принципе не слышал. Где это?
Чувак в раздражении:
-- Да я не местный. Мне кореш рассказывал - мол, в Москве в магазинах нихрена ничо нету, но, в принципе, мол, всё купить можно.
Мчи в Принцип, короче.
[/анегдот]
[/offtop]


--Добавлено5--

Кстати, термин "оверлей" применительно к PE-файлам, наверное, не подходит. Этот термин унаследован ещё от DOS.
Но, в принципе, всем понятно, о чём идёт речь..



Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 6 мая 2018 23:40 · Поправил: mysterio New!
Цитата · Личное сообщение · #10

PEWizard 1.10 ...
Слегка улучшенная переделка более ранней PEUtils by Andrew de Quincey 1998.

Мелочи:
1. Tools -> PE Editor -> Compare -> выбрать, по ошибке, тот же файл -> получаем "Error while accesing the file ...." - зря пытаемся открыть уже открытый файл - когда как проще, не вызывая ошибки, его не открывать и сравнить путь - юзеру сообщить чтобы выбрал что-то еще.

2. Раз тема на счет оверлеев понравилась: как все в том же LordPE, сделать обрезку последней секции, этого самого оверлея, в виде 2 вариантов. "Truncate at the end of section" - он же strip overlay, обрезает файл до размера последней секции. "Truncate file immediately after data end" - обрезка до фактического размера последней секции, по сути strip overlay + cut padding.
Сюда же можно добавить Add/Replace/Extract overlay.


Как костыль - сойдёт.
Убедили - генерирование исключительных ситуаций без обработки - это круто, а их исправление или не создание - это костыль. В таком свете, просьба отменить запрос на исправление "Tools -> ... -> Entropy -> привет вылет." так как лучше уж оставить как есть и не трогать. imho. - пусть себе вылетает. Просьбы отнесены к мелочам - ожиданий что это исправят не было.

| Сообщение посчитали полезным: dosprog


Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 6 мая 2018 23:50 · Поправил: dosprog New!
Цитата · Личное сообщение · #11

mysterio пишет:
Слегка улучшенная переделка более ранней PEUtils by Andrew de Quincey 1998.

Ну, может, и не слегка - там всё-таки ещё [простые] дизасм и пе-дампер встроены,
но фича split/join явно позаимствована в PEUtils, - согласен.

В принципе, тут и придумывать нечего - в этот алгоритм добавить работу с оверлеем
- и уже будет готовая опция.


Добавлено спустя 20 минут
mysterio пишет:
когда как проще, не вызывая ошибки, его не открывать и сравнить путь - юзеру сообщить чтобы выбрал что-то еще.

Как костыль - сойдёт.
Но имя одного и того же файла может иметь четыре разных вида -
LFN/SFN с/без PATH'а.
(а если ещё добавить мешанину LFN/SFN в полном пути, то вариантов не четыре, а ..мильён)..

Так что лучше уж оставить как есть и не трогать. imho.


Добавлено спустя хз сколько минут

Проверил, как в таком случае реагирует собственная утиль CMP32
- при сравнении файла с самим собой пишет "Differences not found.."
Тоже неху.ово(с)


[offtop]
Едут в СВ Дембель и генерал.
Г: - Ты кто?
Д: - Я - дембель, а ты кто?
Г: - А я генерал!
Д: - Хм. Ну, тоже нехуёво!
[/offtop]



Добавлено спустя много минут

mysterio пишет:
генерирование исключительных ситуаций без обработки - это круто

Это не годится, согласен.
Лучше просто открывать файлы только для чтения и тупо осуществлять.
- никаких ошибок и не будет.






--Добавлено значительно позже--

Тулза от Andrew de Quincey настолько убедительная, что собрал те две утилиты в один EXE, для удобства использования.
Получилось - --> PEU.EXE <-- (см. далее)

Пример заразителен.
Позже подумаю, как логичней втулить туда же работу с оверлеем.



--Добавлено позже того, что значительно позже--

В тулзу от Andrew de Quincey добавлена работа с оверлеем, если он присутствует в исходном файле.
Получилось такое: --> PEU.EXE <--

Причём добавленная "оверлейная" опция сделана абсолютно прозрачной.
То есть, если в исходном файле присутствовал оверлей, то он учитывается,
иначе действие программы аналогично действию старой утилиты v.1.0 от Andrew de Quincey.
И кроме того, на этапе "-join", - если в мап-файле "?.exe.pe" удалить секцию "Overlay",
то PE-файл по опции "-join" будет собираться без оверлея, как и в оригинальной старой версии.



