Программы для анализа исполняемых файлов

Обновлено: 07.07.2024

Cостоялся очередной выпуск DiE (Detect It Easy) — утилиты для определения типа упаковщика/протектора/компилятора у исполняемых файлов. Программа позволяет узнать, чем сжат файл, что полезно для его дальнейшей распаковки. Эта версия нацелена, в основном на исправление ошибок.

Первоначально, проект развивался исключительно под Windows, но был заброшен автором в 2007 году. Через 4 года исходный код был передан другому разработчику, который продолжил развитие проекта, переписал утилиту на Qt, добавил определение множества упаковщиков и компиляторов, расширил функциональность.

Основные возможности:

определение упаковщика/протектора/компилятора (поддерживаются форматы ELF, MS-DOS, PE, MACH, Text, Binary)
просмотр импорта
просмотр секций
просмотр в шестнадцатеричном представлении
дизассемблирование файла
просмотр основных характеристик PE
вычисление хешей MD5 и CRC32
поддержка плагинов
добавление собственных сигнатур (предусмотрен специальный JS-подобный язык)
возможность работы без графического интерфейса
копирование информации двойным щелчком

Доступны готовые сборки для Linux (32- и 64-бит), Windows и Mac OS. Исходный код размещён на GitHub. Программа бесплатна для коммерческого и некоммерческого использования.

А можно привести пример из жизни - зачем оно надо?

Если рассматривать незаконные варианты - то для взлома программ используется.

Спасибо, как раз искал нечто подобное.

Нет эвристики для детекта каким компилятором собирался исполняемый модуль?

Больше для реверс-ижиниринга. Раз в пятилетку, но подобный функционал лично мне бывает нужен.

Новость позитивная, для тех кто реверсом занимается. К сожалению, не смотря на то что binary вроде поддерживается, версию компилятора видюшного firmware не определил. А я уже на халяву понадеялся :)

так что либо лицуху мути, либо явно обозначай условия использования, либо это проприетарное программное обеспечение. то, что ты исходники показал не лишает тебя всех остальных неявно подразумеваемых прав. ибо государственная машина присваивает их тебе по дефолту

либо явно обозначай условия использования

Написано же: Detect It Easy is absolute free for commercial and non-commercial use.

Что тебе ещё нужно?

absolute free for commercial and non-commercial use

это значит только то, что она бесплатная

не сочти за придирки с моей стороны, сочти это за придирки со стороны государства. твои слова на лоре юридически ничего не значат

Там и его контакты можно найти.

Чем она лучше radare2+yara?

В свободном обществе вы не имеете права требовать от программы наличия лицензии и требовать автора принять религию. то есть лицензию.

Yara ищет только по надерганным из PEID сигнатурам. Никакой эвристики и расширяемости. Всё это уже лет 10 как устарело.

чего ж ты тогда за него отвечаешь на вопрос о лицензии?

к сожалению, государство не даёт нам возможности жить в свободном обществе, поэтому приходится использовать копирайт против копирайта и остерегаться ловушек

чего ж ты тогда за него отвечаешь на вопрос о лицензии?

Так ты что, этот вопрос тут автору задавал?

Откуда ты знаешь что он вообще знает о существовании тут этой темы? Откуда ты знаешь что он вообще говорит по русски?

новость ты размещал? раздел ты выбирал?

новость ты размещал? раздел ты выбирал?

Нет, не я.И с чего ты это взял, что тот кто разместил эту новость - автор?

Считаешь, что здесь исключительно авторы постят? Спешу разочаровать.

Доступны готовые сборки для Linux

Сразу заметно что автор этих сборок Debian не уважает.

Rodegast ★★★★★ ( 26.09.14 14:24:31 )
Последнее исправление: Rodegast 26.09.14 14:24:50 (всего исправлений: 1)

Неверно, там куча сигнатур из разных мест, в том числе и из антивирусных компаний.

возможно тс и не автор программы, но он мог бы выбрать более подходящий раздел

Неверно, там куча сигнатур из разных мест, в том числе и из антивирусных компаний.

Ну да Бог с ним, главное чтобы верно детектило, но и этого нет.

Сама идея детекта одним лишь только сканированием энтрипойнта умерла вместе с пейдом 10 лет назад.

утилиты для определения типа упаковщика/протектора/компилятора у исполняемых файлов

Разработчик русскоговорящий, так что вопросы о лицензии можно обсудить с ним. На гитхабе или по эл.почте.

Новость позитивная, для тех кто реверсом занимается. К сожалению, не смотря на то что binary вроде поддерживается, версию компилятора видюшного firmware не определил. А я уже на халяву понадеялся :)

Не знаю, как в линусовой, но в виндовой версии есть мануал по созданию сигнатур (\SDK\How to create signatures(RU).pdf), если что.

