Udhëzimet e redaktuesit Hex
- Programi është shumë i dobishëm, veçanërisht për ata që duan të përvetësojnë pronën e dikujt tjetër) Lidhja e shkarkimit (në fund të temës).
- Hex - redaktues (anglisht hex - redaktues), redaktues heksadecimal - një aplikacion për redaktimin e të dhënave në të cilin të dhënat paraqiten në "të papërpunuara.
- Ky artikull do të flasë për punën në redaktuesin hex falas Free Hex Editor Neo, duke përdorur shembullin e redaktimit të skedarit BkEnd.dll nga.
- Në pjesën e parë të serisë së artikujve, ne shikuam një shembull të ekzaminimit të një skedari në një redaktues hex (me analitikë shumë minimale) dhe ...
- Për këtë përdoren të ashtuquajturat redaktorë hex. Pyetja e parë që lind zakonisht është: cili redaktor nga të gjithë? skedari, në të dytën - byte-të e udhëzimit, në të tretën - përcaktimi i tij mnemonik.
Publikuar më 03/09/2013 nga Vitaly Onyanov 1. Pak për redaktorët dhe skedarët hex Siç e dini, çdo skedar i ruajtur në hard diskun e një kompjuteri është një sekuencë fjalësh makinerie - bajt. Një bajt, nga ana tjetër, përbëhet nga 8 bit, secili prej të cilëve mund të marrë vlerën "0" ose "1", që do të thotë se një bajt mund të marrë 28 = 256 vlera në rangun nga 0 në 255. numri 25610 i shkruar në sistemin heksadecimal, është një numër i rrumbullakët treshifror - 10016, d.m.th., për të përfaqësuar çdo numër nga diapazoni 0-255, nuk do të kërkohen më shumë se 2 shifra. Kjo do të thotë se është shumë e përshtatshme për të shkruar vlerën e çdo bajt si një numër dyshifror në sistemin e numrave heksadecimal. Redaktori hex na tregon skedarin në mënyrën se si e "sheh" makina, domethënë, si një sekuencë bajtash. Për shembull, duke hapur një skedar në redaktues, do të shohim një matricë të përbërë nga 16 kolona dhe numrin e rreshtave në varësi të madhësisë së skedarit. Çdo vlerë matrice korrespondon me një bajt, të shkruar si një numër heksadecimal dyshifror. Duke ndryshuar vlerën e bajtit të dëshiruar, ne, në përputhje me rrethanat, mund të ndryshojmë vetë skedarin. Përveç kësaj, pranë tabelës mund të shohim: Në të majtë të matricës është një rresht numrash: çdo rresht korrespondon me një numër që tregon adresën / kompensimin e bajtit të parë të kësaj rreshti. Hapi i adresës është i barabartë me numrin e kolonave. Një tjetër sundimtar shfaqet në krye të matricës: mbi çdo kolonë shfaqet zhvendosja e bajtit në këtë kolonë në lidhje me bajtin e parë të rreshtit përkatës. Shuma e numrit që i korrespondon rreshtit i-të dhe numrit që i korrespondon kolonës j-të është adresa/kompensimi i bajtit (i; j) që ndodhet në kryqëzimin e rreshtit të marrë dhe kolonës së marrë. Në të djathtë të matricës shfaqen të njëjtat të dhëna, por në një interpretim tjetër. Alternativa më e zakonshme është shfaqja e të dhënave si tekst ASCII, me bajtë, vlerat e të cilave korrespondojnë me karaktere jo të printueshme të shfaqura si pika (·). Ju gjithashtu mund të modifikoni vlerat në këtë zonë. 2. Instalimi i Free Hex Editor Neo Shkarkoni Free Hex Editor Neo nga faqja zyrtare e internetit. Programi është falas, në kohën e shkrimit versioni i fundit ishte 5.14. Ne instalojmë duke ndjekur udhëzimet e instaluesit pa ndryshuar cilësimet e paracaktuara. Kur të nisni për herë të parë programin, do t'ju kërkohet të zgjidhni një modalitet ndërfaqeje. Zgjidhni "Përdorues fillestar", kjo është më se e mjaftueshme. 3. Puna me një skedar në një redaktues hex Tani le të hapim skedarin që duhet të "korrigjojmë" duke zgjedhur "File" - "Open" - "Open File" në menynë Free Hex Editor Neo. Në rastin tim, ky është skedari BkEnd.dll i vendosur në dosjen me 1C:Enterprise 7.7 të instaluar (“C:\Program Files\1Cv77\BIN” e parazgjedhur) për artikullin Instalimi i 1C:Enterprise 7.7 në Microsoft SQL Server 2008 R2. Për shembull, më duhet të shkruaj vlerën eb në bajt në offset 000d9cca. Për ta bërë këtë, gjej rreshtin "000d9cco" dhe kolonën "0a", kliko dy herë në qelizën e dëshiruar dhe fut një vlerë të re. Duke vazhduar në mënyrë të ngjashme, bëj ndryshimet e mëposhtme: Për të rregulluar gabimin "kërkohet MS SQL Server 6.5 + Service Pack 5a ose më i lartë!" ndryshoni fushat: në offset 000d9cca vlera 83 është ndryshuar në eb në offset 000d9ccb vlera e8 është ndryshuar në 15 në offset 000db130 vlera 83 është ndryshuar në eb në offset 000db131 vlera e8 është ndryshuar në 10 Për të korrigjuar gabimin e vendosur për "Rendi i renditjes baza e të dhënave është e ndryshme nga ajo e sistemit! ": në offset 0018a79d vlera 75 është ndryshuar në eb Për të korrigjuar gabimin "Sintaksë e pasaktë pranë fjalës kyçe "TRANSACTION" Fraza DUMP TRANSACTION %s WITH TRUNCATE_ONLY, e cila ndodhet në offset 002856B0, zëvendësohet me shprehjen ALTER DATABASE %s SET RECOVERY SIMPLE Për të korrigjuar gabimin "Të dhënat bazë nuk mund të hapen në modalitetin me një përdorues", ndryshoni fushat: në offset 0028549c ndryshoni vlerën 64 në 6b në offset 0028549d ndryshoni vlerën 62 në 70
Ju jo vetëm që mund të zgjidhni, por edhe të shikoni, modifikoni, zëvendësoni dhe analizoni të dhënat; mund të shkarkoni Free Hex Editor Neo më poshtë.
Duke përdorur Hex Editor për klientin RO. Skedarët exe mund të redaktohen manualisht për të marrë disa përfitime. Nëse ti.
Video për programin Free Hex Editor Neo. Këtu janë disa video në lidhje me Free Hex Editor Neo. Si të përdorni falas.
HxD për redaktimin e skedarëve në kodin heksadecimal. Duke filluar të shkruajmë një përmbledhje të redaktorit hex me emrin e shkurtër HxD, ne...
| Krijuar 04 korrik 2015 | |||||||||
SHËNIM
Fotografitë nuk shfaqen në këtë faqe, por mund t'i gjeni në libër.
Ajo që do të bëjmë tani është, nga këndvështrimi im, shumë interesante. Ky do të jetë programi juaj i parë në kodin e makinës (dhe, ka shumë të ngjarë, i vetmi))).
Asambleja është një gjuhë e nivelit të ulët, por ende një gjuhë. A keni provuar të shkruani një program në kodin e makinës? Le ta provojmë tani.
Ju mund të shkruani një program pa asnjë assembler-përpilues ose mjete të tjera - duke përdorur çdo redaktues hex (ose redaktues hex ose redaktues hex).
Megjithatë, analizimi i programeve në një redaktues heksadecimal është shumë i dobishëm. Sidomos për ata që do të punojnë me elektronikë - në fund të fundit, mikroprocesorët nuk kuptojnë as Pascal dhe as C++. Edhe pse ka pajisje dhe programe të veçanta që "shpjegojnë" këto gjuhë atyre.
Për të filluar, do t'ju duhet një redaktues hex. Mund të përdorni çdo gjë që keni në dorë. Megjithatë, unë do të përdor McAfee FileInsight v2.1 të përmendur tashmë. Ky redaktues hex mund të shkarkohet falas. Të gjitha veprimet e përshkruara më poshtë janë të vlefshme për këtë redaktues.
Pra, ju keni të instaluar një redaktues heksadecimal. Le ta nisim. Klikoni në butonin OPEN, gjeni një nga skedarët COM që kemi krijuar, për shembull, debug_1.com dhe ngarkoni atë në redaktues.
Kur skedari të ngarkohet, do të shihni sa vijon në redaktues (shih gjithashtu Fig. 1.12):
00000000 B4 02 B2 41 CD 21 CD 20 ...A.!. Ju mund të hapni dy skedarë të tjerë që kemi krijuar: mycode.com (krijuar në emu8086) ose ATEST.COM (që kemi krijuar në seksion). Ju do të shihni të njëjtën gjë. Kjo do të thotë që të gjithë montuesit prodhojnë të njëjtin kod makine. Kjo do të thotë, ndryshimet në tekstin e programeve nuk janë thelbësore - ato janë vetëm për shkak të dallimeve në vetë asamblerët.
SHËNIM
Nëse në rastin tuaj shihni një foto tjetër, atëherë ose keni hapur një skedar tjetër, ose jeni duke e parë atë në modalitetin e tekstit. Në rastin e fundit, klikoni butonin View as Hex në shiritin e veglave (shih Figurën 1.12).
Çfarë kuptimi kanë këto shifra?
Gjithçka është e qartë me zero - kjo është qeliza e parë e kujtesës në të cilën shkruhet numri B4. Ky numër më pas do të shkruhet në adresën 0100h (për skedarin COM). Rreshti duhet të përmbajë 16 numra, secili prej të cilëve përbëhet nga dy shifra. Numrat shkruhen në formë heksadecimal. Por programi ynë është i vogël - vetëm 8 bajt, kështu që ne kemi 8 numra.
Epo, çfarë është B4? Kjo është komanda: "Fut një vlerë në regjistrin AN". Çfarë vlere po hyjmë? E saktë: 02 (numri tjetër në rresht).
AX=0200 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000 DS=0B72 ES=0B72 SS=0B72 CS=0B72 IP=0102 NV UP NAB PO20 B241 MOV DL,41 Shihni B241 në rreshtin e fundit? Tingëllon si një kombinim i njohur? Ky është kodi i komandës MOV DL, 41.
Mbetet vetëm të merremi me personazhet misterioze në fund të rreshtit. Por këtu gjithçka është e thjeshtë: çdo shifër në numër korrespondon me një kod karakteri në tabelën ASCII, dhe këto karaktere dalin në të njëjtën sekuencë si shifrat heksadecimal. Në këtë tekst, disa karaktere zëvendësohen me pika (.) - këto janë thjesht kode për karaktere jo alfabetike.
Epo, tani le të shkruajmë dhe krijojmë programin tonë të studiuar tërësisht pa asamblerë dhe lidhës. Hapni redaktorin, krijoni një skedar të ri (për ta bërë këtë, klikoni butonin NEW në shiritin e veglave), më pas klikoni butonin View as Hex dhe futni të dhënat:
00000000 B4 02 B2 41 CD 21 CD 20 Ruani skedarin nën emrin, për shembull, hex_1.com. Të gjitha. Programi është gati. Tani mund ta lansoni dhe të admironi edhe një herë krijimin tuaj. Rezultati do të jetë i njëjtë si në të gjitha rastet e mëparshme.
Dhe një tjetër surprizë e këndshme nga redaktori McAfee FileInsight v2.1 - ai ka çmontuesin e vet! Nëse ngarkoni një skedar të ekzekutueshëm në redaktues dhe zgjidhni skedën DISASSEMBLY në këndin e poshtëm të majtë, mund të shikoni kodin burimor të programit të ngarkuar në gjuhën e asamblesë (Fig. 1.12).
Pse na duhen fare redaktorë dhe çmontues hex? Është kaq e vështirë. Po, nuk është e lehtë. Megjithatë, hakerët nuk mendojnë kështu. Është me ndihmën e redaktorëve hex dhe çmontuesve që ata thyejnë programet. Ata gjejnë vendet që u duhen në kod dhe i rregullojnë ato në përputhje me tekat e tyre të hakerëve.
Sigurisht, ne nuk jemi hakerë. Ne nuk do të prishim programe. Sidoqoftë, çmontuesit dhe redaktuesit hex janë shumë të dobishëm për programuesit që i binden ligjit. Ato përdoren, për shembull, për korrigjimin e gabimeve, studimin e kodeve të makinerive, etj. Për shembull, ju e dini se si duket një komandë në gjuhën e asamblesë, por dëshironi të dini kodin e saj të makinës. Nëse nuk ka dokumentacion, atëherë ka vetëm një rrugëdalje - një redaktues heksadecimal dhe/ose çmontues. Sidoqoftë, duhet të merret parasysh se jo të gjitha komandat përshtaten në kodin e makinës me dy numra. Disa komanda janë mjaft komplekse dhe kërkojnë më shumë numra për t'u përfaqësuar në kodin e makinës.
Ndonjëherë ka nevojë për të bërë ndryshime në një skedar binar. Për këtë përdoren të ashtuquajturat redaktorë hex. Qëllimi i këtij udhëzuesi është të përshkruajë metodat bazë të punës me ta dhe t'u përgjigjet pyetjeve më të shpeshta.
Zgjedhja e redaktorit
Pyetja e parë që zakonisht lind është: cilin redaktues të zgjedhë nga shumëllojshmëria e atyre ekzistuese. Për të ndryshuar disa bajt, mund të përdorni me siguri cilindo, por me përdorim të shpeshtë ose afatgjatë, programi duhet të mbështesë të gjitha funksionet e kërkuara, të jetë i përshtatshëm, i shpejtë dhe i besueshëm. Bazuar në këtë, ne mund të rekomandojmë përdorimin, për shembull, QView. Përveç pronave të listuara më sipër, ai ka si më poshtë:
- Punon në DOS dhe Windows
- Përmban montues dhe çmontues të integruar
- Mbështet DOS-866, Win-1251, KOI-8r dhe kodime teksti të përcaktuara nga përdoruesi
- Ka mundësi të gjera personalizimi
- Është falas dhe me burim të hapur
Mund ta shkarkoni në faqen kryesore të projektit: http://www.agcproduct.com/rus/products/qview/.
Dritarja kryesore QView përbëhet nga një kokë (në krye), një zonë pune dhe një shirit tasti funksioni (në fund). Një tastierë dhe maus përdoren për kontroll. QView ju lejon të punoni me të dhëna në modalitetin e tekstit, modalitetin heksadecimal të shkarkimit dhe modalitetin e çmontimit. Modalitetet ndërrohen në mënyrë sekuenciale duke shtypur Enter ose F4 (ose duke klikuar me të majtën mbi titullin në zonën ku ndodhen simbolet AV/HV/00). Mënyrat e shikimit dhe modifikimit ndërrohen duke shtypur Alt-F3 (në modalitetin e tekstit - vetëm F3). Mënyrat e instaluara pas fillimit varen nga cilësimet që ruhen në skedarët qview.ini, qview.fmg, qview.ehl dhe për ndryshimin e të cilave ekziston një program i veçantë në paketë - Q-Setup. Ndihma kontekstuale në tastet e përdorur thirret duke shtypur F1.
Ju mund ta hapni skedarin në redaktues duke kaluar emrin e tij si një parametër i linjës së komandës: qview.exe
Redaktim i thjeshtë
Detyra më e thjeshtë gjatë redaktimit të skedarëve binare është zëvendësimi i vlerës së bajtit në kompensimin XXXXXXXX me vlerën YY. Për ta bërë këtë, pasi të hapni skedarin në redaktues, shtypni Enter për të kaluar pamjen në modalitetin e shkarkimit. Në zonën e punës, vlera e kompensimit tregohet në kolonën e majtë, vlerat e bajtit në heksadecimal në pjesën qendrore dhe të njëjtat vlera në karakteret ASCII në të djathtë.
Për të pozicionuar kursorin në zhvendosjen e kërkuar, shtypni tastin F5 (ose klikoni në rreshtin e numrave të theksuar me të kuqe në kokë), futni vlerën e zhvendosjes dhe shtypni Enter. Nëse modaliteti i redaktimit nuk është aktivizuar, atëherë shtypni Alt-F3 (në këtë rast, mbishkrimi "Edit ON" do të shfaqet në shiritin e tastit). Më pas mund të bëni ndryshime në skedar duke shtypur vlerat e bajtit në heksadecimal ose duke lëvizur kursorin në kolonën e djathtë duke shtypur TAB, në formën e karaktereve. Kursori pozicionohet duke përdorur tastet e rregullta të kontrollit ose miun.
Për të anuluar ndryshimet e bëra, vendoseni kursorin në vendin e gabimit dhe shtypni F3 disa herë. Mund t'i ruani ndryshimet kur dilni duke shtypur W ose me forcë duke shtypur Alt-F9.
Kërkoni dhe zëvendësoni
QView mbështet kërkimin e një skedari për bajt ose vargje specifike dhe kërkimin me maskë. Dialogu i kërkimit thirret duke shtypur F7. Në fushën ASCII mund të futni një varg në formë karakteri, dhe në fushën HEX mund të vendosni një varg në formë heksadecimal. Duke klikuar miun, mund të specifikoni drejtimin e kërkimit ("Përpara/Prapa"), të aktivizoni opsionet e ndjeshme ndaj shkronjave për kërkimin e karaktereve ("Sensitive") ose kërkimin me maskë ("Maskim"). Në rastin e fundit, simboli "?" maskon bajtin përkatës në varg. Për shembull, kur kërkoni për "w?r?" Do të gjenden fjalët krimb, ngrohtë, ishin etj. Shtypja e Shift-F7 kërkon ndeshjen e radhës.
Për të kryer një kërkim dhe zëvendësim, shtypni Ctrl-F7. Një varg ose model kërkimi futet në krye të dritares dhe një varg zëvendësues futet në fund.
Krijimi dhe përdorimi i skedarëve të çarë
Skedarët Crack janë mënyra më e zakonshme për të regjistruar ndryshimet në skedarët binare. Në formatin standard, ato përbëhen nga tre kolona: kompensimi në lidhje me fillimin e skedarit që redaktohet, vlera e bajtit përpara ndryshimit dhe vlera e tij pas ndryshimit:
00000150: 89 B8 00000151: 1E 03 00000152: F6 00 00000153: 10 CD 00000154: 83 10
Ndonjëherë një koment shtohet në fillim, duke filluar me një karakter "#".
Në QView, për të ruajtur ndryshimet e bëra në një skedar si skedar i çarë, duhet të shtypni Shift-F9, të vendosni emrin e skedarit në dritaren që hapet dhe të shtypni Enter. Për të bërë ndryshime nga një skedar i gatshëm i çarjes, shtypni Ctrl-F8, kapërceni dritaren që hapet duke shtypur Enter (mund të vendosni një kompensim shtesë në të, i cili përdoret rrallë), shkruani emrin e skedarit të çarjes në vijim dritaren dhe shtypni sërish Enter. Shënim i rëndësishëm: menjëherë pas kësaj, ndryshimet do të shkruhen në skedar dhe ai do të ruhet automatikisht. Nuk është e nevojshme të kaloni programin në modalitetin e redaktimit. Nëse shfaqet një mesazh gabimi kur bëni ndryshime, kjo do të thotë që ose formati i skedarit nuk korrespondon me atë standard, ose patch-i nuk përputhet me skedarin (bajtët "para ndryshimit" nuk përputhen).
Puna me blloqe
Ndonjëherë ekziston nevoja për të ruajtur një pjesë të një skedari binar, për shembull, kopjoni vargjet e tekstit prej tij. Për të punuar me blloqe, redaktori duhet të jetë në modalitetin e shkarkimit ose të çmontimit. Për të zgjedhur bllokun e kërkuar, vendoseni kursorin në fillimin e tij, shtypni butonin Insert, më pas vendoseni kursorin në fund të bllokut dhe shtypni përsëri Insert. Në këtë rast, blloku theksohet me të verdhë.
Për të ruajtur një bllok në një skedar, duhet të shtypni Shift-F2, në dritaren që shfaqet, specifikoni emrin dhe formatin e skedarit të ruajtur (në formën e kodit - "siç është", dump ose teksti i montimit) dhe shtypni Enter .
Kur futni një bllok nga një skedar, zgjidhni bllokun në të njëjtën mënyrë, shtypni Shift-F3 dhe në dritaren që hapet, specifikoni emrin e skedarit burimor. Në këtë rast, madhësia e bllokut të ndarë duhet të jetë e barabartë ose më e vogël se madhësia e skedarit. Një opsion alternativ: vendoseni kursorin në pozicionin nga i cili duhet të bëhet futja, shtypni Shift-F5 dhe në dritaren që hapet, specifikoni emrin e skedarit burimor, zhvendosjen dhe gjatësinë e bllokut brenda tij nga i cili dëshironi. për të marrë të dhënat.
Për të fshirë një bllok, shënoni atë dhe shtypni Shift-F4 ose vendoseni kursorin në pozicionin e dëshiruar, shtypni Ctrl-F5 dhe specifikoni numrin e bajteve për t'u fshirë. Për të futur një bllok të mbushur me zero në pozicionin aktual, shtypni Ctrl-F4 dhe specifikoni madhësinë e bllokut. Mund të fshini një skedar deri në fund duke filluar nga pozicioni aktual duke shtypur Alt-F10.
Kur futni një bllok, si në rastin e Crack-Files, ndryshimet ruhen menjëherë pas krijimit.
Kërkimi i montimit dhe montimit
Asambleja përdoret për të bërë ndryshime në algoritmin e skedarëve të ekzekutueshëm. QView mbështet të gjitha komandat e procesorëve Intel 486 dhe 487. Në modalitetin assembler dhe disassembler në hapësirën e punës së redaktuesit, kolona e parë tregon zhvendosjen në lidhje me fillimin e skedarit, kolona e dytë tregon bajtet e udhëzimit dhe kolona e tretë tregon emërtimi kujtimor. Për të aktivizuar modalitetin e montimit, kaloni redaktuesin në modalitetin e çmontimit duke shtypur disa herë Enter, aktivizoni modalitetin e redaktimit duke shtypur Alt-F3 dhe shtypni TAB për të zhvendosur kursorin në kolonën e tretë. Më pas mund të futni udhëzime, duke përfunduar çdo hyrje duke shtypur Enter.
Nëse është e nevojshme, mund të ndryshoni drejtpërdrejt bajtet në kolonën e dytë, si në modalitetin "dump". Gjerësia e kodit 16/32 ndërrohet duke shtypur F2. Mund të anuloni ndryshimet duke vendosur kursorin në rreshtin me gabimin dhe duke shtypur F3 disa herë.
Për të kërkuar udhëzime specifike të montimit, shtypni F6, shkruani udhëzimin dhe shtypni Enter. Kërkoni për ndeshjen tjetër duke shtypur Shift-F6. Ju mund të përdorni karakteret speciale të mëposhtme për të kërkuar një model:
"?" - çdo personazh
"*" - çdo nënvarg në presje ose në fund të rreshtit
"$" - kërkoni për konstante numerike (të vendosura përpara numrit)
"%" - duke anashkaluar një fjalë
"@" - çdo nënvarg
Për shembull, "sub bx,*" - kërkon të gjitha udhëzimet e zbritjes nga regjistri BX.
Funksione shtesë
Ndër funksionet shtesë të dobishme të QView, mund të vërejmë praninë e një kalkulatori të integruar, i cili thirret duke shtypur Ctrl-F6. Ai mbështet operacionet bazë aritmetike dhe logjike në bit, kllapa për të treguar përparësinë e operacioneve, hyrjen e argumenteve dhe daljen e rezultateve në sistemet e numrave bazë 2, 8, 10, 16.
Ju mund të shikoni informacionin nga kreu i skedarit të ekzekutueshëm duke shtypur F8 në modalitetin e shkarkimit ose të çmontimit. Formatet e skedarëve të mbështetur janë MZ, PE, NE, LX, LE.
HxD Hex Editor është një redaktues i të dhënave me mbështetje për kodimin ANCI. Aplikacioni përdor paraqitje heksadecimal për çdo skedar të hapur, mund të punojë me elementë të RAM-it dhe të ruajë ndryshimet në hard disk. Ju lejon të kërkoni dhe zëvendësoni vlerat automatikisht ose manualisht. Përfshin mjete për eksportimin e të dhënave, krijimin e shumave kontrolluese dhe fshirjen e fragmenteve të kodit.
Programi mund të ndajë skedarët në pjesë të madhësisë së kërkuar dhe mbështet përpunimin e një sasie të madhe informacioni. Përdor një ndërfaqe modulare me aftësinë për të parë kodin standard dhe heksadecimal. Ju lejon të anuloni çdo ndryshim të bërë, përmban mjete lundrimi sipas kontekstit dhe adresës së linjës.
Redaktori HEX është i aftë të ndërveprojë me çdo lloj skedari dhe mund të përdoret për të kërkuar dhe zëvendësuar vlerat e ekzekutueshme të proceseve të ekzekutimit.
Shkarkoni versionin e plotë rus të HxD Hex Editor falas nga faqja zyrtare pa regjistrim dhe SMS.
Kërkesat e sistemit
- Sistemi operativ i mbështetur: Windows 8.1, Vista, 10, 8, 7, XP
- Thellësia e bitit: 64 bit, x86, 32 bit
Pasi mbaroi serinë me artikullin "Mjetet më të mira Pentester", redaktori mori shumë letra duke kërkuar një përzgjedhje redaktuesish heks. Interesi, natyrisht, nuk është aftësia për të redaktuar të dhënat binare, por veçori shtesë si njohja automatike e strukturave të të dhënave dhe çmontimi i kodit. Për të bërë një përmbledhje, zbuluam mendimet e njerëzve që më së shpeshti duhet të ndërhyjnë me mjete të tilla - analistët e viruseve. Dhe këtë na thanë.
Çdo redaktues hex ju lejon të ekzaminoni dhe modifikoni një skedar në një nivel të ulët, duke funksionuar me bit dhe bajt. Përmbajtja e skedarit paraqitet në format heksadecimal. Ky është funksionaliteti bazë. Megjithatë, disa redaktorë u ofrojnë përdoruesve shumë më tepër, duke i lejuar ata të kuptojnë saktësisht se çfarë është ajo në atë grup të pakuptueshëm karakteresh që shfaqet kur hapet një skedar. Për ta bërë këtë, vargjet ASCII dhe Unicode nxirren automatikisht, kërkohen modelet e njohura, njihen strukturat bazë të të dhënave dhe shumë më tepër. Ka mjaft redaktues heksadecimal, por nëse vendosim t'i konsiderojmë ata në kontekstin e studimit të mostrave të malware, është e lehtë të theksojmë disa prej tyre. Vetëm disa rezultojnë të jenë vërtet të dobishëm për analizimin e kodit me qëllim të keq dhe ekzaminimin e dokumenteve të infektuara (të themi, PDF).
McAfee FileInsight
FileInsight është një redaktues hex falas për Windows nga McAfee Labs. Produkti, natyrisht, kryen të gjithë funksionalitetin standard që shoqëron një softuer të tillë, duke ofruar një ndërfaqe të përshtatshme për shikimin dhe redaktimin e skedarëve në modalitetin heksadecimal dhe tekst. Por kjo është vetëm një pikë në oqean nëse shikoni të gjithë funksionalitetin e saj. Vlen të fillohet me faktin se FileInsight është i aftë të analizojë strukturën e binarëve të ekzekutueshëm për Windows (skedarët PE), si dhe objektet OLE të Microsoft Office. Jo vetëm kaq, por përdoruesit i ofrohet një çmontues i integruar x86. Thjesht zgjidhni pjesën e skedarit që dëshironi të shihni si kod të lexueshëm dhe FileInsight do ta shfaqë këtë fragment si një listë të udhëzimeve të montimit. Çmontuesi është veçanërisht i dobishëm kur kërkoni shellcode në skedarë me qëllim të keq. Opsione të tjera që anasjellësit do të vlerësojnë përfshijnë aftësinë për të importuar deklarata të strukturës. Për ta bërë këtë, programi thjesht duhet të specifikojë një skedar header me deklarata si:
strukturo ANIHeader(
DWORD cbSizeOf; // Numri i bajteve në AniHeader
DWORD cFrames; // Numri i ikonave unike
DWORD cSteps; // Numri i Blits
};
Në këtë rast, vetë programi do të analizojë struktura të tilla. Megjithatë, shumë algoritme intuitive për përpunimin e kodit ofrohen si parazgjedhje. Ne po flasim, para së gjithash, për dekodimin e shumë metodave të turbullimit (xor, add, shift, Base64, etj.) - skriptet e integruara e bëjnë një mbrojtje të tillë kripto një-dy grusht. Këtu duhet theksuar se objekti i kërkimit nuk duhet të jetë domosdoshmërisht një binar, por mund të jetë edhe një faqe interneti e zakonshme që ngjall dyshime. Programi ju lejon të automatizoni shumë veprime duke përdorur skriptet e thjeshta JavaScript ose module Python, nga të cilat shumë janë shkruar tashmë. Mjerisht, me të gjitha avantazhet e tij, FileInsight ka gjithashtu një pengesë serioze, e cila është pamundësia për të përpunuar skedarë të mëdhenj. Për shembull, nëse përpiqeni të futni një skedar me madhësi 400-500 MB në program, shfaqet gabimi "Dështoi hapja e dokumentit".
Redaktori Hex Neo
Ekzistojnë dy versione të këtij redaktuesi hex nga HDD Software - një version i thjeshtë falas dhe një version i avancuar komercial. Opsioni pa pagesë është një redaktues i fortë, por i papërsëritshëm HEX që ka një ndërfaqe të këndshme, të personalizueshme me mbështetje për skema të ndryshme ngjyrash. Jo më. Por versioni profesional i Hex Editor Neo ofron disa opsione të dobishme që mund të jenë jashtëzakonisht të dobishme kur analizoni binarët. Për shembull, përdoruesi merr mundësinë për të deshifruar kodin e koduar duke përdorur algoritmet më të zakonshme. Përveç kësaj, bëhet e mundur shikimi dhe modifikimi i burimeve lokale të tilla si transmetimet NTFS, disqet lokale, memoria e procesit dhe RAM. Versioni më i plotë përfshin gjithashtu mbështetjen për një gjuhë skriptimi, e cila ju lejon të automatizoni shumë procese duke përdorur skriptet në VBScript dhe JavaScript. Por pjesa më e mirë është se ju keni në shërbimin tuaj një çmontues të integruar që punon me binarët x86, x64 dhe .NET! Një veçori tjetër është krijimi i shpejtë i arnimeve bazuar në krahasimin e dy binarëve. Tingëllon mbresëlënëse, por a është më mirë se FileInsight? Me siguri jo. FileInsight në përgjithësi duket më funksional. Nga ana tjetër, çdo version, madje edhe falas i Hex Editor Neo funksionon shkëlqyeshëm edhe me skedarë shumë të mëdhenj dhe ju lejon të kërkoni për vargjet ASCII dhe Unicode. Çmontimi këtu nuk kufizohet vetëm në platformën x86, dhe redaktori i integruar i burimeve është shumë i përshtatshëm. Ka shumë për të menduar.
FlexHex
FlexHex është një redaktues i fuqishëm komercial hex nga Heaventools Software që përfshin shumë nga të njëjtat veçori që gjenden në Hex Editor Neo. E vetmja gjë që mungon këtu është, ndoshta, mbështetja e skenarit. Por ky redaktues me funksione të plota trajton po aq mirë binarët, skedarët OLE, disqet fizike dhe transmetimet alternative NTFS. Kjo e fundit është veçanërisht e rëndësishme sepse FlexHex ju lejon të redaktoni të dhëna që redaktorët e tjerë mund të mos i shohin. Përveç kësaj, ju mund të ndjeni menjëherë fokusin në punën me sasi të mëdha informacioni: pavarësisht nga madhësia e skedarit, lundrimi përmes tij kryhet pa vonesa ose frena. Për lehtësi edhe më të madhe, ekziston një sistem faqeshënuesish të përshtatshëm. Në të njëjtën kohë, FlexHex ruan vazhdimisht një histori të të gjitha operacioneve - mund të anuloni çdo veprim thjesht duke e zgjedhur atë nga lista e ndryshimeve (zhbërja e listës nuk është e kufizuar)! FlexHex mbështet të gjitha operacionet e nevojshme me të dhëna binare, duke kërkuar për vargjet ASCII dhe Unicode. Nëse keni nevojë të përpunoni një strukturë me një format të njohur më parë, vendosja e parametrave të saj nuk është e vështirë duke përdorur mjete speciale. Si rezultat, marrim një redaktues të shkëlqyeshëm hex, por ende shumë inferior ndaj FileInsight. Opsioni i vetëm i dukshëm është përpunimi i skedarëve OLE, por edhe këtu ka probleme. Disa herë kur u përpoq të hapte një OLE të infektuar, programi u rrëzua me gabimin "Dokumenti është i korruptuar".
010 Redaktor
010 Editor është një produkt komercial i njohur i zhvilluar nga SweetScape Software. Nëse e krahasojmë me tre mjetet e mëparshme, ai mund të bëjë gjithçka: mbështet punën me skedarë shumë të mëdhenj, ofron aftësi të mira për të punuar me të dhëna, ju lejon të redaktoni burimet lokale dhe ka një sistem skriptimi për automatizimin e veprimeve rutinë (më shumë se 140 funksione të ndryshme në shërbimin tuaj). Dhe 010 Editor ka gjithashtu një kthesë, një veçori unike. Redaktori kujdeset për të gjithë falë aftësisë për të analizuar formate të ndryshme skedarësh duke përdorur bibliotekën e vet të shablloneve (të ashtuquajturat Modele Binar). Këtu ai nuk ka të barabartë. Shumë entuziastë në mbarë botën po punojnë në shabllone, duke krijuar formate dhe struktura të ndryshme të të dhënave. Si rezultat, procesi i lundrimit nëpër formate të ndryshme skedarësh bëhet transparent dhe i kuptueshëm. Kjo vlen edhe për përpunimin e binareve të Windows (skedarët PE), skedarët e shkurtoreve të Windows (LNK), arkivat Zip, skedarët e klasës Java dhe shumë më tepër. Shumë njerëz ishin në gjendje të kuptonin bukurinë e kësaj veçorie kur specialisti i famshëm i sigurisë Didier Stevens krijoi një shabllon për analizimin e skedarëve PDF për 010 Editor. Së bashku me shërbimet e tjera, kjo ka thjeshtuar shumë analizën e dokumenteve PDF të infektuara, të cilat për gjashtë muajt e fundit nuk kanë reshtur së mahnituri me numrin e vendeve nga të cilat mund të shfrytëzohet programi i lexuesve. Shtojmë këtu një mjet të këndshëm për krahasimin e binarëve, një kalkulator me sintaksë të ngjashme me C, konvertimin e të dhënave midis formateve ASCII, EBCDIC, Unicode dhe marrim një mjet shumë tërheqës me veçori unike.
Hiew
Hiew, për sa i përket metodës së shpërndarjes, nuk është shumë i ndryshëm nga kolegët e tij - ky është gjithashtu një produkt tregtar i zhvilluar nga bashkatdhetari ynë Evgeny Suslikov. Duke pasur një histori të gjatë, programi pëlqehet shumë nga shumë specialistë të sigurisë së informacionit. Ka arsye mjaft të dukshme për këtë - aftësi të fuqishme për të hulumtuar dhe redaktuar strukturën dhe përmbajtjen e skedarëve të ekzekutueshëm të Windows (PE) dhe binarëve për Linux (ELF). Një veçori tjetër shumë e dobishme për inxhinierinë e kundërt është montimi dhe çmontimi i integruar x86-64. Ky i fundit madje mbështet udhëzimet e ARM. Eshtë e panevojshme të thuhet, redaktori tret në mënyrë të përsosur skedarët e mëdhenj dhe ju lejon të redaktoni disqet logjike dhe fizike. Shumë detyra automatizohen lehtësisht përmes një sistemi makrosh të tastierës, skriptet, madje edhe një API për zhvillimin e shtesave (Hiew Extrenal Modules). Por, përpara se të nxitoni në betejë, mbani në mend se ndërfaqja Hiew është një dritare e ngjashme me DOS-in, me të cilën është mjaft e papërshtatshme për të punuar nëse nuk jeni mësuar me të. Por ju mund të përjetoni të gjithë hijeshinë e shkollës së vjetër.
Radare
Radare është një grup shërbimesh falas për platformën Unix që ofrojnë aftësi të mrekullueshme të redaktimit të skedarëve në modalitetin HEX. Ai përfshin vetë redaktorin hex (radare) me aftësinë për të hapur skedarë lokalë dhe të largët. Programi analizon skedarët e ekzekutueshëm të formateve të ndryshme, si Linux (ELF) ashtu edhe Windows (PE). Përveç redaktimit, paketa Radare përfshin një mjet për krahasimin e skedarëve binare (radiff) dhe një montues/çmontues të integruar. Dhe personalisht, një mjet për gjenerimin e kodeve të predhave (rasc) erdhi në ndihmë disa herë. Çdo operacion mund të automatizohet dhe personalizohet lehtësisht duke përdorur një sistem skripti. Nga minuset, përsëri, mund të vërejmë mungesën e një ndërfaqe GUI - të gjitha veprimet kryhen nga linja e komandës, dhe ju mund të punoni plotësisht me shërbimet vetëm pasi të keni lexuar dokumentacionin. Nga ana tjetër, faqja ka ekrane vizuale që demonstrojnë pikat kryesore dhe sekretet e vogla (si lidhja e një shtojce Python).
Pra, çfarë duhet të zgjidhni?
Ne kemi shqyrtuar disa redaktues të fuqishëm hex që përfshijnë opsione të dobishme për analizimin e skedarëve të dyshimtë. Nga të gjitha produktet, veçohet FileInsight, i cili, me gjithë funksionalitetin e tij (dhe është vërtet mbresëlënës), mbetet falas. 010 Redaktori ofron një numër të madh shabllonesh për përpunimin e një shumëllojshmërie të gjerë skedarësh, duke përfshirë dokumente PDF. Ky është një tipar mega që nuk duhet neglizhuar. Unë i përdor këta dy redaktorë gjatë gjithë kohës; Për punën e një analisti, ndoshta ato janë më të përshtatshmet. Nëse flasim për të punuar nën platformën Unix, atëherë, natyrisht, nuk mund të harrojmë Radare. Paketa ofron veçori shumë të fuqishme, megjithëse është e vështirë për t'u përdorur për faktin se funksionon nga linja e komandës. Hiew gjithashtu nuk është shumë miqësor, megjithëse aftësitë e tij sigurisht që ju lejojnë të kryeni një sërë operacionesh me binare. Për më tepër, Hiew është zgjedhja e një numri të madh profesionistësh të vërtetë, dhe kjo vlen shumë (dhe do të thotë shumë). Sa i përket Hex Editor Neo, ia vlen ta zgjidhni nëse jeni të interesuar për aftësinë për të çmontuar kodin x86, x64 dhe .NET.