Ранг: 591.5 (!)
Статус: Модератор
Research & Development

Создано: 8 мая 2018 09:05 New!
Цитата · Личное сообщение · #12

mysterio пишет:
зря пытаемся открыть уже открытый файл

Бага. Добавлю в Issues

Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 8 мая 2018 09:28 · Поправил: dosprog New!
Цитата · Личное сообщение · #13

Да всё там корректно, имхо - программа же не падает..
Просто сообщает, что файл уже занят - дальше можно уже думать,
что было сделано не так при выборе этого второго файла.
Лучше уже и не придумаешь.
(Разве что добавить в тот еррормесидж пояснение, что, мол, возможно, вы пытаетесь указать на уже открытый файл).
Такое проявление не воспринимается как ошибка программы, а наоборот, - как штатная ситуация.


--Добавлено2--
Посмотрел, как ведёт себя в подобном случае утиль HexCMP2 - тупо сравнивает файл с самим собой, без ошибок.
И наверное, это правильно.
Хотя выдать еррормесидж "возможно, вы пытаетесь указать на уже открытый файл" - тоже нехуй.во(с)



--Добавлено--

А вот что смотрелось бы органично - это добавить в SectionEditor
подобие FileLocationCalculator'а.
И чтобы непременно была опция "Хвосты секций"
- отображать их размер,
- указывать, если адрес попадает в "хвост",
- "обрезать хвост секции".

Описано вкратце --> туд <--
На примере FLC от ManHunter'a.


Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 14 мая 2018 05:09 · Поправил: dosprog New!
Цитата · Личное сообщение · #14

dosprog пишет:
Оверлей добавляется командой "copy /b", без проблем.

Если добавлять работу с оверлеем, то логика [имхо] должна быть такая:
Code:
  1. If PE-EXE contains the overlay   //если PE-EXE имеет оверлей
  2. then  select:  //тогда можно выбрать:
  3.     -Strip overlay   //отрезать оверлей
  4.     -Append or replace overlay from file //заменить или добавить оверлей  из файла
  5.     -Save overlay to file // сохранить оверлей в файл
  6. else  //иначе, если оверлея нет, тогда
  7.     -Append overlay from file // добавить оверлей из файла
Запилил, кстсти, HEM-plugin, реализующий вот это вот.
Посмотреть можно --> тут <-- (добавление5 от 14 мая 2018 г.)

| Сообщение посчитали полезным: sendersu


Ранг: 386.7 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 30 июня 2018 15:23 New!
Цитата · Личное сообщение · #15

1. Неплохо было бы добавить флаг A.A. (Anti-attach):
Code:
  1. GetProcAddress(m_LibNtdll, "DbgUiRemoteBreakin");
  2. ...
  3. memcmp

и его деблокировку.

2. И вьюер PEB

Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 1 июля 2018 03:56 New!
Цитата · Личное сообщение · #16

Бажек при убиении секции желательно бы поправить.
А то пользуюсь этой тулзой в основном для этого,
а оно работает не очень корректно.


Ранг: 40.9 (посетитель)
Статус: Участник

Создано: 13 ноября 2019 15:56 New!
Цитата · Личное сообщение · #17

Убедительная просьба к разрабам, перехватившим эстафетную палочку, в следующих версиях, ежели оные планируются, выпилить к хренам из сей архинужной тулзы кривулину, именуемую "Rebuild PE", потому как дрянь беспардонно поганит файлы (эта "фича" тянется ещё с давних времён). Олсо было бы нихуйово слегка подрихтовать перекрывающиеся маленькие кнопари в диалогах.

Ковырялово ресурсов никто не отменял, но всё-таки хотелось бы искаропки.


Ранг: 591.5 (!)
Статус: Модератор
Research & Development

Создано: 13 ноября 2019 19:54 New!
Цитата · Личное сообщение · #18

FalseMaster пишет:
выпилить к хренам из сей архинужной тулзы кривулину, именуемую "Rebuild PE", потому как дрянь беспардонно поганит файлы (эта "фича" тянется ещё с давних времён).


Есть такое. Кардинальное изменение всего движка и привела к тому, что лавина изменений снесла к ебеням всякое желание костылить, а на переписывание с нуля [пока] нет ресурсов.

FalseMaster пишет:
подрихтовать перекрывающиеся маленькие кнопари в диалогах

Не до того, сэр.

Ранг: 131.5 (ветеран)
Статус: Участник

Создано: 14 ноября 2019 09:41 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #19

Что автор понимает под термином "костыль"? Исключительно из интереса.