Когда–то была годная тулза. Не такая годная, как PEiD, но вполне себе на уровне. Затем Hellsp@wn перестал ей заниматься. В 2013 исходники отдали левому чудаку, который ничего, кроме как портить проекты, переписывая их на Qt, не умеет. И в реверсинге ничем толковым тоже не отметился.

Результат очевиден. Из крошечной (несколько сотен килобайт), программа превратилась в огромного уродливого монстра, насквозь завязанного на Qt. Опенсорсом тоже не пахнет — на гитхабе лежат сигнатуры, визуальные темы, тексты хелпа, ит.д. В общем что угодно, кроме сырцов. Не знаю, жлобство это или условие оригинального автора.

Тем не менее, на выходе невероятно жирная (для крякерской тулзы), мерзкая проприетарщина. Пилится она уже год, но всё полезное (новые сигнатуры, плагины под другие тулзы), судя по чейнджлогу, делается силами сообщества, а не автора, сидящего на сырцах.

Когда–то была годная тулза. Не такая годная, как PEiD, но вполне себе на уровне.

Peid очень древняя и никому не нужная тулза.

Вообще-то, должно быть detect it easily, ибо easy - прилагательное.

В 2013 исходники отдали левому чудаку, который ничего, кроме как портить проекты, переписывая их на Qt, не умеет. И в реверсинге ничем толковым тоже не отметился.

Дай угадаю - он тебя лично обидел?

Не угадал. Обидно что отдали левому человеку.

Но до этого натыкался на творчество этого же чудака по переписыванию TICQLib на C++/Qt — и ещё тогда грязно выматерился.

Но до этого натыкался на творчество этого же чудака по переписыванию TICQLib на C++/Qt — и ещё тогда грязно выматерился.

О программе

PeStudio - полезная портативная программа, предназначенная для анализа исполняемых файлов в Windows с антивирусной проверкой на Virustotal непосредственно перед их запуском

Что нового

Новое в версии 9.20 :

Новое в версии 9.00 :

Добавлена проверка, что временная метка компилятора не выходит за пределы диапазона временной метки сертификата
Добавлено обнаружение тактики митры (Mitre tactics)
Добавлен просмотр митры (Mitre view)
Исправления ошибок

Системные требования

Полезные ссылки

Подробное описание

PeStudio - инструмент, который сканирует программы в поисках релевантной информации, строковых значений и ресурсов и отображает всю собранную после анализа информацию.

Кроме локальных проверок, программа запрашивает данные сервиса Virustotal об анализируемом исполняемом объекте. Программа также включает расширенную поддержку Virustotal, а именно отображение баллов жестко закодированных URL-адресов и технологию автоматического обновления баллов.

Данная поддержка добавляет программе еще одну полезную функцию - обнаружение вредоносной программы, перед ее запуском в системе. Даже если сама программа может быть признана безопасной, URL-адрес к которому она подключается может быть расценен как вредоносный.

В то время как пользователь может использовать PeStudio для анализа любых видов файлов, самым удобным способом проверки является перетаскивание требуемого файла в интерфейс программы с помощью технологии "drag and drop".

Большая часть проверок не займет много времени, а результаты будут показаны незамедлительно в интерфейсе PeStudio. Результаты сервиса VirusTotal отображаются сразу после сводки основных индикаторов файла.

Параметры, которые сигнализируют об опасности отображаются красным или оранжевым для привлечения внимания пользователя.

Полученные данные являются сугубо техническими и могут быть мало полезны для обычных пользователей. Тем не менее, программа является полезной как минимум благодаря портативности и небольшому размеру. Даже если просто использовать инструмент для проверки на VirusTotal - это гораздо быстрее и удобнее проверки на официальном сайте сервиса или при использовании сторонних приложений, предлагающих подобные проверки.

Отладчики (debugger), декомпиляторы и дизассемблеры - все для отладки и изучения исходного кода программ.

Мультипроцессорный дизассемблер работающий под Windows, Linux и Мас.

Интегрированная среда разработки, предназначенная для создания AVR-приложений.

OllyDbg 2.0 – это отличный Win32 отладчик с огромным количеством необходимых функций, плагинов и настроек.

Расширение для Firefox, которое позволяет исследовать самые глубокие стороны и углы DOM (объектная модель документов).

Программа, предназначенная для сбора информации об исполняемых файлах.

Syser Kernel Debugger- очень мощный отладчик уровня ядра, предназначен для сборки и отладки исходного кода.

Это средство, которое представляет собой один из лучших отладчиков программ.

Программа для анализа и редактирования EXE, DLL файлов.

Среда для всестороннего автоматизированного тестирования Windows, NET, Java и веб-приложений

Бесплатная программа автоматического перевода, позволяющая логировать все операции, написанная на языке Java.

Программа для отслеживания данных передаваемых между USB носителями и компьютером.

PE Explorer - приложение, предназначенное для редактирования и просмотра системных, исполняемых и прочих файлов в форматах SCR, DPL, BPL, CPL, OCX, DRV, EXE, DLL, SYS и т.д.

Hex Editor - редактор, предназначенный для работы с шестнадцатеричным и двоичным кодом.

Программа, предназначенная для сравнения программного кода, предназначенная для программистов и веб-дизайнеров.

Аналитическая утилита и графический клиент, основанный на CQP и R коэффициентах.

Virtual Serial Port ActiveX Control - приложение, позволяющее создавать виртуальные серийные порты и контролировать их.

Программа, которая позволяет отслеживать содержимое блоков памяти в ключе выбранного процесса.

Меленькая программа для мониторинга, контроля и убивания процессов, запущенных в операционной системе.

Программа для тестирования и отладки передачи данных по протоколу RS232.

Инструмент для проверки программ, который помогает в обнаружении тонких ошибок в заимодействии с системой.

Инструмент для просмотра информации о внезапно зависшей программе.

Программа, позволяющая узнать подробнейшую информацию о любом приложении, без необходимости его запуска.

Программа, которая отображает все экспортируемые функции и информацию о них из выбранных пользователем DLL библиотек.

Системная утилита, отслеживающая работу процессов программ, запущенных в операционной системе.

Приложение, предназначенное для оптимизации кода HTML документов.

Deleaker Add-in for Visual C++ - расширение для Visual Studio 2003-2005, позволяющее проводить анализ ошибок программирования и выяснять причины утечек памяти.

Программа для отслеживания всех записей в реестре, которые выполняет выбранный процесс.

Генератор отчетов, предназначенный для разработчиков программного обеспечения, работающим с Microsoft Visual Studio.

Программа для мониторинга всех файлов, с которыми взаимодействует отдельно выбранный процесс.

Программы из данного раздела помогут определить, чем скомпилирована/упакована программа.

Detect it Easy 0.6 4 (Freeware, ENG , 959.8 КБ) - скачать

Анализатор DiE предназначен для определения типа пакера/протектора/компилятора у ЕХЕ-файлов. Т.е. позволяет узнать,
чем же сжат файл, что необходимо для дальнейшей распаковки. Также программа имеет ряд полезных функций, таких как просмотр импорта, просмотр секций, просмотр HEX, дизассемблирование файла, просмотр основных характеристик ЕХЕ, получение хеша MD 5, получение CRC-32, поддержка плагинов (PDK можно скачать с официального сайта программы).

Exeinfo PE 0.0. 2 . 3 (Freeware, ENG, 344 КБ) - скачать

Анализатор, обладающий очень полезным свойством - показывает, помимо информации о протекторе, также информацию о том, с помощью каких программ его можно снять. База сигнатур, правда, меньше, чем, например, в PEiD.

FastScanner 2.1 (Freeware, ENG, 577 КБ) - скачать

Анализатор от арабских разработчиков из команды AT4RE. Часто выходят обновления сигнатур.

Flashback Best Analisator 1. 6 .0 (Freeware, ENG, 904 КБ) - скачать

Анализатор, имеющий базу сигнатур по компиляторам, протекторам, упаковщикам, даже некоторым вирусам и дающий рекомендации по распаковке/декомпиляции файлов. Есть 9 встроенных плагинов.

Может показывать импорт, ресурсы, информацию о TLS, основные характеристики файла, CRC-32, просматривать секции и HEX, дизассемблировать файл, подсчитывать энтропию файла. Некоторые антивирусы могут реагировать на плагин smartovr.dll , однако никакой вредоносной программы в нём не содержится. В случае таких ложных срабатываний отправляйте проблемный файл разработчикам антивируса.

PEiD 0.95 (Freeware, ENG, 3.47 МБ) - скачать

Один из самых популярных анализаторов исполняемых файлов. Хорошо определяет многие упаковщики и протекторы. Есть три уровня глубины сканирования, возможность сканирования в памяти и по всем вложенным папкам. Официальный релиз PEiD 0.94 от 10 мая 2006, вся самая свежая база внешних сигнатур и плагинов.

PEPirate 0.51 (Freeware, ENG , 80.0 КБ) - скачать

Особенности программы: написана на Ассемблере; точность определения упаковщика/протектора/компилятора 95-99%; при сканировании проходят сразу три фазы: normal scan, deep scan, hard scan; может сканировать директории; с помощью Entropy.dll можно выяснить запакован ли файл (demo-версия); может отыскать OEP файла (demo-версия).

ProtectionID 0.6.4 (Freeware, ENG , 512 КБ) - скачать

Хорошая программа для определения протекторов и упаковщиков. Умеет определять некоторые популярные защиты игр от копирования (Safedisc, CD Lock, Starforce и др.).

RDG Packer Detector 0.6.6 (Freeware, SPA/ENG/RUS , 1.62 МБ) - скачать

Читайте также: