Рецензионната статия е копирана (нагло) от сайта fiks-ru.net
PEiD 0,95
PEiDе най-популярният анализатор на изпълними файлове. Най-новата версия 0.95 от ноември 2008 г. Анализът се извършва според вътрешната и външната сигнатурна база, има няколко нива на сканиране от бързо до дълбоко, можете да обработвате цели каталози. Функционалността се разширява лесно чрез външни плъгини, подписите се съхраняват в отделен текстов файл, така че можете лесно да добавите свои собствени там. Написана е специална програма за работа с базата за подписи PEiDSO... За разработчиците на плъгини комплектът идва с SDK с примери на различни езици за програмиране и описания на API. Извън сайта на програмата нареди кампанията да живее дълго време, но във всеки случай е по-добре да я изтеглите тук, тъй като в противен случай ще трябва сами да събирате необходимия набор от плъгини и подписи, но тук тя е прилично оборудвана .
Ръководството за PEiD може да се прочете
DiE 0.65 Рус
Открийте го лесно (DiE), вътрешна разработка, преведох най-новата версия 0.65 на руски в свободното си време (ако не ви харесва преводът, изхвърлете файла DiE.RU от директорията - той ще бъде Eng). Към версия 0.65 е добавен емулатор. Подобно на PEiD, но основният акцент е върху собствените евристични анализатори и едва след това върху анализа на подписите. Програмата също така предоставя някои полезни функции: преглед на импортирания, секции, преглед на файл в шестнадесетичен режим, дизассемблер, преглед на основните характеристики на PE, получаване на хеш MD5 и CRC-32. Функционалността е разширена с плъгини.
Програма извън сайта
DiE (Откривай го лесно) 0,70 алфа 12
Актуализиране DiE (Detect it Easy) до версия 0.70... Програмата е напълно пренаписана - по-рано беше в Borland Delphi, а сега в Microsoft Visual C ++. В тази връзка считам за неуместно да го превеждам допълнително на руски, тъй като няма да дадете дъмп и вероятно не трябва да „измъчвате“ твърдо кодирани редове в HEX редактор. Извън сайта на програмата вече се намира. Можете да изтеглите новата версия директно от извън сайта (не я добавих в архива).
P.S. Благодаря на приятел от exelab.ru за предоставянето на информация за новата версия.
ExeInfo PE 0.0.3.2
ExeInfo PEсъщо много подобен на PEiD, най-новата версия 0.0.3.2 от 11 септември 2012 г. Вградени подписи (667 броя). Програмата има интересна функция: ако е дефиниран протектор, тогава тя дава информация за това какъв инструмент можете да използвате, за да опитате да го разопаковате. За начинаещи тази информация ще бъде много полезна. Също полезни инструменти включват извличане на архиви от SFX модули, търсене на текстови низове, извиквания в регистъра, OEP корекция и други. Можете да го изтеглите от офсайта. Също така от външния сайт можете да изтеглите адаптер за добавка за PEiD и DiE, който ви позволява да сканирате файлове чрез ExeInfo PE.
PE-Scan 3.31
Пе-сканиранеот snyper, последна версия 3.31, извън сайта престана да съществува. С минимален размер, програмата има страхотни възможности. Това е евристичен и сигнатурен анализатор на изпълними файлове, разопаковчик на някои пакети, динамично OEP търсене. В допълнение към изброените инструменти, Pe-Scan има уникален вероятностен анализатор за непознати пакетиращи файлове и криптори (бутон „adv.scan“). Той показва в процентно изражение кой от известните опаковчици е подобен на изследвания неизвестен. Помага за идентифициране на конвенционални UPX опаковчици, третирани с различни скрембери и модификатори.
Шпилька PE 2.6.1.0
Stud PE, последната версия е 2.6.1.0 от 2 юни 2012 г. Много добра програма, освен че анализира с какво е опакован файлът, показва много друга полезна информация: секции, ресурси, таблици за импортиране и експортиране, DOS заглавка. HEX редакторът, вграден в Stud_PE, подчертава избраните полета на заглавката на файла, което е много удобно при анализиране на неговата структура. Има и мениджър на процеси с вграден дъмпер. Функционалността се разширява с помощта на плъгини, а плъгините от PEiD са подходящи. Описание на API и SDK за разработчици е включено в комплекта.
Идентификатор на файлов формат 1.4
Идентификатор на файлов формат- много успешна разработка на китайската антивирусна компания SUCOP, най-новата версия 1.4 от 2008г. Анализаторът работи с външни сигнатури във формат PEiD, но основната стойност е вграденият статичен разопаковчик на прости пакети. Разопаковчикът работи с технологията за виртуална машина, което означава, че всъщност не се изпълнява код, което е особено важно при разследване на зловреден софтуер. Също полезни инструменти в програмата са реконструктор за импортиране, възстановяване на изпълними файлове, калкулатор на офсет и извличане на наслагване. Ако разбирате китайски, можете да го изтеглите от офсайта, но препоръчвам да вземете тази сборка от архива в края на публикацията. В него е премахнато всичко ненужно, разопаковащият двигател е заменен с комерсиален с подобрени функции, добавена е външна база данни за сигнатури. Препоръчително е винаги да имате под ръка идентификатора на файловия формат.