Алсо меня интересует каким образом автору удалось добиться вот такого результата

https://www.virustotal.com/gui/file/8fd1a1cc1a253fd58693c181895d392ba20fc2a638aaecbc2e8f5d004db8fc27/detection

Для сравнения это PeTools v1.5 RC7 (файлу 11 лет на вт), этих пятерых ноунейм шизофреников можно смело исключать из обоих кейсов.

https://www.virustotal.com/gui/file/a69025ececf28f13184fd442d0fe0759db4a6b4f192b974f0d83fa54b70a05aa/detection


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 14 ноября 2019 10:14 · Поправил: BlackCode New!
Цитата · Личное сообщение · #20

Alchemistry
Только что сделал повторный анализ на вирус тотале, версия немного другая.
https://www.virustotal.com/gui/file/2198c71f1bbf4809a1f4af58e0b11aac9c33edfee0be7ef29f6fe798dc7b6e8d/detection
PE.Tools.v1.9.712.2018
Файл (PETools.exe) sha256 - 2198c71f1bbf4809a1f4af58e0b11aac9c33edfee0be7ef29f6fe798dc7b6e8d
sha1 - d6883cade3e99a6d0b8c5391435ae1d35f67cb67
У них детект зависит от дня недели? или от гороскопа?
Вроде там не полиморф..

Ранг: 131.5 (ветеран)
Статус: Участник

Создано: 14 ноября 2019 11:28 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #21

BlackCode
Первый файл попал в онлайн сандбоксы и имеет негативную репутацию, в интернете засвечен много, второй проскачил мимо них т.к. версия не распространена. Большинство детектов этих nextgen аверов это детекты по доверию.

Могу предположить что автор заюзал в новой версии дизасм движок который юзается только в малвари


Ранг: 134.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 14 ноября 2019 11:37 New!
Цитата · Личное сообщение · #22

Некий "Эксперт по безопасности" Peter Engel https://www.virustotal.com/gui/user/angel1973 ковырял новые сборки вручную и вроде как обнаружил в них "трояна".


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 14 ноября 2019 11:43 New!
Цитата · Личное сообщение · #23

hors
Да, это как раз эксперт вроде как.
Я живьем таких экспертов видел ...

| Сообщение посчитали полезным: hors, dosprog


Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 14 ноября 2019 12:08 · Поправил: dosprog New!
Цитата · Личное сообщение · #24

Вообще, такие наезды должны сопровождаться комментированными примерами
вредоносного кода, выдранного из программы.
А иначе это всё сказано-мазано.

Тут некто уже пытался авторитетно сказать нехорошо о примитивном лоадере,
сгенерённом паблик-утилитой и запакованном PECO,
- было немного смешно, но и вопрос - какого члена?

| Сообщение посчитали полезным: BlackCode, Jupiter, hors



Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 14 ноября 2019 12:22 · Поправил: BlackCode New!
Цитата · Личное сообщение · #25

dosprog пишет:
Вообще, такие наезды должны сопровождаться комментированными примерами
вредоносного кода, выдранного из программы.
А иначе это всё сказано-мазано.

Абсолютно правильно! Как говориться, пруфы в студию!
А "антивирусные сервисы" типа вирустотола и иже с ним, как правило рассчитаны для
недалеких параноидальных пользователей которые как бараны заливают на них все подряд, что под руку
не попадется. После чего, такие "как бы" эксперты даже в калькуляторе найдут WannaCry


Ранг: 591.5 (!)
Статус: Модератор
Research & Development

Создано: 14 ноября 2019 12:37 New!
Цитата · Личное сообщение · #26

Alchemistry пишет:
Алсо меня интересует каким образом автору удалось добиться вот такого результата


Надеюсь, умеешь читать по-английски. Всё подробно изложил ещё прошлой осенью:

--> Issue #7. PETools detected as malware <-- на странице проекта на GitHub.

| Сообщение посчитали полезным: hors


Ранг: 131.5 (ветеран)
Статус: Участник

Создано: 14 ноября 2019 14:09 New!
Цитата · Личное сообщение · #27

Jupiter
Надеюсь, умеешь читать по-русски: это не ответ, а набор школьного бреда. По этой логике все PE редакторы, утилиты и дизассемблеры должны иметь 75% детекта на ВТ. Как видишь тот же старый PETools, внезапно, не имеет этих детектов. Воу.

А насчет того что там на ВТ и кто туда отправляет, это не важно. Когда кто-то попытается это скачать и не сможет - потому что его AVG или Avast (весьма популярные кстати) просто убьют это во время закачки - вот тогда и посмеемся.

Ранг: 386.7 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 14 ноября 2019 14:44 New!
Цитата · Личное сообщение · #28

Господас-c, не вижу смысла в вашем сраче: на exe обычный Generic детект - очевидно, что автоматика подетектила у нескольких ключевых вендоров, а остальные слизали. Отошлите false positive report на AVG/Avast/NOD32/BitDef, если ничего нет - детект снимут в след выпуске баз.


Ранг: 591.5 (!)
Статус: Модератор
Research & Development

Создано: 14 ноября 2019 17:11 New!
Цитата · Личное сообщение · #29

Alchemistry пишет:
это не ответ, а набор школьного бреда


Вот не могу понять, ты чего хочешь добиться таким уровнем аргументации?
Ты считаешь, что если ты будешь постоянно педалировать больную для тебя "школьную" тему вместо реальной аргументации, то твоя позиция станет более понятной? Нет, не станет. Пока я вижу, что у тебя бомбит без каких бы то ни было реальных аргументов.

Alchemistry пишет:
Когда кто-то попытается это скачать и не сможет - потому что его AVG или Avast (весьма популярные кстати) просто убьют это во время закачки - вот тогда и посмеемся.


По --> ссылке на гитхаб <--, которую я давал выше, ты бы мог прочитать раздел "Possible solutions", он же "Возможные решения", в которых прямо перечислено:
- Inform antivirus company that produced weak antivirus with paranoid engine about false detection: by email or forum
- Trust professional antivirus which doesn't mark PE Tools as threat
- Analyse PE Tools features with disassembler like Cutter / Binary Ninja / IDA and decide yourself
- Don't use PE Tools in real world environment, only in safe VM conditions

Если тебе ни один из предложенных вариантов не подходит, то, возможно, этот продукт не для тебя, и тебе стоит обратить свой взор на упомянутые тобой "все PE редакторы, утилиты и дизассемблеры", которым ты доверяешь.

Если же у тебя есть реальные аргументы, которые говорят о том, что бинарь PE Tools - это на самом деле зловред, то не держи эти реальные аргументы при себе, а выкладывай их, после чего мы с v00doo рассмотрим их, разберёмся.
Вот только дело в том, что с прошлого года, когда впервые был поднят вопрос о детектах говноантивирусами, не нашлось ни одного реального аргумента. Только домыслы.

Ты не на форуме домохозяек, а на форуме исследователей программ, которые в состоянии использовать инструментарий анализа кода и докопаться до истины самостоятельно.
Судя по тому, сколько времени времени прошло с момента публикации тобой твоего первого комментария, в котором у тебя бомбило на счёт закрытости программы, но ничего конкретного с тех пор ты так и не смог обнаружить, можно сделать вывод, что у тебя нет элементарной квалификации, чтобы провести подобное исследование. Все твои дальнейшие бездоказательные доёбки к PE Tools оставь, пожалуйста, при себе.

| Сообщение посчитали полезным: BlackCode, alfaservice, plutos, samtehnik


Ранг: 18.5 (новичок)
Статус: Участник

Создано: 14 ноября 2019 22:00 New!
Цитата · Личное сообщение · #30

даже если и присутствует "сферический зловред в вакууме", то при малейших опасениях следует использовать VM - в наше время это вообще не проблема. даже в w10 своя песочница есть родная, если другие VM ставить нет желания. проблема высосана из пальца. имхо.


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 15 ноября 2019 02:16 New!
Цитата · Личное сообщение · #31

О чём тут вообще, у меня для вас новость - женерики и тп это не детекты, а статистика. Детект может быть конкретный по сигнатурам, обычно статическим. И чем более говяного качества ав, тем больше он использует статистику, это нужно что бы авер показывал свою работу, иначе он нафиг не нужен. Качественные ав обычно статистику вообще не используют и поэтому не ошибаются, ms например.

В таких тулзах детект на самом деле может быть по сигнатурам, например по дизу. Мне раньше приходилось криптовать его, что бы аверы не палили при тестах.

Добавлено спустя 11 минут
Alchemistry

> Как видишь тот же старый PETools, внезапно, не имеет этих детектов.

Может в импорте нет апи какой то что бы статистика сошлась или может какие то энтропии не сошлись, какая разница, если это не сигн детект, а ошибка ав. Для них ошибка лучше чем её отсутствие, иначе авер не работает вообще никак.

Добавлено спустя 23 минуты
BlackCode

> У них детект зависит от дня недели?

А где ты там детект увидел, там женерики. Давайте лучше про йод раскажите
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› PE Tools 1.9

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS