Hex Editor Neo je bezplatná verzia editora hexadecimálnych a binárnych súborov, ktorá umožňuje úpravy veľkých objektov. Po vykonaní úprav umožňuje viacnásobné vrátenie / vrátenie späť. Okrem toho sú zabudované pohodlné nástroje na vyhľadanie a nahradenie údajov.
Hex Editor Neo má schopnosť vyberať, prezerať, upravovať, nahrádzať, ladiť a analyzovať údaje. Dôležitou kvalitou programu je schopnosť otvárať viac súborov súčasne (podpora kariet). Napríklad v editore môžete vytvoriť záplaty do súboru iba dvoma kliknutiami.
Manipulujte so svojimi súbormi EXE, DLL, DAT, AVI, MP3, JPG s neobmedzeným počtom krokov späť a znova. História vykonanej práce vyzerá v stromovej podobe, k požadovanému alebo pôvodnému typu údajov sa môžete kedykoľvek ľahko vrátiť.
Hex Editor Neo funkcie
- Úpravy binárnych súborov ľubovoľnej veľkosti najvyššou rýchlosťou
- Nájdite a nahraďte údaje v binárnych súboroch
- Písanie programov pre mikrokód
- Preskúmanie funkčnosti ľubovoľného spustiteľného súboru
Dobrý deň všetkým.
Z nejakého dôvodu veľa ľudí verí, že práca s editormi hex je veľa profesionálov a začínajúci používatelia by sa do nich nemali miešať. Ale podľa môjho názoru, ak máte aspoň základné počítačové zručnosti a viete si predstaviť, prečo potrebujete hexadecimálny editor, tak prečo nie?!
Pomocou programu tohto druhu môžete meniť ľubovoľný súbor bez ohľadu na jeho typ (veľa príručiek a príručiek obsahuje informácie o tom, ako zmeniť konkrétny súbor pomocou hexadecimálneho editora)! Je pravda, že používateľ musí mať aspoň základné znalosti o hexadecimálnom systéme (sú v ňom zastúpené údaje v hexadecimálnom editore). Základné vedomosti o nej sú však dané na hodinách informatiky v škole a pravdepodobne o nej mnohí počuli a majú o nej predstavu (preto ju nebudem v tomto článku komentovať). Tu sú teda najlepšie hexadecimálne editory pre začiatočníkov (podľa môjho skromného názoru).
1) Zadarmo Hex Editor Neo
Jeden z najjednoduchších a najbežnejších editorov hexadecimálnych, desatinných a binárnych súborov v systéme Windows. Program umožňuje otvoriť akýkoľvek typ súboru, vykonávať zmeny (história zmien sa ukladá), je vhodné súbor vyberať a upravovať, ladiť a analyzovať.
Za zmienku tiež stojí veľmi dobrá úroveň výkonu spojená s nízkymi systémovými požiadavkami na zariadenie (napríklad program umožňuje otvárať a upravovať pomerne veľké súbory, zatiaľ čo ostatní editori jednoducho zamrznú a odmietnu pracovať).
Program okrem iného podporuje ruský jazyk, má premyslené a intuitívne rozhranie. Aj začínajúci používateľ to môže zistiť a začať s obslužným programom pracovať. Všeobecne to odporúčam každému, kto sa začína oboznámiť s hex editormi.
2) WinHex
Tento editor, bohužiaľ, je shareware, ale je jedným z najuniverzálnejších, podporuje množstvo rôznych možností a schopností (niektoré z nich je ťažké nájsť od konkurencie).
V režime editora disku vám umožní pracovať s: HDD, disketami, flash diskami, DVD, ZIP diskami atď. Podporuje systémy súborov: NTFS, FAT16, FAT32, CDFS.
Nemôžem nespomenúť pohodlné nástroje na analýzu: okrem hlavného okna môžete pripojiť ďalšie s rôznymi kalkulačkami, nástrojmi na vyhľadávanie a analýzu štruktúry súborov. Všeobecne je vhodný pre začiatočníkov aj skúsených používateľov. Tento program podporuje ruštinu ( vyberte nasledujúcu ponuku: Pomocník / Nastavenie / Ruština ).
WinHex vám okrem najbežnejších funkcií (ktoré podporujú podobné programy) umožňuje „klonovať“ disky a mazať z nich informácie, aby ich už nikto nikdy nemohol obnoviť!
3) HxD Hex Editor
Zadarmo a celkom výkonný binárny editor. Podporuje všetky hlavné kódovania (ANSI, DOS / IBM-ASCII a EBCDIC), súbory takmer akejkoľvek veľkosti (mimochodom, editor umožňuje okrem súborov aj editovať RAM, priamo zapisovať zmeny na pevný disk!).
Je tiež možné poznamenať dobre premyslené rozhranie, pohodlnú a jednoduchú funkciu hľadania a nahradenia údajov, postupný a viacúrovňový systém zálohovania a vrátenia zmien.
Po spustení sa program skladá z dvoch okien: vľavo je hexadecimálny kód a v pravej časti je textový preklad a obsah súboru.
Z mínusov by som vyzdvihol absenciu ruského jazyka. Mnoho funkcií však bude pochopiteľných aj pre tých, ktorí nikdy neštudovali angličtinu ...
4) HexCmp
HexCmp - tento malý nástroj kombinuje 2 programy naraz: prvý umožňuje vzájomné porovnanie binárnych súborov a druhý je hexadecimálny editor. Toto je veľmi cenná možnosť, keď potrebujete nájsť rozdiely v rôznych súboroch, pomáha vám preskúmať rôzne štruktúry najrôznejších typov súborov.
Mimochodom, miesta po porovnaní môžu byť tieňované inou farbou, podľa toho, kde sa všetko zhoduje a kde sú iné údaje. Porovnanie sa deje za pochodu a veľmi rýchlo. Program podporuje súbory do veľkosti 4 GB (dosť pre väčšinu úloh).
Okrem obvyklého porovnania môžete vykonať porovnanie aj v textovej verzii (alebo dokonca v oboch naraz!). Program je dostatočne flexibilný, umožňuje vám prispôsobiť farebnú schému, určiť tlačidlá skratiek. Ak program správne nakonfigurujete, potom s ním môžete pracovať vôbec bez myši! Všeobecne to odporúčam všetkým začínajúcim „dámam“ hexadecimálnych editorov a štruktúr súborov.
5) Hex Workshop
Niekedy je nevyhnutné vykonať zmeny v binárnom súbore. Na to sa používajú takzvané hex editory. Účelom tejto príručky je popísať základné metódy práce s nimi a odpovedať na najčastejšie kladené otázky.
Voľba editora
Spravidla vyvstáva úplne prvá otázka: ktorý editor si vybrať z rôznych existujúcich. Ak chcete zmeniť niekoľko bajtov, môžete bezpečne použiť ľubovoľný, ale pri častom alebo dlhodobom používaní musí program podporovať všetky požadované funkcie, byť pohodlný, rýchly a spoľahlivý. Na základe toho môžeme odporučiť použitie napríklad QView. Okrem vyššie uvedených vlastností obsahuje:
- Funguje v systéme DOS a Windows
- Obsahuje inline assembler a disassembler
- Podporuje DOS-866, Win-1251, KOI-8r a užívateľom definované textové kódovanie
- Má rozsiahle možnosti prispôsobenia
- Zadarmo a otvorený zdroj
Môžete si ho stiahnuť na domovskej stránke projektu: http://www.agcproduct.com/rus/products/qview/.
Hlavné okno QView sa skladá z záhlavia (hore), pracovnej oblasti a lišty softvérových klávesov (dole). Na ovládanie slúži klávesnica a myš. QView vám umožňuje pracovať s údajmi v textovom režime, v režime hexadecimálneho výpisu a v režime demontáže. Režimy sa postupne prepínajú stlačením klávesu Enter alebo F4 (alebo kliknutím ľavého tlačidla myši na nadpis v oblasti symbolov AV / HV / 00). Režimy prezerania a úpravy sa prepínajú stlačením klávesov Alt-F3 (v textovom režime - iba F3). Režimy nainštalované po spustení závisia od nastavení, ktoré sú uložené v súboroch qview.ini, qview.fmg, qview.ehl a na ktorých zmene je v balíku špeciálny program - Q-Setup. Kontextovú pomoc na použité klávesy vyvoláte stlačením klávesu F1.
Súbor môžete otvoriť v editore zadaním jeho názvu ako parametra príkazového riadku: qview.exe
Najjednoduchšia úprava
Najjednoduchšou úlohou pri úprave binárnych súborov je nahradiť hodnotu bajtu na posunutí XXXXXXXX hodnotou YY. Ak to chcete urobiť, po otvorení súboru v editore stlačte kláves Enter a prepnite zobrazenie do režimu výpisu. V pracovnej oblasti zobrazuje ľavý stĺpec hodnotu posunu, v strednej časti - hodnoty bajtov v hexadecimálnom tvare, vpravo - rovnaké hodnoty vo forme znakov ASCII.
Ak chcete umiestniť kurzor na požadovaný posun, stlačte kláves F5 (alebo kliknite do hlavičky myšou na riadok čísel označených červenou farbou), zadajte hodnotu posunu a stlačte kláves Enter. Pokiaľ nebol povolený režim úprav, stlačte Alt-F3 (v takom prípade sa na paneli klávesov zobrazí nápis „Edit ON“). Potom môžete v súbore vykonať zmeny zadaním bajtových hodnôt v šestnástkovej sústave alebo presunutím kurzora do pravého stĺpca stlačením klávesu TAB vo forme znakov. Kurzor sa umiestňuje pomocou bežných ovládacích klávesov alebo myši.
Ak chcete zrušiť vykonané zmeny, umiestnite kurzor na miesto chyby a niekoľkokrát stlačte kláves F3. Zmeny pri výstupe môžete uložiť stlačením W alebo násilným stlačením Alt-F9.
Nájdite a vymeňte
QView podporuje hľadanie konkrétnych bajtov alebo reťazcov v súbore a vyhľadávanie podľa masky. Dialógové okno vyhľadávania sa vyvolá stlačením klávesu F7. Reťazec môžete zadať do poľa ASCII ako znaky a do poľa HEX hexadecimálne. Kliknutím myši môžete určiť smer vyhľadávania („Vpred / vzad“), povoliť možnosti rozlíšenia znakov pri vyhľadávaní znakov („Citlivé“) alebo podľa masky („Maskovanie“). V druhom prípade sa znak „?“ maskuje zodpovedajúci bajt v reťazci. Napríklad pri vyhľadávaní výrazu „w? R?“ nájdu sa slová červ, teplý, boli atď. Stlačením Shift-F7 vyhľadáte ďalšiu zhodu.
Ak chcete vyhľadať a nahradiť, stlačte Ctrl-F7. V hornej časti okna zadáte reťazec alebo vzor na vyhľadávanie, v dolnej časti - náhradný reťazec.
Vytváranie a používanie súborov crack
Crack súbory sú najbežnejším spôsobom zaznamenávania zmien do binárnych súborov. V štandardnom formáte pozostávajú z troch stĺpcov: posunutie vzhľadom na začiatok upravovaného súboru, hodnota bajtu pred zmenou a jeho hodnota po zmene:
00000150: 89 B8 00000151: 1E 03 00000152: F6 00 00000153: 10 CD 00000154: 83 10
Niekedy sa na začiatok pridá komentár, ktorý začína znakom „#“.
Ak chcete v QView uložiť zmeny vykonané v súbore ako súbor s crackom, stlačte Shift-F9, do zobrazeného okna zadajte názov súboru a stlačte Enter. Ak chcete vykonať zmeny v hotovom súbore s crackmi, stlačte Ctrl-F8, okno, ktoré sa otvorí, preskočte stlačením klávesu Enter (môžete v ňom nastaviť ďalší ofset, ktorý sa zriedka používa), v ďalšom okne zadajte názov súboru s crackom a stlačte znova kláves Enter. Dôležitá poznámka: okamžite po tomto sa zmeny zapíšu do súboru a automaticky sa uložia. Nie je potrebné prepínať program do režimu úprav. Ak sa pri vykonávaní zmien zobrazí chybové hlásenie, potom buď formát súboru nezodpovedá štandardu, alebo oprava nezodpovedá súboru (bajty „pred zmenou“ sa nezhodujú).
Práca s blokmi
Niekedy je potrebné uložiť časť binárneho súboru, napríklad z neho skopírovať textové riadky. Ak chcete pracovať s blokmi, editor musí byť v režime výpisu alebo demontáže. Požadovaný blok vyberiete tak, že umiestnite kurzor na jeho začiatok, stlačte kláves Vložiť, potom umiestnite kurzor na koniec bloku a znova stlačte Vložiť. Blok je zvýraznený žltou farbou.
Ak chcete uložiť blok do súboru, stlačte Shift-F2, v zobrazenom okne zadajte názov a formát uloženého súboru (vo forme kódu - „ako je“, výpis alebo text zostavy) a stlačte kláves Enter.
Pri vkladaní bloku zo súboru vyberte blok rovnakým spôsobom, stlačte Shift-F3 a v okne, ktoré sa otvorí, zadajte názov zdrojového súboru. V takom prípade musí byť veľkosť vybratého bloku rovnaká alebo menšia ako veľkosť súboru. Alternatívna možnosť: nastavte kurzor na pozíciu, z ktorej sa má vloženie vykonať, stlačte Shift-F5 a v okne, ktoré sa otvorí, zadajte názov zdrojového súboru, odsadenie a dĺžku bloku v ňom, odkiaľ chcete brať údaje.
Ak chcete vymazať blok, označte ho a stlačte Shift-F4 alebo umiestnite kurzor na požadované miesto, stlačte Ctrl-F5 a zadajte počet bajtov, ktoré sa majú vymazať. Ak chcete vložiť blok s nulami na aktuálnu pozíciu, stlačte Ctrl-F4 a zadajte veľkosť bloku. Súbor môžete vymazať až na koniec začínajúci od aktuálnej polohy stlačením klávesov Alt-F10.
Po vložení bloku, ako v prípade súborov s crackom, sa zmeny uložia okamžite po vložení.
Vyhľadávanie v zostavovaní a zostavovaní
Zostavenie sa používa na vykonávanie zmien v algoritme spustiteľných súborov. QView podporuje všetky pokyny pre procesory Intel 486 a 487. V režime asemblera a disasemblera zobrazuje prvý stĺpec posun oproti začiatku súboru v prvom stĺpci, bajty inštrukcií v druhom a jeho mnemotechnické označenie v treťom. Ak chcete povoliť režim montáže, prepnite editor do režimu demontáže opakovaným stlačením klávesu Enter, povoľte režim úprav stlačením klávesov Alt-F3 a stlačením klávesu TAB presuňte kurzor na tretí stĺpec. Potom môžete zadať pokyny, z ktorých každá končí klávesom Enter.
V prípade potreby môžete rovnako ako v režime výpisu priamo zmeniť bajty v druhom stĺpci. Bitová šírka kódu 16/32 sa prepne stlačením F2. Zmeny môžete zrušiť umiestnením kurzora na riadok s chybou a niekoľkokrát stlačením klávesu F3.
Ak chcete vyhľadať konkrétne pokyny na montáž, stlačte kláves F6, zadajte inštrukciu a stlačte kláves Enter. Ďalšia zhoda sa vyhľadáva stlačením klávesov Shift-F6. Na priraďovanie vzorov možno použiť tieto špeciálne znaky:
„?“ - ľubovoľný jeden znak
„*“ - akýkoľvek podreťazec až po čiarku alebo na koniec riadku
"$" - vyhľadať číselné konštanty (umiestnené pred číslom)
"%" - preskočiť jedno slovo
„@“ - akýkoľvek podreťazec
Napríklad „sub bx, *“ - vyhľadá všetky pokyny na odčítanie z registra BX.
Ďalšie funkcie
Z užitočných doplnkových funkcií QView si môžeme všimnúť prítomnosť zabudovanej kalkulačky, ktorá sa vyvolá po stlačení Ctrl-F6. Podporuje základné aritmetické a logické bitové operácie, zátvorky na určenie priority operácií, vstup argumentov a výstup výsledku v systémoch báz 2, 8, 10, 16.
Informácie z hlavičky spustiteľného súboru môžete zobraziť stlačením klávesu F8 v režime výpisu alebo demontáže. Podporované sú súbory formátov MZ, PE, NE, LX, LE.
Po skončení cyklu s článkom „Najlepšie pentesterové nástroje“ dostala redakcia veľa listov so žiadosťou o výber hexadecimálnych editorov. Samozrejme nejde o možnosť upravovať binárne údaje, ale o ďalšie funkcie, ako je automatické rozpoznávanie dátových štruktúr a demontáž kódu. Aby sme urobili prehľad, zistili sme názory ľudí, ktorí si s takýmito nástrojmi musia najčastejšie pohrávať - \u200b\u200bvírusovými analytikmi. A to nám povedali.
Akýkoľvek editor hexadecimálnych súborov vám umožňuje preskúmať a upraviť súbor na nízkej úrovni a pracovať s bitmi a bajtmi. Obsah súboru je uvedený v šestnástkovej forme. Toto je základná funkčnosť. Niektorí redaktori však ponúkajú používateľom oveľa viac, čo im umožňuje v skutočnosti zistiť, čo je v tej nepochopiteľnej množine znakov, ktorá sa objaví pri otvorení súboru. Za týmto účelom sa automaticky extrahujú reťazce ASCII a Unicode, prehľadávajú sa známe vzory, rozpoznávajú sa základné dátové štruktúry a oveľa viac. Existuje pomerne veľa hexadecimálnych editorov, ale ak sme sa rozhodli ich zvážiť v kontexte skúmania vzoriek škodlivého softvéru, je ľahké niektoré z nich zvýrazniť. Len niektoré z nich sú skutočne užitočné na analýzu škodlivého kódu a na preskúmanie infikovaných dokumentov (napríklad PDF).
McAfee FileInsight
FileInsight je bezplatný hexadecimálny editor pre Windows od spoločnosti McAfee Labs. Produkt samozrejme vykonáva všetky štandardné funkcie spojené s týmto softvérom a ponúka pohodlné rozhranie na prezeranie a úpravy súborov v hexadecimálnom a textovom režime. Ale to je len kvapka v mori, ak sa pozriete na celú jeho funkčnosť. FileInsight je najskôr schopný analyzovať štruktúru spustiteľných binárnych súborov pre Windows (súbory PE), ako aj objektov Microsoft Office OLE. Okrem toho sa používateľovi ponúka zabudovaný disasembler x86. Všetko, čo musíte urobiť, je vybrať časť súboru, ktorú chcete zobraziť ako čitateľný kód, a FileInsight zobrazí tento fragment ako zoznam pokynov na zostavenie. Demontážny program je obzvlášť užitočný pri hľadaní shell kódu v škodlivých súboroch. Ďalšou možnosťou, ktorú si reverzátory zamilujú, je možnosť importovať vyhlásenia o štruktúre. Ak to chcete urobiť, programu stačí zadať hlavičkový súbor s vyhláseniami ako:
struct ANIHeader (
DWORD cbSizeOf; // Počet bajtov v aplikácii AniHeader
Rámy DWORD c; // Počet jedinečných ikon
Kroky DWORD; // Počet blits
};
V takom prípade samotný program analyzuje takéto konštrukcie. Štandardne je však ponúkaných veľa intuitívnych algoritmov na spracovanie kódu. Najskôr hovoríme o dekódovaní mnohých metód zahmlievania (xor, add, shift, Base64 atď.) - vložené skripty kliknú na takúto kryptografickú ochranu raz alebo dvakrát. Tu je potrebné poznamenať, že predmetom výskumu nemusí byť binárny formát, môže to byť aj obyčajná webová stránka, ktorá vzbudzuje podozrenie. Program umožňuje automatizovať množstvo akcií pomocou jednoduchých skriptov v JavaScripte alebo modulov v Pythone, z ktorých mnohé už boli napísané. Bohužiaľ, napriek všetkým výhodám má FileInsight tiež vážnu nevýhodu, ktorá sa prejavuje v neschopnosti spracovávať veľké súbory. Napríklad, ak sa pokúsite podať obslužný program do súboru s veľkosťou 400 - 500 MB, dôjde k chybe „Nepodarilo sa otvoriť dokument“.
Hex editor Neo
Existujú dve verzie tohto hexadecimálneho editora od spoločnosti HDD Software - jednoduchá bezplatná verzia a pokročilá komerčná verzia. Freeware verzia je solídny, ale pozoruhodný editor HEX, ktorý má skvelé prispôsobiteľné rozhranie s podporou rôznych farebných schém. Nikdy viac. Profesionálna verzia programu Hex Editor Neo však poskytuje niekoľko užitočných možností, ktoré môžu byť mimoriadne užitočné pri analýze binárnych súborov. Napríklad používateľ získa možnosť dekódovať kód zašifrovaný pomocou najbežnejších algoritmov. Okrem toho je možné prezerať a upravovať miestne zdroje, ako sú prúdy NTFS, lokálne disky, pamäť procesora a pamäť RAM. V najkompletnejšej verzii je tiež podpora skriptovacieho jazyka, ktorý umožňuje automatizovať mnoho procesov pomocou skriptov vo VBScript a JavaScript. Najlepšie však je, že máte k dispozícii zabudovaný demontér, ktorý pracuje s binárnymi súbormi x86, x64 a .NET! Ďalšou funkciou je rýchle vytváranie opráv na základe porovnania dvoch binárnych súborov. Znie to pôsobivo, ale je to lepšie ako FileInsight? Pravdepodobne nie. FileInsight vyzerá celkovo funkčnejšie. Na druhej strane, hocijaká, dokonca bezplatná verzia editora Hex Editor Neo funguje skvele aj pri veľmi veľkých súboroch a umožňuje vám vyhľadávať reťazce ASCII a Unicode. Disassembler sa tu neobmedzuje iba na jednu platformu x86 a vstavaný editor zdrojov je veľmi pohodlný. Je nad čím premýšľať.
FlexHex
FlexHex je výkonný komerčný hexadecimálny editor od spoločnosti Heaventools Software, ktorý obsahuje mnoho funkcií dostupných v aplikácii Hex Editor Neo. Jediné, čo tu chýba, je snáď podpora skriptov. Ale tento plnohodnotný editor zvláda binárne súbory, súbory OLE, fyzické disky a alternatívne toky NTFS rovnako dobre. Posledná zmienka je obzvlášť dôležitá, pretože FlexHex vám umožňuje upravovať údaje, ktoré by ostatní editori možno ani nevideli. Zameranie na prácu s veľkým množstvom informácií je navyše okamžite cítiť: bez ohľadu na veľkosť súboru sa navigácia v ňom vykonáva bez akýchkoľvek oneskorení a brzd. Pre ešte väčšie pohodlie funguje systém pohodlných záložiek. Zároveň FlexHex nepretržite uchováva históriu všetkých operácií - akúkoľvek akciu môžete vrátiť jednoduchým výberom zo zoznamu zmien (zoznam späť nie je obmedzený)! FlexHex podporuje všetky potrebné operácie s binárnymi údajmi, vyhľadávanie reťazcov ASCII a Unicode. Ak je potrebné spracovať štruktúru s vopred určeným formátom, nebude ťažké nastaviť jej parametre pomocou špeciálnych nástrojov. Vo výsledku získame vynikajúci hexadecimálny editor, ktorý je však stále oveľa horší ako rovnaký FileInsight. Jedinou pozoruhodnou možnosťou je spracovanie súborov OLE, ale aj tu sa vyskytujú problémy. Pri pokuse o otvorenie infikovaného OLE program niekoľkokrát zlyhal s chybou „Dokumentačný súbor bol poškodený“.
010 Editor
010 Editor je známy komerčný produkt vyvinutý spoločnosťou SweetScape Software. Ak to porovnáte s predchádzajúcimi tromi nástrojmi, potom dokáže všetko: podporuje prácu s veľmi veľkými súbormi, poskytuje vynikajúce možnosti manipulácie s údajmi, umožňuje vám upravovať miestne zdroje, má skriptovací systém na automatizáciu bežných akcií (k dispozícii je vám viac ako 140 rôznych funkcií). A editor 010 má tiež zvrat, jedinečnú vlastnosť. Editor to všetko robí vďaka možnosti analyzovať rôzne formáty súborov pomocou vlastnej knižnice šablón (tzv. Binárne šablóny). Tu nemá obdobu. Mnoho nadšencov po celom svete pracuje na šablónach, zatĺkaní v rôznych formátoch a údajových štruktúrach. Vďaka tomu sa proces prechádzania rôznymi formátmi súborov stáva transparentným a zrozumiteľným. To platí aj pre spracovanie binárnych súborov pre Windows (súbory PE), súbory skratiek Windows (LNK), archívy Zip, súbory triedy Java a oveľa viac. Mnoho ľudí si mohlo uvedomiť krásu tejto funkcie, keď známy bezpečnostný špecialista Didier Stevens vytvoril šablónu na analýzu súborov PDF pre editor 010. Spolu s ďalšími nástrojmi to výrazne zjednodušilo analýzu infikovaných dokumentov PDF, ktoré za posledných šesť mesiacov neprestali udivovať počtom miest, z ktorých je možné čitateľa zneužiť. Pridajte sem vynikajúci nástroj na porovnanie binárnych súborov, kalkulačku so syntaxou podobnou C, prevod údajov medzi formátmi ASCII, EBCDIC, Unicode a získame veľmi atraktívny nástroj s jedinečnými vlastnosťami.
Hiew
Hiew sa z hľadiska metódy distribúcie príliš nelíši od svojich kolegov - je to tiež komerčný produkt, ktorý vyvinul náš krajan Evgeny Suslikov. Program s dlhou históriou je veľmi obľúbený u mnohých špecialistov na informačnú bezpečnosť. Existuje celkom zrejmý dôvod - výkonné funkcie na skúmanie a úpravy štruktúry a obsahu spustiteľných súborov binárnych súborov Windows (PE) a Linux (ELF). Ďalšou veľmi užitočnou funkciou pre cúvanie je vstavaný assembler a disassembler x86-64. Posledný menovaný dokonca podporuje pokyny ARM. Nie je potrebné pripomínať, že editor dokonale trávi veľké súbory a umožňuje vám upravovať logické a fyzické disky. Mnoho úloh je ľahko automatizovaných vďaka systému klávesových makier, skriptov a dokonca aj API pre vývoj rozšírení (Hiew Extrenal Modules). Predtým, ako sa vrhnete do bitky, nezabudnite, že rozhranie Hiew je okno podobné systému DOS, s ktorým je zo zvyku dosť nepríjemné pracovať. Ale cítiť na sebe všetko čaro starej školy.
Radare
Radare je zbierka bezplatných nástrojov pre platformu Unix, ktoré poskytujú skvelé funkcie na úpravu súborov v režime HEX. Zahŕňa samotný hexadecimálny editor (radare) so schopnosťou otvárať miestne a vzdialené súbory. Program analyzuje spustiteľné súbory rôznych formátov, a to Linux (ELF) a Windows (PE). Okrem úprav má Radare nástroj na binárne porovnanie (radiff) a zabudovaný assembler / disassembler. A osobne sa mi párkrát hodil nástroj na generovanie škrupín (rasc). Akékoľvek operácie je možné ľahko automatizovať a prispôsobiť pomocou skriptovacieho systému. Z mínusov si opäť môžeme všimnúť nedostatok grafického rozhrania - všetky akcie sa vykonávajú z príkazového riadku a s obslužnými programami môžete plne pracovať až po prečítaní dokumentácie. Na druhej strane má web vizuálny screencast, ktorý zobrazuje hlavné body aj malé tajomstvá (napríklad pripojenie pluginu Python).
Čo si teda zvoliť?
Pokryli sme niekoľko výkonných hexadecimálnych editorov, ktoré obsahujú užitočné možnosti analýzy podozrivých súborov. Spomedzi všetkých produktov vyniká FileInsight, ktorý pre všetku svoju funkčnosť (a je skutočne pôsobivý) zostáva zadarmo. Editor 010 poskytuje veľké množstvo šablón na spracovanie najrôznejších súborov vrátane dokumentov PDF. Toto je megafunkcia, ktorú nemožno zanedbať. Tieto dva editory používam stále; pre analytika sú možno najvhodnejšie. Ak hovoríme o práci na platforme Unix, potom by sme samozrejme nemali zabudnúť na Radare. Balík ponúka veľmi výkonné funkcie, aj keď je ťažké ho použiť, pretože funguje z príkazového riadku. Hiew tiež nie je veľmi priateľský, aj keď jeho schopnosti vám určite umožňujú vykonávať rôzne operácie s binárnymi súbormi. Okrem toho je Hiew výberom z veľkého množstva skutočných profesionálov a stojí za veľa (a veľa znamená). Pokiaľ ide o Hex Editor Neo, oplatí sa vziať na palubu, ak vás zaujíma možnosť rozobrať kód x86, x64 a .NET.
Problémy so sivým iPhone počas prevádzky
Čo je „sivý“ iPhone a stojí za to si takéto zariadenie kúpiť
Linka dôvery - čo to je, prečo je to potrebné, ako to funguje, čo je regulované?
Prečo potrebujete linku dôvery Dôvody kontaktovať linku dôvery
Prečo potrebujete linku pomoci Čo sa myslí pod linkou dôvery