Идентификатор на защита 0.6.4.1
Идентификатор за защита, последна версия 0.6.4.0 Не е лоша програма, използвана основно за анализиране на защитени CD/DVD дискове. В допълнение, той дефинира около 350 пакета, ключове, инсталатори на изпълними файлове. Не изисква допълнителни файлове, за да работи, но няма начин да добавите свои собствени подписи. В последните версии се забелязва лоша тенденция на автора да прокарва куп ненужни боклуци в помощната програма, като индикатор за натоварване на системата, мениджър на процеси, оптимизатор на паметта и други излишни неща.
RDG Packer Detector v.0.7.0
RDG Packer Detector, последна версия 0.7.0 от 27 декември 2012 г. Добра идея, но чудовищна реализация, още един пример за разработчиците в какво да НЕ превръщат програмите си. Ако разбирате грозния интерфейс, тогава в допълнение към анализатора ще получите още няколко инструмента като OEP Detector, Cryptographic Analyzer, които не работеха добре за мен. Последната версия е добавена в архива.
FastScanner v.3.0
Бърз скенерот екипа на AT4RE cracker, най-новата версия 3.0 Scanner работи с подписи от PEiD, поддържа плъгини. Добър интерфейс, но резултатът от проверката на файлове често е грешен. От полезните функции има добър редактор за PE - файлове под формата на плъгин.
Детектор на битове 2.8.5.6
Детектор на битове- нова разработка, също от Under SEH Team, последната публична версия 2.8.5.6 от юни 2012 г. В допълнение към функцията за дефиниране на компилатора и пакета, той носи няколко полезни и не особено полезни инструмента на борда.
MiTeC EXE Explorer
MiTeC EXE Explorer- малък безплатен преглед на структурата на изпълними файлове. Показва информация от заглавката на файла, таблицата за импортиране и експортиране, TLS, файлова версия, Delphi форми, дървото на ресурсите с възможност за преглед на снимки и диалози в удобна форма и тяхното записване на диск, а също така има удобна функция за търсене на текст низове във файла.
The Ultimate Hellspawn "s EXE Analyzer 0.6
EXE анализаторът на Ultimate Hellspawn- прототип анализатор DiE. Ще бъде полезен повече за събиране, отколкото за практическа употреба, защото е много остарял. Показва основните характеристики на EXE файл, евристично идентифицира някои пакети и защитници.
файл insPEctor XL
файл insPEctor XLот ViPER - старомоден анализатор от 2001 г., не е актуализиран оттогава. Евристично определя пакети и компилатори на изпълними файлове, показва основни данни от PE хедър, раздел, импорт и експорт таблици. В допълнение към анализатора, той включва няколко полезни инструмента, например добавяне на празен раздел към файл или нови функции при импортиране, калкулатор RVA към Offset, промяна на дата и час на файла, OEP пренасочване, мениджър на процеси и други. Поддържа плъгини и многоезичен интерфейс. Ще бъде полезно не само за колекцията, но и за практическа употреба.
SCANIT 1.85
SCANiT- файлов анализатор от екипа на tPORt kryakskaya. Функционалността е малка, сканира файл с помощта на подписи от PE Tools, поддържа плъгини от някакъв неизвестен формат.
PEPirate 0,51
PEPirateот kosfiz - детектор на протектори, компилатори, пакети, които могат да се използват за пакетиране на PE файлове. Написано на асемблер, може да сканира директории, да чете ентропията на файла. Често се бърка, въпреки уверенията за 95-99% точност на удара.
gAPE 1.01
gAPE- анализатор от екипа на TLG cracker. Поддържа подписи от PE Tools и плъгини от PEiD. От инструментите във файла има работещ ентропен калкулатор и калкулатор за изместване на кривата. Полезно само за колекцията.
PeStudio 7.95
Отдавна исках да пиша за програмата PeStudio, но всички ръце не стигнаха. Извън сайта на програмата се премести ==> ТУК<== версии там последнее время идут одна за одной, просто обновлять не успеваю - уже 7.95 натикало. Было немного времени, глянул у проги ресурсы на предмет локализации. В самом исполняемом файле можно разве что менюшку перекинуть, да и то смысла почти нет - на русском всего несколько слов появится (значит кириллицу до сих пор поддерживает), а вот все остальное у ней походу большей частью в файле PeStudioIndicators.xmlлъжи и когато се опитам да ги променя на руски, по принцип всички стойности, например, веднага изчезнаха, дори и без скумрия. Можете, разбира се, все още да бъдете умни - като промените кодирането от прословутия utf-8 на твърдия windows-1251 и повторно запишете документа от unicode в ANSI (можете да използвате обикновен бележник за Windows), но уви, няма време за експерименти и няма да има смисъл от тях - версиите вече скачат една по една. Накратко, всеки желаещ може да опита, но английският не ме притеснява в тази програма - и така сякаш всичко се вижда.
InspectExe
InspectExeдобавя допълнителни раздели към прозореца със свойства на изпълними файлове за преглед на раздели, таблица за импортиране, ресурси, манифест и други данни.
DNiD 1.0
DNiD- програма, подобна на PEiD, но фокусирана върху .NET приложения. Позволява ви да дефинирате десетки различни версии на компилатори, протектори, пакетиращи и обфускатори на .NET програми.
A-Ray скенер 2.0.2.2
A-Ray скенер, проектът не е актуализиран дълго време, последната версия е 2.0.2.2 от 2005г. Програмата е предназначена само за сканиране на CD / DVD дискове и открива няколко десетки защита на дискове срещу копиране. Също така дефинира някои пакети и защити на изпълними файлове.
ClonyXXL 2.0.1.5
Clony xxl- помощна програма, която определя типа защита за компактдискове. Както и предишната програма, тя не е актуализирана от доста време, последната версия е 2.0.1.5 от 2003г. Дефинира защити: SafeDisc, SecuROM, Discguard, LaserLok, Psx / Lybcrypt, Cactus Data Shield (аудио компактдискове), Блокове за заключване, CD Check, ProtectetCD-VOB, CD-Extra и защита на базата на нестандартно поставяне на информация на диска. По подразбиране интерфейсът е на немски, но в настройките се превключва на английски.
Те редактират системни конфигурационни файлове, след което системата се срива или не работи правилно. Случва се също така, че е проблематично за екипите да възстановят системата и е обезпокоително за потребителите. И преинсталиране ОС Linuxотнема много време. V Windowsима такива програми, напр. Acronis, но за съжаление тези програми не са безплатни. След търсене в интернет откри прекрасна програма, подобна на Acronis, тази програма се нарича PING (Partimage не е призрак).
Изтегли ISO изображението може да бъде тук:
Програма PINGпредназначени за дублиране и възстановяване на цели системи чрез мрежа или сменяеми носители (напр. CD, DVDили други устройства за съхранение).
Внимание! Установено е, че програмата не работи с файловата система Ext4 .
Значи сте изтеглили ISO изображение и го запишете на диск.
Създайте изображение
Сега нека преминем през създаването на копие на вашата система стъпка по стъпка.
Инсталирайте диска и рестартирайте компютъра. Естествено, в BIOSтрябва да си първичен CDили DVDдиск.
Програма PINGе зареден.
Натиснете Въведетеза да започнете.
В следващия прозорец четем предупреждението. Същността на това предупреждение е, че ако решите да възстановите твърд диск от изображение, тогава всички данни на този компютър може да бъдат загубени безвъзвратно по време на процеса на възстановяване. Все още можете да прекъснете този процес.
Натиснете Въведетеза да продължим нашия процес.
В следващия прозорец трябва да изберете действието на програмата след края на процеса на създаване на изображение:
Вземете обвивка (корен)- влизане в обвивката (root);
Рестартирайте системата- рестартирайте системата;
Изключвам- изключвам.
Избираме артикул курсорните клавиши и натиснете Въведете.
В следващия прозорец трябва да изберете къде искате да запазите изображението или да го вземете за възстановяване. Тук се разглеждат две опции, локална и мрежова.
В тази статия ще разгледаме създаването на локално изображение, което означава, че избираме и щракнете Въведете.
В следващия прозорец, който се отваря, можете да видите всички налични секции.
Използвайте курсорните клавиши, за да изберете дяла, който искаме да архивираме. Изборът се прави с интервал.
Натискаме Въведете.
В следващия прозорец изберете името на директорията, където избрахме да запазим "\" (наклонена черта без кавички).
В следващия прозорец в списъка с налични изображения за възстановяване изберете елемента и щракнете Въведете.
В следващия прозорец въведете произволно името на директорията. Ще бъде създадена директория с това име и вече ще съдържа архивните файлове. В този случай го нарекохме копие.
# и щракнете Въведете.
В следващия прозорец избираме как да компресираме или не компресираме нашето изображение, тук действайте произволно по ваша преценка. В този пример сме избрали компресия gzip ... Трябва да се отбележи, че запазването без компресия, т.е. избор на артикул няма компресия , значително ще ускори процеса на създаване на изображение, но ще увеличи размера, което означава, че ще заеме повече място на вашия твърд диск или друг носител. Натиснете Въведете.
Тук избираме и щракнете Въведете.
В следващия прозорец изберете елемента # и щракнете Въведете.
Сега ще трябва да изчакате няколко минути, докато програмата създаде резервно копие (образ) на вашия дял.
Възстановяване на данни от изображение
Сега нека разгледаме как да възстановим вашата система от резервно копие стъпка по стъпка.
Вмъкване CDили DVDдиск и рестартирайте компютъра си.
Програма PINGе зареден.
Чакаме. Натиснете Въведетеза да започнете.
Четем предупреждението и щракваме Въведетеда продължим по-нататък.
