Program për redaktimin e skedarëve hex. Redaktorët Hex vs

Ditë të mbarë për të gjithë.

Për disa arsye, shumë njerëz mendojnë se puna me redaktorët hex është shumë e profesionistëve dhe përdoruesit fillestarë nuk duhet të ndërhyjnë me ta. Por, për mendimin tim, nëse keni të paktën aftësi bazë për PC dhe e kuptoni pse keni nevojë për një redaktues hex, atëherë pse jo?!

Me ndihmën e një programi të këtij lloji, ju mund të ndryshoni çdo skedar, pavarësisht nga lloji i tij (shumë manuale dhe udhëzues përmbajnë informacione për ndryshimin e një skedari të veçantë duke përdorur një redaktues hex)! Vërtetë, përdoruesi duhet të ketë të paktën një kuptim themelor të sistemit heksadecimal (të dhënat në redaktorin hex paraqiten në të). Sidoqoftë, njohuritë themelore për të jepen në mësimet e shkencave kompjuterike në shkollë, dhe me siguri shumë kanë dëgjuar dhe kanë një ide për të (prandaj, nuk do ta komentoj në këtë artikull). Pra, këtu janë redaktorët më të mirë hex për fillestarët (për mendimin tim modest).

1) Redaktori Hex Falas Neo

Një nga redaktuesit më të thjeshtë dhe më të zakonshëm për skedarët hex, dhjetor dhe binar nën sistemin operativ Windows. Programi ju lejon të hapni çdo lloj skedari, të bëni ndryshime (historia e ndryshimeve ruhet), të zgjidhni dhe modifikoni me lehtësi një skedar, të korrigjoni dhe analizoni.

Vlen gjithashtu të përmendet një nivel shumë i mirë i performancës, i shoqëruar me kërkesat e ulëta të sistemit për makinën (për shembull, programi ju lejon të hapni dhe modifikoni skedarë mjaft të mëdhenj, ndërsa redaktorët e tjerë thjesht ngrijnë dhe refuzojnë të punojnë).

Ndër të tjera, programi mbështet gjuhën ruse, ka një ndërfaqe të menduar dhe intuitive. Edhe një përdorues fillestar do të jetë në gjendje të kuptojë dhe të fillojë të punojë me shërbimin. Në përgjithësi, ia rekomandoj kujtdo që po fillon njohjen me redaktorët hex.

2) WinHex

Ky redaktues, për fat të keq, është shareware, por është një nga më të gjithanshëm, ai mbështet një mori opsionesh dhe veçorish të ndryshme (disa prej të cilave janë të vështira për t'u gjetur midis konkurrentëve).

Në modalitetin e redaktuesit të diskut, ju lejon të punoni me: HDD, disketë, flash drive, DVD, disqe ZIP, etj. Mbështet sistemet e skedarëve: NTFS, FAT16, FAT32, CDFS.

Nuk mund të mos vërej mjete të përshtatshme për analizë: përveç dritares kryesore, mund të lidhni ato shtesë me kalkulatorë të ndryshëm, mjete për kërkimin dhe analizimin e strukturës së skedarit. Në përgjithësi, i përshtatshëm si për fillestarët ashtu edhe për përdoruesit me përvojë. Programi mbështet gjuhën ruse ( zgjidhni menunë e mëposhtme: Ndihmë / Konfigurim / Anglisht ).

WinHex, përveç funksioneve të tij më të zakonshme (të cilat mbështesin programe të ngjashme), ju lejon të "klononi" disqe dhe të fshini informacionin prej tyre në mënyrë që askush të mos mund t'i rikuperojë!

3) Redaktori Hex HxD

Një redaktues binar i lirë dhe mjaft i fuqishëm. Mbështet të gjitha kodimet kryesore (ANSI, DOS/IBM-ASCII dhe EBCDIC), skedarë të pothuajse çdo madhësie (nga rruga, redaktori ju lejon të modifikoni RAM përveç skedarëve, të shkruani drejtpërdrejt ndryshime në hard disk!).

Ju gjithashtu mund të vini re një ndërfaqe të mirëmenduar, një funksion të përshtatshëm dhe të thjeshtë për kërkimin dhe zëvendësimin e të dhënave, një sistem të shkallëzuar dhe me shumë nivele të kopjeve rezervë dhe rikthimeve.

Pas fillimit, programi përbëhet nga dy dritare: në të majtë është një kod heksadecimal, dhe në të djathtë është një përkthim teksti dhe përmbajtja e skedarit.

Nga minuset, do të veçoja mungesën e gjuhës ruse. Megjithatë, shumë funksione do të jenë të qarta edhe për ata që nuk kanë mësuar kurrë anglisht...

4) HexCmp

HexCmp - ky mjet i vogël kombinon 2 programe menjëherë: i pari ju lejon të krahasoni skedarët binare me njëri-tjetrin, dhe i dyti është një redaktues hex. Ky është një opsion shumë i vlefshëm kur ju duhet të gjeni dallime në skedarë të ndryshëm, ndihmon për të eksploruar strukturën e ndryshme të një shumëllojshmërie të gjerë të llojeve të skedarëve.

Nga rruga, vendet pas krahasimit mund të pikturohen me një ngjyrë të ndryshme, në varësi të vendit ku gjithçka përputhet dhe ku të dhënat janë të ndryshme. Krahasimi ndodh në fluturim dhe është shumë i shpejtë. Programi mbështet skedarë, madhësia e të cilëve nuk kalon 4 GB (që është e mjaftueshme për shumicën e detyrave).

Përveç krahasimit të zakonshëm, mund të krahasoni në versionin e tekstit (ose edhe të dyja menjëherë!). Programi është mjaft fleksibël, ju lejon të personalizoni skemën e ngjyrave, të specifikoni butonat e shkurtoreve. Nëse e konfiguroni programin në mënyrën e duhur, atëherë mund të punoni me të pa miun fare! Në përgjithësi, unë rekomandoj që të familjarizohen të gjithë "damë" fillestare të redaktuesve hex dhe strukturave të skedarëve.

5) Workshop Hex

Hex Workshop është një redaktues binar i thjeshtë dhe i përshtatshëm, i cili dallohet kryesisht nga cilësimet e tij fleksibël dhe kërkesat e ulëta të sistemit. Falë kësaj, është e mundur të redaktoni skedarë mjaft të mëdhenj në të, të cilët thjesht nuk hapen ose ngrijnë në redaktues të tjerë.

Arsenali i redaktorit ka të gjitha funksionet më të nevojshme: redaktimi, kërkimi dhe zëvendësimi, kopjimi, ngjitja, etj. Programi mund të kryejë operacione logjike, të kryejë krahasimin e skedarëve binare, të shikojë dhe gjenerojë shuma të ndryshme kontrolli të skedarëve, të eksportojë të dhëna në formatet e njohura: rtf dhe html .

Redaktori gjithashtu ka një konvertues midis sistemeve binar, binar dhe heksadecimal. Në përgjithësi, një arsenal i mirë për një redaktues hex. Ndoshta e vetmja negative është se programi është shareware ...

SHËNIM
Vizatimet në këtë faqe nuk shfaqen, por mund t'i gjeni në libër.

Ajo që do të bëjmë tani është shumë interesante nga këndvështrimi im. Ky do të jetë programi juaj i parë i kodit të makinës (dhe ka shumë të ngjarë i vetmi))).

Assembler është një gjuhë e nivelit të ulët, por ende një gjuhë. A keni provuar të shkruani një program në kodin e makinës? Tani le të provojmë.

Ju mund të shkruani një program pa asnjë përpilues asembleri dhe mjete të tjera - duke përdorur çdo redaktues hex (ose redaktues hex ose redaktues hex).

Megjithatë, analizimi i programeve në një redaktues heksadecimal është shumë i dobishëm. Sidomos për ata që do të punojnë me elektronikë - në fund të fundit, mikroprocesorët nuk kuptojnë as Pascal dhe as C ++. Edhe pse ka pajisje dhe programe të veçanta që këto gjuhë "u shpjegojnë".

Së pari ju duhet një redaktues hex. Mund të përdorni cilindo që keni në dorë. Megjithatë, unë do të përdor McAfee FileInsight v2.1 të përmendur tashmë. Ky redaktues hex mund të shkarkohet falas. Të gjitha veprimet e përshkruara më poshtë janë të vlefshme për këtë redaktues.

Pra, ju keni të instaluar një redaktues hex. Le ta nisim. Ne klikojmë në butonin OPEN, gjejmë një nga skedarët COM që krijuam, për shembull, debug_1.com dhe e ngarkojmë atë në redaktues.

Kur skedari të ngarkohet, do të shihni sa vijon në redaktues (shih gjithashtu Figurën 1.12):

00000000 B4 02 B2 41 CD 21 CD 20 ...A.!. Ju mund të hapni dy skedarë të tjerë që kemi krijuar: mycode.com (krijuar në emu8086) ose ATEST.COM (që kemi krijuar në seksionin ). Shih të njëjtën gjë. Kjo do të thotë që të gjithë montuesit prodhojnë të njëjtin kod makine. Kjo do të thotë, ndryshimet në tekstin e programit nuk janë thelbësore - ato janë vetëm për shkak të dallimeve në vetë asamblerët.

SHËNIM
Nëse në rastin tuaj shihni një foto tjetër, atëherë ose keni hapur një skedar tjetër, ose jeni duke e parë atë në modalitetin e tekstit. Në rastin e fundit, klikoni butonin View as Hex në shiritin e veglave (shih Figurën 1.12).

Çfarë kuptimi kanë këto shifra?

Gjithçka është e qartë me zero - kjo është qeliza e parë e kujtesës në të cilën shkruhet numri B4. Ky numër më pas do të shkruhet në adresën 0100h (për një skedar COM). Rreshti duhet të përmbajë 16 numra, secili prej të cilëve përbëhet nga dy shifra. Numrat shkruhen në formë heksadecimal. Por programi ynë është i vogël - vetëm 8 bajt, kështu që ne kemi 8 numra.

Epo, çfarë është B4? Kjo komandë është "Fut vlerën në regjistrin AH". Çfarë vlere futim? E saktë: 02 (numri tjetër në rresht).

AX=0200 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000 DS=0B72 ES=0B72 SS=0B72 CS=0B72 IP=0102 NV UP NAB PO20 B241 MOV DL,41 Shihni rreshtin e fundit të B241? Një kombinim i njohur? Ky është kodi i komandës MOV DL, 41.

Mbetet të merremi me personazhet misterioze në fund të rreshtit. Dhe këtu gjithçka është e thjeshtë: çdo shifër në numër korrespondon me kodin e karakterit të tabelës ASCII, dhe këto karaktere shfaqen në të njëjtën sekuencë si shifrat heksadecimal. Në këtë tekst, në vend të disa karaktereve, ka pika (.) - këto janë vetëm kode për karaktere jo alfabetike.

Epo, tani le të shkruajmë dhe krijojmë programin tonë të studiuar mirë pa asamblerë dhe lidhës. Hapni redaktorin, krijoni një skedar të ri (për ta bërë këtë, klikoni butonin NEW në shiritin e veglave), më pas klikoni butonin View as Hex dhe futni të dhënat:

00000000 B4 02 B2 41 CD 21 CD 20 Ruaje skedarin me një emër, për shembull, hex_1.com. Të gjitha. Programi është gati. Tani mund ta ekzekutoni dhe të admironi edhe një herë krijimin tuaj. Rezultati do të jetë i njëjtë si në të gjitha rastet e mëparshme.

Dhe një surprizë më e këndshme nga redaktori McAfee FileInsight v2.1 - ai ka çmontuesin e vet! Nëse ngarkoni një skedar të ekzekutueshëm në redaktues dhe zgjidhni skedën DISASSEMBLY në këndin e poshtëm të majtë, mund të shikoni kodin burimor të programit të shkarkuar në gjuhën e asamblesë (Fig. 1.12).

Pse na duhen fare redaktorë dhe çmontues hex? Në fund të fundit, është kaq e vështirë. Po, nuk është e lehtë. Megjithatë, hakerët nuk mendojnë kështu. Është me ndihmën e redaktorëve heksadecimalë dhe çmontuesve që ata thyejnë programet. Ata gjejnë vendet që u duhen në kod dhe i rregullojnë ato në përputhje me tekat e tyre të hakerëve.

Sigurisht, ne nuk jemi hakerë. Ne nuk do të thyejmë programe. Sidoqoftë, çmontuesit dhe redaktuesit hex janë mjaft të dobishëm edhe për programuesit që i binden ligjit. Ato përdoren, për shembull, për korrigjimin e gabimeve, për studimin e kodeve të makinerive, etj. Për shembull, ju e dini se si duket një udhëzim i gjuhës së asamblesë, por dëshironi të dini kodin e tij të makinës. Nëse nuk ka dokumentacion, atëherë ka vetëm një rrugëdalje - një redaktues heksadecimal dhe / ose çmontues. Sidoqoftë, duhet të theksohet se jo të gjitha komandat përshtaten në kodin e makinës të dy numrave. Disa komanda janë mjaft komplekse dhe kërkojnë më shumë numra për t'u paraqitur në kodet e makinës.

Trajtimi: i përfshirë
Lloji i ilaçit: patch

Kërkesat e sistemit:
Windows XP
Windows Vista
Windows 7
Windows 8
Windows 8.1
Windows 10
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016

Përshkrim:
Hex Editor Neo është një redaktues profesionist i skedarëve Hex, Dhjetor dhe Binar për Windows. Programi ka aftësinë për të zgjedhur, parë, modifikuar, zëvendësuar, korrigjuar dhe analizuar të dhënat. Ju lejon të paketoni me dy klikime, të manipuloni skedarët tuaj EXE, DLL, DAT, AVI, MP3, JPG me zhbërje dhe ribërje të pakufizuar. Historia e pakufizuar e ndryshimeve të skedarëve me vizualizimin dhe aftësinë për të ruajtur shkarkimin. Krijo një patch nga ndryshimet me dy klikime.
Karakteristikat e programit:
Veçori e zhbërjes së pakufizuar.
Përzgjedhja e objekteve të ndryshme.
Ruaj dhe ngarko të zgjedhura.
Kërko.
Kërkoni dhe zëvendësoni.
Ruajtja dhe ngarkimi i historisë.
Krijimi i paketave.
Operacionet me kujtesën e fragmenteve.
Mënyra të ndryshme funksionimi.
Vendosja e ngjyrave në mostra.
Inspektori i të dhënave.
Faqerojtësit.
Shikuesi i Strukturës.
Statistikat.
konverteri i bazës.
Krijimi i skenarëve.
[fsheh]
Gjuha ruse:
Në fillimin e parë, programi do t'ju njoftojë se gjuha ruse është e disponueshme, gati për shkarkim nga faqja zyrtare e internetit.
Klikoni Po.
Në dritaren që hapet, kontrolloni kutinë pranë gjuhës ruse dhe klikoni butonin Shkarko.
Tjetra, zgjidhni Rusisht në listën rënëse dhe klikoni butonin Apliko.
Do të shfaqet një dritare me një paralajmërim se përkthimi është krijuar nga një komunitet i hapur dhe mund të mos jetë plotësisht i saktë. Opsionet e mëposhtme do të ofrohen:
Përdorni këtë paketë lang - përdorni këtë përkthim
Hyni në depon në internet - shkoni për të ndryshuar përkthimin origjinal në depo
Anulo - Anulo instalimin

Zgjidhni opsionin e parë, pastaj klikoni OK. Pas kësaj, programi do të kërkojë rinisjen e tij për të aplikuar ndryshimet, shtypni konfirmimin dhe programi do të rifillojë me ndërfaqen në gjuhën ruse.

Procedura e trajtimit:
Instaloni programin pa e nisur.
Kopjoni patch Patch.exe në dosjen me programin.
Aplikoni patch-in me të drejtat e administratorit.

Informacion
Vizitorët në një grup Të ftuarit nuk mund të komentoj në këtë postim.

Pas përfundimit të serisë së artikujve "Mjetet më të mira pentester", redaksia mori shumë letra me një kërkesë për të bërë një përzgjedhje të redaktorëve heks. Sigurisht, me interes nuk është aftësia për të redaktuar të dhënat binare, por veçori shtesë si njohja automatike e strukturave të të dhënave dhe çmontimi i kodit. Për të bërë një përmbledhje, zbuluam mendimet e njerëzve që shpesh duhet të ndërhyjnë me mjete të tilla - analistët e viruseve. Dhe ja çfarë na thanë.

Çdo redaktues hex ju lejon të eksploroni dhe modifikoni një skedar në një nivel të ulët, duke funksionuar me bit dhe bajt. Përmbajtja e skedarit paraqitet në formë heksadecimal. Ky është funksionaliteti bazë. Megjithatë, disa redaktorë u ofrojnë përdoruesve shumë më tepër, duke i lejuar ata të kuptojnë, në fakt, çfarë është ajo në atë grup të pakuptueshëm karakteresh që shfaqet kur hapet një skedar. Për ta bërë këtë, vargjet ASCII dhe Unicode nxirren automatikisht, kërkohen modelet e njohura, njihen strukturat bazë të të dhënave dhe shumë më tepër. Ka mjaft redaktues hex, por nëse vendosim t'i konsiderojmë në kontekstin e mostrave të malware, është e lehtë të theksojmë disa prej tyre. Vetëm disa janë vërtet të dobishëm për analizimin e kodit me qëllim të keq dhe ekzaminimin e dokumenteve të infektuara (të themi, PDF).

McAfee FileInsight

FileInsight është një redaktues hex falas për Windows nga McAfee Labs. Produkti, natyrisht, kryen të gjithë funksionalitetin standard të lidhur me një softuer të tillë, duke ofruar një ndërfaqe të përshtatshme për shikimin dhe redaktimin e skedarëve në modalitetin heksadecimal dhe tekst. Por kjo është vetëm një pikë në oqean, nëse shikoni të gjithë funksionalitetin e saj. Vlen të fillohet me faktin se FileInsight është në gjendje të analizojë strukturën e binarëve të ekzekutueshëm për Windows (skedarët PE), si dhe objektet e Microsoft Office OLE. Jo vetëm kaq, përdoruesit i ofrohet një çmontues i integruar x86. Mjafton të zgjidhni pjesën e skedarit që dëshironi të shikoni si kod të lexueshëm dhe FileInsight do ta shfaqë këtë fragment si një listë të udhëzimeve të asemblerit. Çmontuesi është veçanërisht i dobishëm kur kërkoni shellcode në skedarë me qëllim të keq. Opsione të tjera që do t'i pëlqejnë kthimit është aftësia për të importuar deklarata të strukturës. Për ta bërë këtë, programi thjesht duhet të specifikojë një skedar header me deklarata si:

strukturo ANIHeader(
DWORD cbSizeOf; // Numri i bajteve në AniHeader
DWORD cFrames; // Numri i ikonave unike
DWORD cSteps; // Numri i Blits
};

Në këtë rast, vetë programi do të analizojë ndërtime të tilla. Megjithatë, shumë algoritme intuitive për përpunimin e kodit ofrohen si parazgjedhje. Para së gjithash, ne po flasim për dekodimin e shumë metodave të turbullimit (xor, add, shift, Base64, etj.) - skriptet e integruara klikojnë një ose dy herë një kriptombrojtje të tillë. Këtu duhet theksuar se objekti i kërkimit nuk duhet të jetë një binar, ai mund të jetë një faqe interneti e zakonshme që ngjall dyshime. Programi ju lejon të automatizoni shumë veprime duke përdorur skriptet e thjeshta JavaScript ose module Python, të cilat tashmë janë shkruar shumë. Mjerisht, me të gjitha avantazhet, FileInsight ka gjithashtu një pengesë serioze, e cila shprehet në pamundësinë për të përpunuar skedarë të mëdhenj. Për shembull, nëse përpiqeni të ushqeni programin me një skedar prej 400-500 MB, gabimi "Dështoi hapjen e dokumentit" prishet.

Redaktori Hex Neo

Ekzistojnë dy versione të këtij redaktuesi hex nga HDD Software - një version i thjeshtë falas dhe një version i avancuar komercial. Versioni falas është një redaktues i fortë, por jo i shquar HEX që ka një ndërfaqe të personalizueshme të lezetshme me mbështetje për skema të ndryshme ngjyrash. Jo më. Por versioni profesional i Hex Editor Neo ofron disa opsione të dobishme që mund të jenë jashtëzakonisht të dobishme kur analizoni binarët. Për shembull, përdoruesi merr mundësinë për të deshifruar kodin e koduar duke përdorur algoritmet më të zakonshme. Përveç kësaj, bëhet e mundur shikimi dhe modifikimi i burimeve lokale të tilla si transmetimet NTFS, disqet lokale, memoria e procesit dhe RAM. Në versionin më të plotë, ekziston gjithashtu mbështetje për një gjuhë skriptimi, e cila ju lejon të automatizoni shumë procese duke përdorur skriptet në VBScript dhe JavaScript. Por pjesa më e mirë është se ju keni një çmontues të integruar që punon me binare x86, x64 dhe .NET! Një veçori tjetër është krijimi i shpejtë i arnimeve bazuar në krahasimin e dy binarëve. Tingëllon mbresëlënëse, por a është më mirë se FileInsight? Me siguri jo. FileInsight në përgjithësi duket më funksional. Nga ana tjetër, edhe versioni falas i Hex Editor Neo funksionon shkëlqyeshëm edhe me skedarë shumë të mëdhenj dhe ju lejon të kërkoni për vargjet ASCII dhe Unicode. Çmontimi këtu nuk kufizohet vetëm në platformën x86, dhe redaktori i integruar i burimeve është shumë i përshtatshëm. Ka diçka për të menduar.

