Hex Editor uputstva
- Program je veoma koristan, posebno za one koji vole da prisvajaju tuđu imovinu) Link za preuzimanje (na dnu teme).
- Hex - editor (engleski hex - editor), heksadecimalni uređivač - aplikacija za uređivanje podataka u kojoj su podaci predstavljeni u "sirovom".
- Ovaj članak će govoriti o radu u besplatnom hex uređivaču Free Hex Editor Neo, koristeći primjer uređivanja datoteke BkEnd.dll iz.
- U prvom dijelu serije članaka pogledali smo primjer pregleda datoteke u hex editoru (sa vrlo minimalnom analitikom) i...
- Za to se koriste takozvani hex editori. Prvo pitanje koje se obično postavlja je: koji urednik od svih? fajl, u drugom - bajtovi instrukcije, u trećem - njegova mnemonička oznaka.
Objavljeno 03/09/2013 Vitalij Onyanov 1. Malo o heksadecimalnim uređivačima i datotekama Kao što znate, svaka datoteka pohranjena na tvrdom disku računara je niz mašinskih riječi - bajtova. Bajt se pak sastoji od 8 bitova, od kojih svaki može imati vrijednost “0” ili “1”, što znači da jedan bajt može uzeti 28 = 256 vrijednosti u rasponu od 0 do 255. broj 25610 napisan u heksadecimalnom sistemu, je okrugli trocifreni broj - 10016, tj. za predstavljanje bilo kojeg broja iz raspona 0-255 neće biti potrebno više od 2 cifre. To znači da je vrlo zgodno zapisati vrijednost svakog bajta kao dvocifreni broj u heksadecimalnom brojevnom sistemu. Hex uređivač nam prikazuje datoteku onako kako je mašina „vidi“, naime, kao niz bajtova. Na primjer, otvarajući datoteku u editoru, vidjet ćemo matricu koja se sastoji od 16 stupaca i broja redova ovisno o veličini datoteke. Svaka vrijednost matrice odgovara jednom bajtu, zapisanom kao dvocifreni heksadecimalni broj. Promjenom vrijednosti željenog bajta možemo, shodno tome, promijeniti i sam fajl. Osim toga, pored tabele možemo vidjeti: Lijevo od matrice je red brojeva: svaki red odgovara broju koji označava adresu/pomak prvog bajta ovog reda. Korak adrese jednak je broju kolona. Drugi lenjir je prikazan na vrhu matrice: iznad svake kolone je prikazan pomak bajta u ovoj koloni u odnosu na prvi bajt odgovarajuće linije. Zbir broja koji odgovara i-tom redu i broja koji odgovara j-toj koloni je adresa/pomak bajta (i; j) koji se nalazi na raskrsnici preuzetog reda i preuzete kolone. Desno od matrice prikazani su isti podaci, ali u drugačijoj interpretaciji. Najčešća alternativa je prikazivanje podataka kao ASCII teksta, sa bajtovima čije vrijednosti odgovaraju znakovima koji se ne mogu ispisati kao tačke (·). Također možete uređivati vrijednosti u ovoj oblasti. 2. Instaliranje besplatnog Hex Editor Neo Preuzmite besplatni Hex Editor Neo sa službene web stranice. Program je besplatan, u vrijeme pisanja najnovija verzija je bila 5.14. Instaliramo slijedeći upute instalatera bez promjene zadanih postavki. Kada prvi put pokrenete program, od vas će biti zatraženo da odaberete način rada interfejsa. Odaberite „Korisnik početnik“, ovo je više nego dovoljno. 3. Rad sa datotekom u heksadecimalnom uređivaču Sada otvorimo datoteku koju trebamo "ispraviti" odabirom "File" - "Open" - "Open File" u Free Hex Editor Neo meniju. U mom slučaju, ovo je datoteka BkEnd.dll koja se nalazi u fascikli sa instaliranim 1C:Enterprise 7.7 (podrazumevano “C:\Program Files\1Cv77\BIN”) za članak Instaliranje 1C:Enterprise 7.7 na Microsoft SQL Server 2008 R2. Na primjer, trebam zapisati vrijednost eb u bajt na pomaku 000d9cca. Da to učinim, pronađem red “000d9cco” i stupac “0a”, dvaput kliknem na željenu ćeliju i unesem novu vrijednost. Postupajući na sličan način, napravim sljedeće promjene: Da popravim grešku „Potreban je MS SQL Server 6.5 + servisni paket 5a ili noviji!“ promijenite polja: kod pomaka 000d9cca vrijednost 83 se mijenja u eb kod pomaka 000d9ccb vrijednost e8 se mijenja u 15 kod pomaka 000db130 vrijednost 83 se mijenja u eb kod pomaka 000db131 vrijednost e8 je promijenjena u 10 Da bi se ispravila greška " baza podataka je drugačija od sistemske! ": na offsetu 0018a79d vrijednost 75 se mijenja u eb Da ispravi grešku "Neispravna sintaksa u blizini ključne riječi "TRANSACTION" Fraza DUMP TRANSACTION %s WITH TRUNCATE_ONLY, koja se nalazi na offsetu 002856B0, se zamjenjuje frazom ALTER DATABASE %s SET RECOVERY JEDNOSTAVNO Da biste ispravili grešku "Osnovni podaci se ne mogu otvoriti u jednokorisničkom modu", promijenite polja: na ofsetu 0028549c promijenite vrijednost 64 u 6b kod ofseta 0028549d promijenite vrijednost 62 u 70
Ne samo da možete odabrati, već i pregledati, uređivati, zamijeniti i analizirati podatke; možete preuzeti besplatni Hex Editor Neo ispod.
Korištenje Hex Editora za RO klijenta. exe datoteke se mogu uređivati ručno kako bi se izvukla neka korist. Ako ti.
Video za besplatni program Hex Editor Neo. Evo nekoliko videozapisa vezanih za besplatni Hex Editor Neo. Kako koristiti besplatno.
HxD za uređivanje datoteka u heksadecimalnom kodu. Počevši da pišemo recenziju hex editora sa kratkim imenom HxD, mi...
| Created 04. jul 2015 | |||||||||
BILJEŠKA
Slike nisu prikazane na ovoj stranici, ali ih možete pronaći u knjizi.
Ono što ćemo sada uraditi je, sa moje tačke gledišta, veoma interesantno. Ovo će biti vaš prvi program u mašinskom kodu (i, najvjerovatnije, jedini))).
Asembler je jezik niskog nivoa, ali ipak jezik. Jeste li pokušali napisati program u mašinskom kodu? Hajde da probamo sada.
Možete napisati program bez ikakvih asemblerskih kompajlera ili drugih alata - koristeći bilo koji hex editor (ili hex editor ili hex editor).
Ipak, raščlanjivanje programa u heksadecimalnom uređivaču je vrlo korisno. Posebno za one koji će raditi s elektronikom - na kraju krajeva, mikroprocesori ne razumiju ni Pascal ni C++. Iako postoje posebni uređaji i programi koji im "objašnjavaju" ove jezike.
Za početak, trebat će vam hex editor. Možete koristiti sve što imate pri ruci. Međutim, ja ću koristiti već spomenuti McAfee FileInsight v2.1. Ovaj hex editor može se besplatno preuzeti. Sve dolje opisane radnje vrijede za ovaj uređivač.
Dakle, imate instaliran heksadecimalni uređivač. Hajde da ga pokrenemo. Kliknite na dugme OPEN, pronađite jednu od COM datoteka koje smo kreirali, na primjer, debug_1.com, i učitajte je u editor.
Kada se datoteka učita, videćete sledeće u uređivaču (pogledajte i sliku 1.12):
00000000 B4 02 B2 41 CD 21 CD 20 ...A.!. Možete otvoriti još dvije datoteke koje smo kreirali: mycode.com (kreiran u emu8086) ili ATEST.COM (koji smo kreirali u odjeljku). Videćete istu stvar. To znači da svi asembleri proizvode isti mašinski kod. Odnosno, razlike u tekstu programa nisu fundamentalne - one su posljedica samo razlika u samim asemblerima.
BILJEŠKA
Ako u vašem slučaju vidite drugu sliku, onda ste ili otvorili drugu datoteku ili je gledate u tekstualnom modu. U drugom slučaju, kliknite na dugme View as Hex na traci sa alatkama (pogledajte sliku 1.12).
Šta znače ovi brojevi?
Sve je jasno sa nulama - ovo je prva memorijska ćelija u kojoj je upisan broj B4. Ovaj broj će tada biti upisan na adresu 0100h (za COM fajl). Red mora sadržavati 16 brojeva, od kojih se svaki sastoji od dvije cifre. Brojevi se pišu u heksadecimalnom obliku. Ali naš program je mali - samo 8 bajtova, tako da imamo 8 brojeva.
Pa, šta je B4? Ovo je naredba: "Unesite vrijednost u AN registar." Koju vrijednost unosimo? Tačno: 02 (sljedeći broj u redu).
AX=0200 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000 DS=0B72 ES=0B72 SS=0B72 CS=0B72 IP=0102 NV UP NA EI PL1 N00 B241 MOV DL,41 Vidite B241 u zadnjem redu? Zvuči kao poznata kombinacija? Ovo je MOV DL komandni kod, 41.
Ostaje samo da se pozabavimo misterioznim likovima na kraju reda. Ali ovdje je sve jednostavno: svaka cifra u broju odgovara kodu znaka u ASCII tablici, a ti znakovi se izlaze istim redoslijedom kao i heksadecimalne znamenke. U ovom tekstu neki znakovi su zamijenjeni tačkama (.) - to su jednostavno kodovi za neazbučne znakove.
Pa, hajde da sada napišemo i kreiramo naš temeljno proučeni program bez asemblera i linkera. Otvorite uređivač, kreirajte novi fajl (da biste to uradili, kliknite na dugme NOVO na traci sa alatkama), zatim kliknite na dugme Prikaži kao heksadecimalni i unesite podatke:
00000000 B4 02 B2 41 CD 21 CD 20 Sačuvajte datoteku pod imenom, na primjer, hex_1.com. Sve. Program je spreman. Sada ga možete pokrenuti i još jednom se diviti svojoj kreaciji. Rezultat će biti isti kao u svim prethodnim slučajevima.
I još jedno prijatno iznenađenje od McAfee FileInsight v2.1 editora - ima svoj rastavljač! Ako učitate izvršnu datoteku u editor i odaberete karticu DISASSEMBLY u donjem lijevom kutu, možete vidjeti izvorni kod učitanog programa u asemblerskom jeziku (slika 1.12).
Zašto su nam uopće potrebni hex editori i disassembleri? To je tako teško. Da, nije lako. Međutim, hakeri ne misle tako. Uz pomoć hex editora i disassemblera oni razbijaju programe. U kodu pronalaze mjesta koja su im potrebna i popravljaju ih u skladu sa svojim hakerskim hirovima.
Naravno, mi nismo hakeri. Nećemo prekidati programe. Međutim, disassembleri i heksadecimalni uređivači su vrlo korisni programerima koji poštuju zakon. Koriste se, na primjer, za otklanjanje grešaka, proučavanje mašinskih kodova itd. Na primjer, znate kako komanda izgleda u asemblerskom jeziku, ali želite znati njen strojni kod. Ako nema dokumentacije, postoji samo jedan izlaz - heksadecimalni uređivač i/ili disassembler. Međutim, treba uzeti u obzir da se sve naredbe ne uklapaju u dvobrojni strojni kod. Neke naredbe su prilično složene i zahtijevaju više brojeva da bi bili predstavljeni u mašinskom kodu.
Ponekad postoji potreba za izmjenom binarne datoteke. Za to se koriste takozvani hex editori. Svrha ovog vodiča je da opiše osnovne metode rada s njima i odgovori na najčešće postavljana pitanja.
Izbor urednika
Prvo pitanje koje se obično postavlja je: koji uređivač izabrati iz mnoštva postojećih. Da biste promijenili nekoliko bajtova, možete sigurno koristiti bilo koji, ali uz čestu ili dugotrajnu upotrebu, program mora podržavati sve potrebne funkcije, biti zgodan, brz i pouzdan. Na osnovu toga, možemo preporučiti korištenje, na primjer, QView. Pored gore navedenih svojstava, ima sljedeće:
- Radi u DOS-u i Windows-u
- Sadrži ugrađeni asembler i rastavljač
- Podržava DOS-866, Win-1251, KOI-8r i korisnički definirana kodiranja teksta
- Ima široke mogućnosti prilagođavanja
- Besplatno je i otvorenog koda
Možete ga preuzeti na početnoj stranici projekta: http://www.agcproduct.com/rus/products/qview/.
Glavni QView prozor se sastoji od zaglavlja (na vrhu), radnog područja i trake funkcijskih tipki (na dnu). Za kontrolu se koriste tastatura i miš. QView vam omogućava rad s podacima u tekstualnom modu, heksadecimalnom dump modu i disassembler modu. Režimi se menjaju uzastopno pritiskom na Enter ili F4 (ili levim klikom na naslov u oblasti gde se nalaze simboli AV/HV/00). Načini pregleda i uređivanja se mijenjaju pritiskom na Alt-F3 (u tekstualnom modu - samo F3). Režimi instalirani nakon pokretanja zavise od postavki koje su pohranjene u datotekama qview.ini, qview.fmg, qview.ehl i za promjenu kojih postoji poseban program u paketu - Q-Setup. Kontekstualna pomoć za tipke koje se koriste se poziva pritiskom na F1.
Datoteku možete otvoriti u uređivaču tako što ćete proslediti njeno ime kao parametar komandne linije: qview.exe
Jednostavno uređivanje
Najjednostavniji zadatak prilikom uređivanja binarnih datoteka je zamijeniti vrijednost bajta na pomaku XXXXXXXX vrijednošću YY. Da biste to učinili, nakon što otvorite datoteku u uređivaču, pritisnite Enter za prebacivanje prikaza u dump mod. U radnom području, vrijednost pomaka je naznačena u lijevoj koloni, vrijednosti bajtova u heksadecimalnom u središnjem dijelu, a iste vrijednosti u ASCII znakovima na desnoj strani.
Da biste postavili kursor na željeni pomak, pritisnite tipku F5 (ili kliknite na red brojeva označen crvenom bojom u zaglavlju), unesite vrijednost pomaka i pritisnite Enter. Ako način uređivanja nije omogućen, pritisnite Alt-F3 (u tom slučaju, na traci s tipkama će se pojaviti natpis „Edit ON“). Zatim možete izvršiti promjene u datoteci upisivanjem vrijednosti bajtova u heksadecimalnom obliku ili pomicanjem kursora u desnu kolonu pritiskom na TAB, u obliku znakova. Kursor se postavlja pomoću uobičajenih kontrolnih tipki ili miša.
Da poništite napravljene promjene, postavite kursor na lokaciju greške i pritisnite F3 nekoliko puta. Promjene možete sačuvati kada izađete pritiskom na W, ili silom pritiskom na Alt-F9.
Pretražite i zamijenite
QView podržava pretraživanje datoteke za određene bajtove ili nizove i pretraživanje po maski. Dijalog za pretragu se poziva pritiskom na F7. U polje ASCII možete unijeti niz u obliku znakova, au HEX polje možete unijeti string u heksadecimalnom obliku. Klikom miša možete odrediti smjer pretraživanja ("Naprijed/nazad"), omogućiti opcije osjetljive na velika i mala slova za pretraživanje znakova ("Osjetljivo") ili pretraživanje po maski ("Maskiranje"). U potonjem slučaju, simbol "?" maskira odgovarajući bajt u nizu. Na primjer, kada tražite "w?r?" Naći će se riječi crv, toplo, bili, itd. Pritiskom na Shift-F7 traži se sljedeće podudaranje.
Da izvršite pretragu i zamjenu, pritisnite Ctrl-F7. Niz za pretragu ili obrazac unosi se na vrhu prozora, a zamjenski niz se unosi na dnu.
Kreiranje i korištenje crack fajlova
Crack datoteke su najčešći način za snimanje promjena u binarnim datotekama. U standardnom formatu, sastoje se od tri kolone: pomak u odnosu na početak datoteke koja se uređuje, vrijednost bajta prije promjene i vrijednost nakon promjene:
00000150: 89 B8 00000151: 1E 03 00000152: F6 00 00000153: 10 CD 00000154: 83 10
Ponekad se komentar dodaje na početku, koji počinje znakom "#".
U QView-u, da biste sačuvali promjene napravljene u datoteci kao crack datoteku, potrebno je da pritisnete Shift-F9, unesete naziv datoteke u prozor koji se otvori i pritisnete Enter. Da biste izvršili izmjene iz gotove crack datoteke, pritisnite Ctrl-F8, preskočite prozor koji se otvara pritiskom na Enter (u njemu možete postaviti dodatni pomak koji se rijetko koristi), unesite naziv crack datoteke u sljedeći prozoru i ponovo pritisnite Enter. Važna napomena: odmah nakon toga, promjene će biti upisane u datoteku i ona će biti automatski sačuvana. Nije potrebno prebacivati program u mod za uređivanje. Ako se prilikom unošenja izmjena prikaže poruka o grešci, to znači da ili format datoteke ne odgovara standardnom, ili se zakrpa ne podudara s datotekom (bajtovi „prije promjene“ se ne podudaraju).
Rad sa blokovima
Ponekad postoji potreba za spremanjem dijela binarne datoteke, na primjer, kopiranje tekstualnih nizova iz nje. Za rad sa blokovima uređivač mora biti u dump ili disassembler modu. Da biste odabrali željeni blok, postavite kursor na njegov početak, pritisnite tipku Insert, zatim postavite kursor na kraj bloka i ponovo pritisnite Insert. U ovom slučaju, blok je označen žutom bojom.
Da biste spremili blok u datoteku, morate pritisnuti Shift-F2, u prozoru koji se pojavi navesti naziv i format spremljene datoteke (u obliku koda - "kao što je", dump ili asemblerski tekst) i pritisnite Enter .
Prilikom umetanja bloka iz datoteke, odaberite blok na isti način, pritisnite Shift-F3 i u prozoru koji se otvori navedite naziv izvorne datoteke. U ovom slučaju, veličina dodijeljenog bloka mora biti jednaka ili manja od veličine datoteke. Alternativna opcija: postavite kursor na poziciju sa koje treba da se ubaci, pritisnite Shift-F5 i u prozoru koji se otvori navedite naziv izvorne datoteke, pomak i dužinu bloka unutar nje iz kojeg želite da uzme podatke.
Da biste izbrisali blok, označite ga i pritisnite Shift-F4 ili postavite kursor na željenu poziciju, pritisnite Ctrl-F5 i odredite broj bajtova za brisanje. Da biste umetnuli blok ispunjen nulama na trenutnoj poziciji, pritisnite Ctrl-F4 i odredite veličinu bloka. Možete izbrisati fajl do kraja počevši od trenutne pozicije pritiskom na Alt-F10.
Prilikom umetanja bloka, kao u slučaju crack-Filesa, promjene se pohranjuju odmah nakon izrade.
Montaža i pretraga montaže
Assembly se koristi za izmenu algoritma izvršnih datoteka. QView podržava sve komande procesora Intel 486 i 487. U asembler i disassembler modu u radnom prostoru uređivača, prva kolona označava pomak u odnosu na početak datoteke, druga kolona označava bajtove instrukcije, a treća kolona označava mnemonička oznaka. Da biste omogućili način sklapanja, prebacite uređivač u režim rastavljanja pritiskom na Enter nekoliko puta, omogućite način uređivanja pritiskom na Alt-F3 i pritisnite TAB da pomaknete kursor u treću kolonu. Zatim možete unijeti upute, završavajući svaki unos pritiskom na Enter.
Ako je potrebno, možete, kao u dump modu, direktno promijeniti bajtove u drugoj koloni. Širina koda 16/32 se mijenja pritiskom na F2. Promjene možete poništiti tako što ćete postaviti kursor na liniju s greškom i pritisnuti F3 nekoliko puta.
Da biste potražili određene upute za sklapanje, pritisnite F6, upišite instrukciju i pritisnite Enter. Potražite sljedeću utakmicu pritiskom na Shift-F6. Za pretraživanje uzorka možete koristiti sljedeće posebne znakove:
"?" - bilo koji lik
"*" - bilo koji podniz do zareza ili do kraja reda
"$" - traži numeričke konstante (stavlja se ispred broja)
"%" - preskakanje jedne riječi
"@" - bilo koji podniz
Na primjer, "sub bx,*" - traži sve upute za oduzimanje iz BX registra.
Dodatne funkcije
Među korisnim dodatnim funkcijama QViewa možemo primijetiti prisustvo ugrađenog kalkulatora koji se poziva pritiskom na Ctrl-F6. Podržava osnovne aritmetičke i logičke operacije po bitovima, zagrade za označavanje prioriteta operacija, unos argumenata i izlaz rezultata u brojevnim sistemima baze 2, 8, 10, 16.
Možete pogledati informacije iz zaglavlja izvršne datoteke pritiskom na F8 u dump ili disassembler modu. Podržani formati datoteka su MZ, PE, NE, LX, LE.
HxD Hex Editor je uređivač podataka s podrškom za ANCI kodiranje. Aplikacija koristi heksadecimalni prikaz za sve otvorene datoteke, može raditi sa elementima RAM-a i spremati promjene na tvrdom disku. Omogućava vam automatsko ili ručno pretraživanje i zamjenu vrijednosti. Uključuje alate za izvoz podataka, kreiranje kontrolnih suma i brisanje fragmenata koda.
Program može podijeliti datoteke na dijelove potrebne veličine i podržava obradu velike količine informacija. Koristi modularni interfejs sa mogućnošću pregleda standardnog i heksadecimalnog koda. Omogućava vam da otkažete sve promjene, sadrži alate za navigaciju prema kontekstu i adresi linije.
HEX uređivač je sposoban za interakciju sa bilo kojom vrstom datoteke i može se koristiti za pretraživanje i zamjenu izvršnih vrijednosti pokrenutih procesa.
Preuzmite punu rusku verziju HxD Hex Editor-a besplatno sa službene web stranice bez registracije i SMS-a.
Zahtjevi sustava
- Podržani OS: Windows 8.1, Vista, 10, 8, 7, XP
- Dubina bita: 64 bita, x86, 32 bita
Nakon što je završio seriju sa člankom “Najbolji alati za pentester”, urednik je dobio mnogo pisama u kojima je tražio izbor hex urednika. Interes, naravno, nije mogućnost uređivanja binarnih podataka, već dodatne mogućnosti kao što su automatsko prepoznavanje struktura podataka i rastavljanje koda. Da bismo napravili pregled, saznali smo mišljenja ljudi koji se najčešće moraju petljati s takvim alatima - virusnih analitičara. I ovo su nam rekli.
Svaki heksadecimalni uređivač vam omogućava da pregledate i modifikujete fajl na niskom nivou, radeći sa bitovima i bajtovima. Sadržaj datoteke je predstavljen u heksadecimalnom formatu. Ovo je osnovna funkcionalnost. Međutim, neki uređivači nude korisnicima mnogo više, omogućavajući im da shvate šta je šta tačno u tom nerazumljivom skupu znakova koji se pojavljuje prilikom otvaranja datoteke. Da bi se to postiglo, ASCII i Unicode nizovi se automatski izdvajaju, traže se poznati obrasci, prepoznaju se osnovne strukture podataka i još mnogo toga. Postoji dosta heksadecimalnih uređivača, ali ako ih odlučimo razmotriti u kontekstu proučavanja uzoraka zlonamjernog softvera, neke od njih je lako istaknuti. Samo nekoliko se pokazalo zaista korisnim za analizu zlonamjernog koda i ispitivanje zaraženih dokumenata (recimo, PDF).
McAfee FileInsight
FileInsight je besplatni heksadecimalni uređivač za Windows kompanije McAfee Labs. Proizvod, naravno, obavlja sve standardne funkcionalnosti koje prate takav softver, nudeći zgodan interfejs za pregled i uređivanje datoteka u heksadecimalnom i tekstualnom režimu. Ali ovo je samo kap u moru ako pogledate svu njegovu funkcionalnost. Vrijedi početi s činjenicom da FileInsight može analizirati strukturu izvršnih binarnih datoteka za Windows (PE datoteke), kao i OLE objekata Microsoft Office-a. I ne samo to, korisniku se nudi ugrađeni x86 disassembler. Samo odaberite dio datoteke koji želite da vidite kao čitljiv kod i FileInsight će prikazati ovaj fragment kao listu uputa za sklapanje. Disassembler je posebno koristan kada tražite shellcode u zlonamjernim datotekama. Druge opcije koje će reverseri cijeniti uključuju mogućnost uvoza deklaracija strukture. Da bi to uradio, program samo treba da navede datoteku zaglavlja sa deklaracijama kao što su:
struct ANIHeader(
DWORD cbSizeOf; // Broj bajtova u AniHeaderu
DWORD cFrames; // Broj jedinstvenih ikona
DWORD cSteps; // Broj blitova
};
U ovom slučaju, sam program će analizirati takve strukture. Međutim, mnogi intuitivni algoritmi za obradu koda su standardno ponuđeni. Prije svega govorimo o dekodiranju mnogih metoda zamagljivanja (xor, add, shift, Base64, itd.) - ugrađene skripte čine takvu kripto zaštitu jednim-dva udarcem. Ovdje treba napomenuti da predmet istraživanja ne mora nužno biti binarnost, već može biti i obična web stranica koja izaziva sumnju. Program vam omogućava da automatizujete mnoge radnje koristeći jednostavne JavaScript skripte ili Python module, od kojih su mnoge već napisane. Nažalost, uz sve svoje prednosti, FileInsight ima i ozbiljan nedostatak, a to je nemogućnost obrade velikih datoteka. Na primjer, ako pokušate ubaciti datoteku veličine 400-500 MB u uslužni program, pojavljuje se greška „Otvaranje dokumenta nije uspjelo“.
Hex Editor Neo
Postoje dvije verzije ovog hex editora od HDD Software-a - jednostavna besplatna verzija i napredna komercijalna verzija. Besplatna opcija je solidan, ali neupadljiv HEX editor koji ima cool, prilagodljiv interfejs sa podrškom za različite šeme boja. Dosta. Ali profesionalna verzija Hex Editor Neo-a pruža nekoliko korisnih opcija koje mogu biti izuzetno korisne prilikom analize binarnih datoteka. Na primjer, korisnik dobiva priliku da dekodira šifrirani kod korištenjem najčešćih algoritama. Osim toga, postaje moguće pregledati i uređivati lokalne resurse kao što su NTFS tokovi, lokalni diskovi, procesna memorija i RAM. Najkompletnija verzija takođe uključuje podršku za skript jezik, koji vam omogućava da automatizujete mnoge procese koristeći skripte u VBScript i JavaScript. Ali najbolji dio je što imate ugrađeni disambler na usluzi koji radi sa x86, x64 i .NET binarnim datotekama! Još jedna karakteristika je brzo kreiranje zakrpa zasnovano na poređenju dvije binarne datoteke. Zvuči impresivno, ali da li je bolji od FileInsight-a? Vjerovatno ne. FileInsight općenito izgleda funkcionalnije. S druge strane, bilo koja, čak i besplatna verzija Hex Editor Neo radi odlično čak i sa vrlo velikim datotekama i omogućava vam da pretražujete ASCII i Unicode nizove. Disassembler ovdje nije ograničen samo na x86 platformu, a ugrađeni uređivač resursa je vrlo zgodan. Ima mnogo toga za razmišljanje.
FlexHex
FlexHex je moćan komercijalni heksadecimalni uređivač iz Heaventools Software-a koji uključuje mnoge od istih funkcija koje se nalaze u Hex Editor Neo. Jedino što ovdje nedostaje je, možda, podrška za skripte. Ali ovaj potpuno opremljen uređivač jednako dobro rukuje binarnim datotekama, OLE datotekama, fizičkim diskovima i alternativnim NTFS streamovima. Ovo posljednje je posebno važno jer vam FlexHex omogućava uređivanje podataka koje drugi uređivači možda ni ne vide. Osim toga, odmah možete osjetiti fokus na radu s velikim količinama informacija: bez obzira na veličinu datoteke, navigacija kroz nju se obavlja bez ikakvih kašnjenja ili kočnica. Za još veću udobnost, postoji sistem praktičnih oznaka. U isto vrijeme, FlexHex kontinuirano čuva historiju svih operacija - možete otkazati bilo koju radnju jednostavnim odabirom sa liste promjena (poništi lista nije ograničena)! FlexHex podržava sve potrebne operacije sa binarnim podacima, traženje ASCII i Unicode nizova. Ako trebate obraditi strukturu s prethodno poznatim formatom, postavljanje njenih parametara nije teško pomoću posebnih alata. Kao rezultat, dobijamo odličan heksadecimalni uređivač, ali i dalje mnogo inferioran u odnosu na FileInsight. Jedina značajna opcija je obrada OLE datoteka, ali i ovdje ima problema. Nekoliko puta prilikom pokušaja otvaranja zaraženog OLE programa, program se srušio s greškom "Docfile je oštećen."
010 Editor
010 Editor je dobro poznati komercijalni proizvod koji je razvio SweetScape Software. Ako ga uporedimo sa prethodna tri alata, može sve: podržava rad sa veoma velikim datotekama, pruža odlične mogućnosti za rad sa podacima, omogućava vam da uređujete lokalne resurse i ima sistem skriptiranja za automatizaciju rutinskih radnji (više od 140 različitih funkcija na usluzi). A 010 Editor takođe ima zaokret, jedinstvenu karakteristiku. Urednik brine o svima zahvaljujući mogućnosti da analizira različite formate datoteka koristeći svoju vlastitu biblioteku šablona (tzv. Binarni predlošci). Ovdje mu nema ravnog. Mnogi entuzijasti širom svijeta rade na šablonima, stvarajući različite formate i strukture podataka. Kao rezultat, proces navigacije kroz različite formate datoteka postaje transparentan i razumljiv. Ovo se odnosi i na obradu Windows binarnih datoteka (PE fajlova), Windows datoteka prečica (LNK), Zip arhiva, datoteka Java klasa i još mnogo toga. Mnogi ljudi su mogli shvatiti ljepotu ove funkcije kada je poznati stručnjak za sigurnost Didier Stevens kreirao predložak za raščlanjivanje PDF datoteka za 010 Editor. Zajedno s drugim uslužnim programima, to je uvelike pojednostavilo analizu zaraženih PDF dokumenata, koji posljednjih šest mjeseci ne prestaju iznenađivati brojem mjesta sa kojih se program čitača može eksploatisati. Ovdje dodajemo cool alat za poređenje binarnih datoteka, kalkulator sa sintaksom sličnom C, pretvaranje podataka između ASCII, EBCDIC, Unicode formata, i dobijamo vrlo atraktivan alat sa jedinstvenim karakteristikama.
Hiew
Hiew se po načinu distribucije ne razlikuje mnogo od svojih kolega - ovo je također komercijalni proizvod koji je razvio naš sunarodnjak Evgenij Suslikov. Imajući dugu istoriju, program je veoma voljen od strane mnogih stručnjaka za bezbednost informacija. Postoje sasvim očigledni razlozi za to - moćne mogućnosti za istraživanje i uređivanje strukture i sadržaja izvršnih datoteka i Windows (PE) i binarnih datoteka za Linux (ELF). Još jedna vrlo korisna karakteristika za obrnuti inženjering je ugrađeni x86-64 asembler i rastavljač. Potonji čak podržava ARM instrukcije. Nepotrebno je reći da uređivač savršeno obrađuje velike datoteke i omogućava vam uređivanje logičkih i fizičkih diskova. Mnogi zadaci se lako automatizuju putem sistema makronaredbi tastature, skripti, pa čak i API-ja za razvoj ekstenzija (Hiew Extrenal Modules). Ali prije nego što požurite u bitku, imajte na umu da je Hiew interfejs prozor sličan DOS-u, s kojim je prilično nezgodno raditi ako niste navikli na njega. Ali možete doživjeti svu čar stare škole.
Radare
Radare je skup besplatnih uslužnih programa za Unix platformu koji pružaju odlične mogućnosti za uređivanje datoteka u HEX modu. Uključuje sam hex editor (radare) sa mogućnošću otvaranja lokalnih i udaljenih datoteka. Program analizira izvršne datoteke različitih formata, kako Linux (ELF) tako i Windows (PE). Pored uređivanja, Radare paket uključuje alat za poređenje binarnih fajlova (radiff) i ugrađeni asembler/dizassembler. I lično, alat za generisanje shell kodova (rasc) je nekoliko puta dobro došao. Sve operacije mogu se lako automatizirati i prilagoditi korištenjem skriptnog sistema. Od minusa, opet, možemo primijetiti nedostatak GUI sučelja - sve radnje se izvode iz komandne linije, a možete u potpunosti raditi s uslužnim programima tek nakon čitanja dokumentacije. S druge strane, stranica ima vizualne screencaste koji demonstriraju i glavne tačke i male tajne (poput povezivanja Python dodatka).
Dakle, šta biste trebali izabrati?
Pregledali smo nekoliko moćnih hex editora koji uključuju korisne opcije za analizu sumnjivih datoteka. Od svih proizvoda izdvaja se FileInsight, koji i pored svoje funkcionalnosti (a zaista je impresivan) ostaje besplatan. 010 Editor pruža veliki broj šablona za obradu širokog spektra datoteka, uključujući PDF dokumente. Ovo je mega karakteristika koju ne treba zanemariti. Stalno koristim ova dva urednika; Za posao analitičara, možda su oni najprikladniji. Ako govorimo o radu pod Unix platformom, onda, naravno, ne možemo zaboraviti na Radare. Paket nudi vrlo moćne funkcije, iako ga je teško koristiti zbog činjenice da se pokreće iz komandne linije. Hiew takođe nije baš prijateljski nastrojen, iako vam njegove mogućnosti svakako omogućavaju da izvodite razne operacije sa binarnim datotekama. Osim toga, Hiew je izbor velikog broja pravih profesionalaca, a ovo vrijedi mnogo (i puno znači). Što se tiče Hex Editor Neo-a, vrijedi ga uzeti ako vas zanima mogućnost rastavljanja x86, x64 i .NET koda.
