Статья-обзор скопирована (нагло) с сайта fiks-ru.net
PEiD 0.95
PEiD - самый популярный анализатор исполняемых файлов. Последняя версия 0.95 от ноября 2008 года. Анализ производится по внутренней и внешней базе сигнатур, есть несколько уровней сканирования от быстрого до глубокого, можно обрабатывать целые каталоги. Функционал легко расширяется внешними плагинами, сигнатуры хранятся в отдельном текстовом файле, так что вы легко можете добавлять туда свои собственные. Для работы с базой сигнатур написана специальная программа PEiDSO . Разработчикам плагинов в комплекте прилагается SDK с примерами на разных языках программирования и описанием API. Офф-сайт программы походу приказал долго жить , но в любом случае скачать его лучше здесь, так как иначе нужный набор плагинов и сигнатур вам пришлось бы собирать самим, а здесь он прилично укомплектован.
Руководство по PEiD можно прочесть
DiE 0.65 Rus
Detect it Easy (DiE) , отечественная разработка, последнюю версию 0.65 я перевел на досуге на русский (если не нравится перевод - выкиньте файл DiE.RU из директории - будет Eng). В версию 0.65 был добавлен эмулятор. Похожа на PEiD, но основной упор делается на собственные эвристические анализаторы, а уже потом на сигнатурный анализ. Также программа предоставляет некоторые полезные функции: просмотр импорта, секций, просмотр файла в hex-режиме, дизассемблер, просмотр основных характеристик PE, получение хеша MD5 и CRC-32. Функционал расширяется при помощи плагинов.
Офф-сайт программы
DiE (Detect it Easy) 0.70 alpha 12
Обновление DiE (Detect it Easy) до версии 0.70
. Программа полностью переписана - раньше она была на Borland Delphi, а теперь на Microsoft Visual C++. В связи с чем, дальнейший ее перевод на русский считаю нецелесообразным, так как дамп уже не дашь, а "мучать" жестко кодированные строки в HEX-редакторе пожалуй не стоит. Офф-сайт программы теперь находится . Скачать новую версию можно прямо с офф-сайта (в архив не добавлял).
P.S. Спасибо товарищу с exelab.ru за предоставленную информацию о новой версии.
ExeInfo PE 0.0.3.2
ExeInfo PE
также очень похожа на PEiD, последняя версия 0.0.3.2 от 11 сентября 2012 года. Сигнатуры встроенные (667 штук). В программе есть интересная функция: если протектор определен, то она дает информацию, при помощи какого инструмента его можно попытаться распаковать. Для новичков эта информация будет очень полезна. Также из полезных инструментов есть риппер архивов из SFX-модулей, поиск текстовых строк, обращений к реестру, корректировка OEP и другие. Скачать можно с офсайта. Также с офф-сайта можно скачать плагин-переходник для PEiD и DiE, который позволяет выполнять сканирование файлов через ExeInfo PE.
PE-Scan 3.31
Pe-Scan от snyper, последняя версия 3.31, офсайт прекратил свое существование. При минимальном размере программа обладает большими возможностями. Это эвристический и сигнатурный анализатор исполняемых файлов, распаковщик некоторых пакеров, динамический поиск OEP. Кроме перечисленных инструментов в Pe-Scan есть уникальный вероятностный анализатор для незнакомых упаковщиков и шифровщиков файлов (кнопка "adv.scan"). Он показывает в процентном отношении на какой из известных ему упаковщиков похож исследуемый неизвестный. Помогает определять обычные пакеры типа UPX, обработанные различными скрэмблерами и модификаторами.
Stud PE 2.6.1.0
Stud PE
, последняя версия 2.6.1.0 от 2 июня 2012 года. Очень неплохая программа, кроме анализа чем упакован файл, показывает еще много другой полезной информации: секции, ресурсы, таблицы импорта и экспорта, DOS-заголовок. Встроеный в Stud_PE HEX-редактор подсвечивает выбранные поля заголовка файла, что бывает очень удобно при анализе его структуры. Также есть менеджер процессов со встроенным дампером. Функционал расширяется при помощи плагинов, причем подходят плагины от PEiD. Описание API и SDK для разработчиков прилагается в комплекте.
File Format Identifier 1.4
File Format Identifier
- очень удачная разработка китайской антивирусной компании SUCOP, последняя версия 1.4 от 2008 года. Анализатор работает по внешним сигнатурам в формате PEiD, но главную ценность представляет встроенный статичный распаковщик простых пакеров. Распаковщик работает по технологии виртуальной машины, то есть реально никакой код не выполняется, что особенно важно при исследовании вредоносных программ. Также из полезных инструментов в программе есть реконструктор импорта, ребилдер исполняемых файлов, offset калькулятор и извлечение оверлеев. Если разберетесь с китайским, то можете скачать с офсайта, но рекомендую взять эту сборку из архива в конце поста. В ней убрано все лишнее, движок распаковщика заменен на коммерческий с улучшенными функциями, добавлена внешняя база сигнатур. File Format Identifier рекомендуется всегда иметь под рукой.
Protection ID 0.6.4.1
Protection ID
, последняя версия 0.6.4.0 Неплохая программа, используемая в основном для анализа защищенных CD/DVD дисков. Кроме этого определяет около 350 упаковщиков, донглов, инсталляторов исполняемых файлов. Не требует для работы дополнительных файлов, но при этом нет возможности добавлять свои сигнатуры. В последних версиях замечена нехорошая тенденция автора заталкивать в утилиту кучу ненужного барахла, типа индикатора загрузки системы, менеджера процессов, оптимизатора памяти и прочих излишеств.
RDG Packer Detector v.0.7.0
RDG Packer Detector
, последняя версия 0.7.0 от 27 декабря 2012 года. Хорошая задумка, но чудовищная реализация, еще один пример разработчикам во что НЕ надо превращать свои программы. Если разберетесь в уродливом интерфейсе, то в придачу к анализатору получите еще несколько инструментов типа OEP Detector, Cryptographic Analyzer, которые у меня так нормально и не заработали. Свежая версия добавлена в архив.
FastScanner v.3.0
FastScanner
от крякерской команды AT4RE , последняя версия 3.0 Сканер работает с сигнатурами от PEiD, поддерживает плагины. Красивый интерфейс, но результат проверки файлов часто бывает ошибочным. Из полезных функций есть неплохой редактор PE - файлов в виде плагина.
Bit Detector 2.8.5.6
Bit Detector
- новая разработка, также от арабской крякерской команды Under SEH Team, последняя публичная версия 2.8.5.6 от июня 2012 года. Кроме функции определения компилятора и упаковщика несет на борту несколько полезных и не очень инструментов.
MiTeC EXE Explorer
MiTeC EXE Explorer
- небольшой бесплатный просмотрщик структуры исполняемых файлов. Показывает информацию из заголовка файла, таблицу импорта и экспорта, TLS, версию файла, формы Delphi, дерево ресурсов с возможностью просмотреть картинки и диалоги в удобном виде и сохранить их на диск, а также есть удобная функция поиска в файле текстовых строк.
The Ultimate Hellspawn"s EXE Analyzer 0.6
The Ultimate Hellspawn"s EXE Analyzer - прототип анализатора DiE. Пригодится скорее для коллекции, чем для практического применения, потому что сильно устарел. Показывает основные характеристики EXE-файла, эвристически определяет некоторые упаковщики и протекторы.
file insPEctor XL
file insPEctor XL от ViPER - старинный анализатор 2001 года, с тех пор больше не обновлялся. Эвристически определяет упаковщики и компиляторы исполняемых файлов, показывает основные данные из PE-заголовка, секции, таблицы импорта и экспорта. Кроме анализатора включает несколько полезных инструментов, например, добавление пустой секции в файл или новых функций в импорт, калькулятор RVA to Offset, смена даты и времени файла, перенаправление OEP, менеджер процессов и другие. Поддерживает плагины и многоязычный интерфейс. Пригодится не только для коллекции, но и для практического применения.
SCANiT 1.85
SCANiT - анализатор файлов от крякерской команды tPORt. Функционал небольшой, сканирует файл по сигнатурам от PE Tools, поддерживает плагины какого-то непонятного формата.
PEPirate 0.51
PEPirate от kosfiz - детектор протекторов, компиляторов, упаковщиков, которыми могут быть запакованы PE-файлы. Написан на ассемблере, может сканировать директории, считать энтропию файла. Часто ошибается, несмотря на заверения о 95-99% точности попадания.
gAPE 1.01
gAPE - анализатор от крякерской команды TLG. Поддерживает сигнатуры от PE Tools и плагины от PEiD. Из инструментов есть работающий калькулятор энтропии и кривой калькулятор смещений в файле. Пригодится разве что для коллекции.
PeStudio 7.95
Давно хотел написать о программе PeStudio , да все руки не доходили. Офф-сайт программы переехал ==>СЮДА<== версии там последнее время идут одна за одной, просто обновлять не успеваю - уже 7.95 натикало. Было немного времени, глянул у проги ресурсы на предмет локализации. В самом исполняемом файле можно разве что менюшку перекинуть, да и то смысла почти нет - на русском всего несколько слов появится (значит кириллицу до сих пор поддерживает), а вот все остальное у ней походу большей частью в файле PeStudioIndicators.xml лежит, и при попытке сменить их на русские у меня вообще все значения например сразу пропали даже без крякозябров. Можно конечно еще помудрить - типа сменить кодировку с пресловутой utf-8 на жесткую windows-1251 и пересохранить документ из юникода в ANSI (можно обычным виндовским блокнотом) но время на эксперименты увы нет, да и толку то от них мало будет - версии сейчас скачут одна за одной. Короче кому интересно могут попробовать, а мне и английский в этой проге не мешает - и так все вроде видно.
InspectExe
InspectExe
добавляет в окно свойств исполняемых файлов дополнительные вкладки для просмотра секций, таблицы импорта, ресурсов, манифеста и других данных.
DNiD 1.0
DNiD - программа аналогичная PEiD, но ориентированная на.NET приложения. Позволяет определять несколько десятков различных версий компиляторов, протекторов, упаковщиков и обфускаторов.NET программ.
A-Ray Scanner 2.0.2.2
A-Ray Scanner , проект давно не обновлялся, последняя версия 2.0.2.2 от 2005 года. Программа предназначена только для сканирования CD/DVD-дисков и определяет несколько десятков защит дисков от копирования. Также определяет некоторые упаковщики и протекторы исполняемых файлов.
ClonyXXL 2.0.1.5
Clony XXL - утилита определяющая тип защиты компакт-дисков. Как и предыдущая программа, давно не обновлялась, последняя версия 2.0.1.5 от 2003 года. Определяет защиты: SafeDisc, SecuROM, Discguard, LaserLok, Psx/Lybcrypt, Cactus Data Shield (Audio CDs), Lock Blocks, CD Check, ProtectetCD-VOB, CD-Extra и защиты, основанныю на нестандартном размещении информации на диске. По умолчанию интерфейс на немецком языке, но в настройках переключается на английский.
Редактируют системные конфигурационные файлы, после чего система падает или работает некорректно. Бывает и так, что и командами проблематично восстановить систему, да и хлопотно это для пользователей. А переустановка ОС Linux занимает немало времени. В Windows есть такие программы, например, Acronis , но к сожалению эти программы не бесплатны. После поисков в Internet обнаружили чудесную программу, аналогичную Acronis , эта программа называется PING (Partimage Is Not Ghost) .
Скачать ISO образ можно здесь:
Программа PING предназначена для дублирования и восстановление целых систем через сеть или сменный носитель (например, CD , DVD или другие устройства хранения).
Внимание! Обнаружено, что программа не работает с файловой системой Ext4 .
Итак вы скачали ISO образ и записали его на диск.
Создание образа
Теперь рассмотрим создание копии вашей системы пошагово.
Устанавливаем диск и перезагружаем компьютер. Естественно, в BIOS первичным у вас должен стоять CD или DVD диск.
Программа PING загружается.
Нажимаем Enter (Ввод) ,чтобы приступить.
В следующем окне читаем предупреждение. Суть этого предупреждения состоит в том, что если вы решили восстановить жесткий диск из образа, то все данные, содержащие на этом компьютере могут быть потеряны безвозвратно в процессе восстановления. Вы еще можете прервать этот процесс.
Нажимаем Enter (Ввод) ,чтобы продолжить наш процесс.
В следующем окне необходимо выбрать действие программы после окончания процесса создания образа:
Get a shell (root)
- вход в оболочку (root);
Reboot the system
- перезагрузить систему;
Shutdown
- выключить.
Мы выбираем пункт курсорными клавишами и жмем Enter (Ввод) .
В следующем окне предстоит выбрать, где вы хотите сохранять образ или взять образ для восстановления. Здесь рассматривается два варианта локальный и сетевой.
В данной статье мы будем рассматривать создание локального образа, значит выбираем и жмем Enter (Ввод) .
В следующем открывающемся окне можно увидеть все доступные разделы.
Курсорными клавишами выбираем раздел, который хотим забэкапить. Выделение делается пробелом.
Жмем Enter (Ввод)
.
В следующем окне выбираем название каталога, куда сохранять мы выбрали « \ »(слеш без кавычек).
В следующем окне в списке доступных образов для восстановления выбираем пункт и жмем Enter (Ввод) .
В следующем окне вводим произвольно имя каталога. Будет создан каталог с этим именем, а в нем уже будут находится файлы бэкапа. В данном случае мы назвали его copy.
No и жмем Enter (Ввод) .
В следующем окне мы выбираем как сжимать или не сжимать наш образ, здесь действуйте произвольно на ваше усмотрение. В данном примере мы выбрали сжатие gzip . Необходимо отметить, что сохранение без сжатия, т.е. выбор пункта no compression , значительно ускорит процесс создания образа, но увеличит размер, а значит займет больше места на жестком диске или другом носителе. Нажимаем Enter (Ввод) .
Здесь выбираем и жмем Enter (Ввод) .
В следующем окне выбираем пункт No и жмем Enter (Ввод) .
Теперь вам прейдется подождать несколько минут пока программа создает бэкап (образ) вашего раздела.
Восстановление данных из образа
Теперь рассмотрим восстановление вашей системы из бэкапа пошагово.
Вставляем CD
или DVD
диск и перезагружаем компьютер.
Программа PING
загружается.
Ждем. Нажимаем Enter (Ввод) ,чтобы приступить.
Читаем предупреждение и жмем Enter (Ввод) , чтобы продолжить дальше.