FlexHex

FlexHex është një redaktues i fuqishëm komercial hex nga Heaventools Software që përfshin shumë nga veçoritë e disponueshme në Hex Editor Neo. E vetmja gjë që nuk është këtu është, ndoshta, mbështetja për skriptet. Por ky redaktues me funksione të plota trajton po aq mirë binarët, skedarët OLE, disqet fizike dhe transmetimet alternative NTFS. Kjo e fundit është veçanërisht e rëndësishme sepse FlexHex ju lejon të redaktoni të dhëna që redaktorët e tjerë mund të mos i shohin. Për më tepër, menjëherë e ndjeni fokusin në punën me sasi të mëdha informacioni: pavarësisht sa i madh është skedari, lundrimi përmes tij kryhet pa vonesa dhe frena. Për edhe më shumë lehtësi, ekziston një sistem faqeshënuesish të përshtatshëm. Në të njëjtën kohë, FlexHex ruan vazhdimisht një histori të të gjitha operacioneve - mund të zhbëni çdo veprim thjesht duke e zgjedhur atë nga lista e ndryshimeve (lista e zhbërjes nuk është e kufizuar)! FlexHex mbështet të gjitha operacionet e nevojshme me të dhëna binare, duke kërkuar për vargjet ASCII dhe Unicode. Nëse keni nevojë të përpunoni një strukturë me një format të njohur më parë, nuk do të jetë e vështirë të vendosni parametrat e saj duke përdorur mjete speciale. Si rezultat, marrim një redaktues të shkëlqyeshëm hex, por ende shumë inferior ndaj të njëjtit FileInsight. Opsioni i vetëm që vlen të përmendet është përpunimi i skedarëve OLE, por edhe këtu ka probleme. Disa herë gjatë përpjekjes për të hapur një OLE të infektuar, programi u rrëzua me gabimin "Dokumenti është i korruptuar".

010 redaktor

010 Editor është një produkt i famshëm tregtar i zhvilluar nga SweetScape Software. Nëse e krahasoni me tre mjetet e mëparshme, atëherë ai mund të bëjë gjithçka: mbështet punën me skedarë shumë të mëdhenj, ofron aftësi fantastike të manipulimit të të dhënave, ju lejon të redaktoni burimet lokale, ka një sistem skriptimi për të automatizuar veprimet rutinë (më shumë se 140 të ndryshme funksionon në shërbimin tuaj). Dhe Redaktori 010 ka një gjallëri, një veçori unike. Redaktori i bën të gjithë të lumtur falë aftësisë për të analizuar formate të ndryshme skedarësh duke përdorur bibliotekën e vet të shablloneve (të ashtuquajturat Modele Binare). Këtu ai nuk ka të barabartë. Shumë entuziastë në mbarë botën punojnë në shabllone, duke krijuar forma të ndryshme dhe struktura të dhënash. Si rezultat, procesi i lundrimit nëpër formate të ndryshme skedarësh bëhet transparent dhe i kuptueshëm. Kjo vlen edhe për përpunimin e binareve të Windows (skedarët PE), skedarët e shkurtoreve të Windows (LNK), arkivat Zip, skedarët e klasës Java dhe shumë më tepër. E gjithë sharmi i kësaj veçorie u realizua nga shumë njerëz kur specialisti i njohur i sigurisë Didier Stevens krijoi një shabllon për analizimin e skedarëve PDF për 010 Editor. Së bashku me shërbimet e tjera, kjo thjeshton shumë analizën e dokumenteve PDF të infektuara, të cilat për gjashtë muajt e fundit nuk kanë reshtur së mahnituri me numrin e vendeve ku lexuesi mund të përdoret. Ne shtojmë këtu një mjet të këndshëm për krahasimin e binarëve, një kalkulator me një sintaksë të ngjashme me C, konvertimin e të dhënave midis formateve ASCII, EBCDIC, Unicode dhe marrim një mjet shumë tërheqës me veçori unike.

Hiew

Hiew, për sa i përket metodës së shpërndarjes, nuk është shumë i ndryshëm nga kolegët e tij - është gjithashtu një produkt komercial që u zhvillua nga bashkatdhetari ynë Evgeny Suslikov. Me një histori të gjatë, programi është shumë i dashur nga shumë profesionistë të sigurisë së informacionit. Ka arsye mjaft të dukshme për këtë - aftësi të fuqishme për ekzaminimin dhe modifikimin e strukturës dhe përmbajtjes së skedarëve të ekzekutueshëm si për binarët Windows (PE) ashtu edhe për Linux (ELF). Një veçori tjetër shumë e dobishme për kthimin mbrapa është montimi dhe çmontimi i integruar x86-64. Ky i fundit madje mbështet udhëzimet e ARM. Eshtë e panevojshme të thuhet, redaktori tret në mënyrë të përsosur skedarët e mëdhenj dhe ju lejon të redaktoni disqet logjike dhe fizike. Shumë detyra automatizohen lehtësisht përmes një sistemi makrosh të tastierës, skriptet, madje edhe një API për zhvillimin e shtesave (Hiew Extrenal Modules). Por, përpara se të nxitoni në betejë, mbani në mend se ndërfaqja Hiew është një dritare e ngjashme me DOS-in, me të cilën është mjaft e papërshtatshme për të punuar jashtë zakonit. Por ju mund të ndjeni për vete të gjithë sharmin e shkollës së vjetër.

radari

Radare është një grup shërbimesh falas për platformën Unix që ofrojnë opsione interesante për redaktimin e skedarëve në modalitetin HEX. Ai përfshin drejtpërdrejt vetë redaktorin hex (radare) me aftësinë për të hapur skedarë lokalë dhe të largët. Programi analizon skedarët e ekzekutueshëm të formateve të ndryshme, si Linux (ELF) ashtu edhe Windows (PE). Përveç redaktimit, Radare ka një mjet për krahasimin e skedarëve binare (radiff) dhe një montues/çmontues të integruar. Dhe personalisht, një mjet për gjenerimin e kodeve të predhave (rasc) erdhi në ndihmë disa herë. Çdo operacion mund të automatizohet dhe personalizohet lehtësisht duke përdorur një sistem skriptimi. Nga minuset, përsëri, mund të vërejmë mungesën e një ndërfaqe GUI - të gjitha veprimet kryhen nga linja e komandës dhe do të jetë e mundur të punoni plotësisht me shërbimet vetëm pasi të lexoni dokumentacionin. Nga ana tjetër, faqja ka ekrane vizuale që demonstrojnë pikat kryesore dhe sekretet e vogla (si lidhja e një shtojce Python).

Pra, çfarë të zgjidhni?

Ne kemi mbuluar disa redaktues të fuqishëm hex që përfshijnë opsione të dobishme për analizimin e skedarëve të dyshimtë. Nga të gjitha produktet, veçohet FileInsight, i cili, me gjithë funksionalitetin e tij (dhe është vërtet mbresëlënës), mbetet falas. 010 Redaktori ofron një numër të madh shabllonesh për përpunimin e një shumëllojshmërie të gjerë skedarësh, duke përfshirë dokumente PDF. Ky është një mega-çip që nuk duhet neglizhuar. Këta janë dy redaktorët që përdor gjatë gjithë kohës; për punën e një analisti, ndoshta, ato janë më të përshtatshmet. Nëse flasim për të punuar nën platformën Unix, atëherë, natyrisht, nuk duhet të harrojmë Radare. Paketa ofron veçori shumë të fuqishme, megjithëse është e vështirë për t'u përdorur për faktin se funksionon nga linja e komandës. Hiew gjithashtu nuk është shumë miqësor, megjithëse aftësitë e tij sigurisht që ju lejojnë të kryeni një sërë operacionesh me binare. Për më tepër, Hiew është zgjedhja e shumë profesionistëve të vërtetë, dhe kjo vlen shumë (dhe do të thotë shumë). Sa i përket Hex Editor Neo, duhet ta përdorni në shërbim nëse jeni të interesuar për aftësinë për të çmontuar kodin x86, x64 dhe .NET.

Ky artikull do të flasë për punën në redaktuesin hex falas Free Hex Editor Neo, duke përdorur shembullin e redaktimit të një skedari BkEnd.dll nga dorëzimi për funksionimin korrekt të këtij sistemi me .

1. Pak për redaktorët dhe skedarët hex

Siç e dini, çdo skedar i ruajtur në një hard disk kompjuteri është një sekuencë fjalësh makinerie - bajt. Një bajt, nga ana tjetër, përbëhet nga 8 bit, secila prej të cilave mund të marrë vlerën "0" ose "1", që do të thotë se një bajt mund të marrë 2 8 \u003d 256 vlera në intervalin nga 0 në 255. Numri 256 10, i shkruar në sistemin heksadecimal është një numër i rrumbullakët treshifror - 100 16, d.m.th. nuk kërkohen më shumë se 2 shifra për të përfaqësuar ndonjë numër nga diapazoni 0-255. Dhe kjo do të thotë që vlera e çdo bajt është shumë e përshtatshme për të shkruar një numër dyshifror në heksadecimal.

Hex-editor (anglisht hex-editor) na tregon skedarin, ashtu siç e "sheh" makina, domethënë, si një sekuencë bajtash. Për shembull, duke hapur një skedar në redaktues, do të shohim një matricë të përbërë nga 16 kolona dhe numrin e rreshtave në varësi të madhësisë së skedarit. Çdo vlerë matrice korrespondon me një bajt të shkruar si një numër heksadecimal dyshifror. Duke ndryshuar vlerën e bajtit të dëshiruar, ne mund të ndryshojmë vetë skedarin në përputhje me rrethanat.

Përveç kësaj, pranë tabelës mund të shohim:

• Në të majtë të matricës, shfaqet një rresht numrash: çdo rresht ka një numër që tregon adresën / kompensimin e bajtit të parë të kësaj rreshti. Hapi i adresës është i barabartë me numrin e kolonave.
• Një tjetër sundimtar shfaqet mbi matricën: mbi çdo kolonë, shfaqet zhvendosja e bajtit në këtë kolonë në lidhje me bajtin e parë të rreshtit përkatës. Shuma e numrit që i korrespondon rreshtit i-të dhe numrit që i korrespondon kolonës j-të është adresa/kompensimi i bajtit (i;j) në kryqëzimin e rreshtit të marrë dhe kolonës së marrë.
• Në të djathtë të matricës, shfaqen të njëjtat të dhëna, por në një interpretim tjetër. Alternativa më e zakonshme është shfaqja e të dhënave si tekst ASCII, me bajtë, vlerat e të cilave korrespondojnë me karaktere jo të printueshme të shfaqura si pika (·). Ju gjithashtu mund të modifikoni vlerat në këtë zonë.

2. Instaloni Free Hex Editor Neo

Për shembull, më duhet një bajt me një kompensim 000d9cca shkruani një vlerë eb. Për ta bërë këtë, gjej rreshtin "000d9cco" dhe kolonën "0a", klikoni dy herë në qelizën e dëshiruar dhe plotësoni vlerën e re.

Duke vazhduar në mënyrë të ngjashme, bëj ndryshimet e mëposhtme:

1. Për të rregulluar gabimin " Kërkon MS SQL Server 6.5 + Service Pack 5a ose më të lartë!» ndryshoni fushat:
   me kompensim 000d9cca kuptimi 83 ndryshim në eb
   me kompensim 000d9ccb kuptimi e8 ndryshim në 15
   me kompensim 000db130 kuptimi 83 ndryshim në eb
   me kompensim 000db131 kuptimi e8 ndryshim në 10
2. Për të rregulluar gabimin " Rendi i renditjes së vendosur për bazën e të dhënave ndryshon nga ai i sistemit!»:
   me kompensim 0018a79d kuptimi 75 ndryshim në eb
3. Për të rregulluar gabimin " Sintaksë e gabuar pranë fjalës kyçe "TRANSACTION»
   Frazë TRANSAKSIONI DEPOZIME %s ME TRUNCATE_ONLY, i cili ndodhet në kompensim 002856B0 zëvendësohet me frazën NDRYSHO BAZA E TË DHËNAVE %s SET RIKURTIMI I THJESHTË
4. Për të rregulluar gabimin " Baza e të dhënave nuk mund të hapet në modalitetin e një përdoruesi", ndryshoni fushat:
   me kompensim 0028549c kuptimi 64 ndryshim në 6b
   me kompensim 0028549d kuptimi 62 ndryshim në 70

Pasi të bëhen të gjitha ndryshimet, ruani skedarin duke klikuar " Skedari» — « Ruaj» .

A ju ndihmoi ky artikull?