eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› PEAnatomist - внутренности PE-файлов
<< . 1 . 2 . 3 .
Посл.ответ Сообщение

Ранг: 55.8 (постоянный)
Статус: Участник

Создано: 11 октября 2019 19:56 · Поправил: RamMerlabs New!
Цитата · Личное сообщение · #1

Доброго дня!
Хочу поделиться небольшой программкой для просмотра внутренностей PE-файлов - PEAnatomist. Да, это очередной просмотрщик PE. Но с некоторыми востребованными (по крайней мере мной ) возможностями, которых мне не удалось найти нигде более.



Помимо обычного набора из базовых заголовков, импорта, экспорта, ресурсов и т.д. PEAnatomist глубоко вонзает "скальпель" в таблицы Base Relocations, LoadConfig и ExceptionsData.
Вскрываются все поля и таблицы из LoadConfig - вплоть до самых свежих из Win SDK 18362 (Enclave и Volatile Metadata). Производится лёгкий анализ содержимого по релоцируемым VA, в т.ч. для специфичных типов релокации архитектур ARM7 Thumb и IA64. И, наконец, полный разбор таблиц ExceptionsData для архитектур x64, ARM7, ARM7 Thumb, ARM64, IA64 и специфичных для языка данных.


Например так отображается таблица Exceptions для x64 и для ARM64 с разбором кодов раскрутки.


На закуску ещё есть декодирование всех элементов из Rich-подписи с указанием всех используемых при создании PE инструментов, отображение многих типов отладочной информации.

Установка программы не требуется, дополнительных зависимостей нет. Административные права программа не требует, но без них не получится добавить ассоциации с файлами в проводнике. Программа никуда кроме файла настроек (в %appdata%) ничего не пишет, не отправляет.

Ознакомиться подробнее с возможностями программы и скачать её можно на сайте программы
Новая версия 0.1.7 (2019-12-06): Скачать

Надеюсь, кому-нибудь ещё программа окажется полезной.

| Сообщение посчитали полезным: mak, Adler, Qbik, Hugo Chaves, HandMill, plutos, MarcElBichon, hors, Bronco, morgot, v00doo, BlackCode, GPcH, DICI BF, ==DJ==[ZLO], CyberGod, TRPD, crypto, DenCoder, UniSoft, exZet, dosprog, -=AkaBOSS=-, SReg, Orlyonok, icerix, topmo3, Jupiter, r_e, Jaa, stnt



Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 23 ноября 2019 02:20 New!
Цитата · Личное сообщение · #2

Jupiter пишет:
RamMerlabs
Хотелки:

поиск указателей begin&end в DIRECTORY_ENTRY_EXCEPTION, как правило их дохрена, скролить таблу это гемор.

| Сообщение посчитали полезным: mak


Ранг: 88.2 (постоянный)
Статус: Участник

Создано: 23 ноября 2019 10:25 New!
Цитата · Личное сообщение · #3

Файл после распаковки Execryptor-а на вкладке "Безопасность" дает висяк, семпл ушел в ЛС.

Ранг: 55.8 (постоянный)
Статус: Участник

Создано: 23 ноября 2019 11:58 New!
Цитата · Личное сообщение · #4

Jupiter
Ок, с отключаемым префиксом что-нибудь придумаю.

Bronco
Поиск уже заказывали чуть ранее, постараюсь поскорее его сделать. Временно могу предложить воспользоваться переходом к строке по вводимым символам из содержимого первого столбца (как в любом listview). Только не забывайте о префиксе 0x.

Vnv
Есть такое, спасибо за образец.

Ранг: 576.8 (!)
Статус: Модератор

Создано: 23 ноября 2019 16:03 New!
Цитата · Личное сообщение · #5

Еще было бы неплохо сделать PE Verifier который бы проверял те же вещи что и штатный лоадер винды.
Например, что релоки выровнены на границу слова. Что если в хедере есть флаг Image integrity то вводятся дополнительные проверки и т. д.

| Сообщение посчитали полезным: morgot


Ранг: 55.8 (постоянный)
Статус: Участник

Создано: 23 ноября 2019 17:01 New!
Цитата · Личное сообщение · #6

r_e
Уже пишется Пока не определился с формой вывода информации, но протокол загрузки с ошибками и предупреждениями будет. Коллекция различных проверок пополняется изо дня в день. Скорее всего появится вместе с переделанным GUI.


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 23 ноября 2019 19:30 New!
Цитата · Личное сообщение · #7

RamMerlabs пишет:
могу предложить воспользоваться переходом к строке

это как? в контекстном меню только 2 клика.
сейв активной вкладки это баг или фича?

Ранг: 46.0 (посетитель)
Статус: Участник

Создано: 23 ноября 2019 20:30 New!
Цитата · Личное сообщение · #8

Bronco пишет:
сейв активной вкладки это баг или фича?

Очевидно, что фича:

Ранг: 55.8 (постоянный)
Статус: Участник

Создано: 23 ноября 2019 20:51 · Поправил: RamMerlabs New!
Цитата · Личное сообщение · #9

Bronco
Самый стандартный способ быстрого перехода к строке в listview (по крайней мере из состава comctl, как у всяких фреймворков - я хз) - фокус ввода в Listview и набирать (в соответствующей раскладке само собой) то, что нужно найти. Набирать быстро - чтоб между нажатиями не больше секунды (приблизительно) было. На всякий случай записал демонстрацию - dropmefiles.com/3LPaY (там набирается текст 0x2ff и переходим к первой встретившейся строке с таким началом)
Реагирует на инфу из первого столбца. Ну или может мы недопоняли друг друга.

Сейв вкладки был с самого начала, потом попросили сделать опциональным. Если мешает - настройки к Вашим услугам Если есть польза - значит фича, если нет - значит отключаемая фича

Ранг: 55.8 (постоянный)
Статус: Участник

Создано: 6 декабря 2019 00:48 New!
Цитата · Личное сообщение · #10

Обновление программы до версии 0.1.7 (2019-12-06):
- Исправлена ошибка с зависанием при обработке данных подписи PE
- Исправлен мелкий недочёт с отображением подсказки в полях ввода FLC
- Устранены мелкие ошибки работы с LSDA в таблице ExceptionsData
- Исправлено отображение сведений о ресурсах в сдампленных PE
- Оптимизация кода для работы с GUI
- Добавлена настройка назначения элементам управления шрифта, используемого оболочкой (изменение настройки требует перезапуска программы)
- Исправлены мелкие ошибки при отображении диалогов из ресурсов исследуемого файла
- Исправлена ошибка отображения вкладок для директорий PE для некоторых модифицированных образов


Это обновление программы преимущественно направлено на исправление некоторых выявленных ошибок; следующая версия обещает быть более щедрой на новые плюшки как по интерфейсу, так и по функционалу. Новый GUI потихоньку пишется, но для публикации ещё не готов.

Сайт программы # Скачать новую версию

| Сообщение посчитали полезным: Orlyonok, Bronco, Vnv, Jupiter, SReg, anony-mouse, mak, Dr_Braun, plutos


Ранг: 16.2 (новичок)
Статус: Участник

Создано: 7 декабря 2019 17:25 · Поправил: Prince[ART] New!
Цитата · Личное сообщение · #11

сделай экспорт всего списка импорта/экспорта (из IAT) - ну что за бред копировать по одной API (кстати, не в одно подобной программе такого функционала нет.)

Ранг: 55.8 (постоянный)
Статус: Участник

Создано: 7 декабря 2019 18:42 New!
Цитата · Личное сообщение · #12

Prince[ART]
Множественный выбор уже заказывали страницей ранее, будет. Экспорт содержимого списков в файл тоже рассматривается.
<< . 1 . 2 . 3 .
 eXeL@B —› Софт, инструменты —› PEAnatomist - внутренности PE-файлов

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS