Cff explorer что это за программа

Содержание

Cff explorer что это за программа

Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно.
Необходимо обновить браузер или попробовать использовать другой.

Внедрение кода. Добавление новой секции. Часть 7.

Дата публикации 5 апр 2019 | Редактировалось 2 окт 2019

Основной алгоритм добавления новой секции
Решение проблемы доступного пространства при помощи добавления новой секции имеет некоторые недостатки. Практически все антивирусы опознают нестандартные секции, и если, к тому же, там есть полный набор флагов на чтение/запись/выполнение, то эта ситуация выглядит еще более подозрительно. Но такой способ дает огромное преимущество в объеме внедренного кода.
В начале проведения внедрения необходимо получить общие сведения о файле: определение языка программирования (или компилятора), разрядности архитектуры (32/64), название упаковщика или криптора. Для этого надо использовать программы-анализаторы РЕ-файла, например CFF Explorer, PeStudioили др.

CFF Explorer

При помощи программ-анализаторов РЕ-файла.
определяем язык программирования, название упаковщика или криптора;
определяем объем свободных ячеек основной секции кода для вставки команды jmpперехода на новый блок;
добавляем новую секцию, проставляем ее физический и виртуальный размеры, а также флаги секции
При помощи шестнадцатеричного редактора, например FlexHex, заполняем ячейки нового блока нулями.
При помощи отладчика кода, например x64Dbg, перемещаем одну или две команды по адресу новой ячейки и на освободившееся место поставить команду перехода jmpна этот адрес.
В новой секции пишем новый блок кода, последней командой которого должна быть команда возврата jmpна продолжение кода в основной секции.

Программа 6.1.Сложение 32-разрядных дробных чисел одного массива с использованием команд SSE

include win64a . inc ; подключаемые библиотеки
mas1 dd 1 ., 2 ., 3 ., 4 .
tit0 db «Сложение чисел массива » , 0 ;
inf0 db «Использование SSE команд» , 0
titl1 db «Сложение чисел массива » , 0 ;
fmt db «Сложение 32-разрядных дробных чисел одного массива» , 10 ,
«с использованием команд SSE» , 10 ,
«mas1: 1., 2., 3., 4.» , 10 , 13 , «Сумма: %d» , 10 ,
9 , «Сайт: http://blogs.kpi.kharkov.ua/v2/asm/» , 0
buf1 dq 0 , 0 ; буфер
WinMain proc
sub rsp , 28h ; cтек: 28h=32d+8; 8 — возврат
mov rbp , rsp
invoke MessageBox , 0 , addr inf0 , ADDR tit0 , 0
movaps XMM0 , mas1 ; XMM0:= 4. 3. 2. 1.
movaps XMM1 , XMM0 ; XMM1:= 4. 3. 2. 1.
shufps XMM1 , XMM1 , 11111001b ; XMM1:= 4. 4. 3. 2.
addss XMM0 , XMM1 ; XMM0:= 4. 3. 2. 3.
shufps XMM1 , XMM1 , 11111001b ; XMM1:= 4. 4. 4. 3.
addss XMM0 , XMM1 ; XMM0:= 4. 3. 2. 6.
shufps XMM1 , XMM1 , 11111001b ; XMM1:= 4. 4. 4. 4.
addss XMM0 , XMM1 ; XMM0:= 4. 3. 2. 10.
cvttss2si eax , xmm0
movsxd r15 , eax
invoke wsprintf , addr buf1 , addr fmt , r15
invoke MessageBox , 0 , addr buf1 , ADDR titl1 , MB_ICONINFORMATION
invoke RtlExitUserProcess , 0 ; invoke ExitProcess,0
WinMain endp

CFF Explorer Ve PETools Kullanımı

Результатами выполнения программы являются последовательно появляющиеся окна сообщений (рис. ).

Определяем объем свободных ячеек основной секции кода для вставки команды jmp перехода на новый блок. Для этого в программе-анализаторе РЕ-кода LordPEвыполняем действия:
открываем исследуемый файл;
нажимаем на кнопку меню Sections;
выделяем мышкой секцию кода text;
нажимаем правую клавишу мышки и выбираем кнопку меню hex edit section…
подсчитываем объем свободных ячеек основной секции кода. Содержимое выделенной секции выводится на черном фоне. Для расчета необходимо из начального адреса следующей секции вычитаем адрес первой свободной ячейки после окончания кода:
600h – 482h = 17Еh = 382 байта.
Добавляем новую секцию кода. Для этого в программе-анализаторе РЕ-кода LordPEвыполняем действия:
нажимаем на кнопку меню Sections(рис. );

выделяем любую секцию и добавляем новую секцию при помощи кнопки меню add section header(рис. );

в появившемся окне выделяем новую секцию и для изменения свойств новой секции нажимаем на кнопку меню edit section header…(рис. ).

При этом необходимо запомнить смещение ROffsetновой секции. В рассматриваемом случае оно равно 00000А00h;

Если предполагается использовать почти весь объем секции, то и виртуальный размер VSizeдолжен быть таким же как и физический или больше чтобы не тормозить запись и чтение данных секции (рис. );

для изменения признаков секции выбираем кнопку меню Flags(рис. ).

Ищем место в секции, где расположена (объявлена) новая секция. А она начинается с адреса RawOffset(ROffset). В нашем случае – это адрес 00000А00h (рис. ).

в появившемся окне проставляем размер новой секции: Block Size = 200h (рис. );

сохраняем изменения;

желательно проверить готовность новой секции программой-анализатором LordPE. Для этого необходимо выбрать новую секцию, нажать правую клавишу мышки и нажать пункт меню hex edit section. В появившемся окне memory bufferвыбранная секция выделится темным цветом (рис. ).

movaps xmm0 , xmmword ptr ds : [ 0x00007FF65DE13000 ]

Дважды выделяем эту строку (рис. ) и ее копируем (нажимаем Ctrl + C).

Затем в последней строке основного меню выбираем пункт Карта памяти(см. рис. 6.10). Подводим курсор к строке с названием новой секции и дважды нажимаем на этой строке.
Попадаем в новую секцию. Нажимаем на первую строчку кода, появляется окно (рис. 6.13),

в которое вставляем перенесенную строку при помощи сочетания клавиш Ctrl+V(рис. 6.14).

Копируем адрес первой строки, чтобы на нее поставить команду перехода jmpв основной секции кода. Для этого, на первой строке секции выбираем кнопки меню Копировать/Адрес.

Переходим на основную секцию кода. Для этого в нижней (последней) строке основного меню выбираем пункт Карта памяти(см. рис. 6.10). После этого подводим курсор на строку кода с названием основной секции кода text, дважды нажимаем на этой строке и попадаем в основную секцию.

Что такое » cff explorer.exe » ?

В нашей базе содержится 8разных файлов с именем cff explorer.exe. You can also check most distributed file variants with name cff explorer.exe. Чаще всего эти файлы принадлежат продукту CFF Explorer. Наиболее частый разработчик — компания Daniel Pistelli. Самое частое описание этих файлов — Common File Format Explorer.

Совокупная оценка — 5( 5 ) (комментариев: 1 ). Это исполняемый файл. Вы можете найти его выполняющимся в диспетчере задач как процесс cff explorer.exe.

Подробности о наиболее часто используемом файле с именем «cff explorer.exe»

Продукт: CFF Explorer Компания: Daniel Pistelli Описание: Common File Format Explorer Версия: 8.0.0.0 MD5: 293334ec617895258c789ce1fd3d3c39 SHA1: 0bb93b2a8a9b677578cb1cac47e39678d9f6b67e SHA256: 238941c4b0f800cdaefb8c56e1b9f0849841c9cd93bb2d6fb4c2d726ba7bf34d Размер: 3521536 Папка: %PROGFILES64%NTCoreExplorer Suite ОС: Windows 7 Частота: Низкая

Проверьте свой ПК с помощью нашей бесплатной программы

Icon

Процесс «cff explorer.exe» безопасный или опасный?

Загрузка диаграммы
100% файлов помечены как безопасные .

Последний новый вариант файла «cff explorer.exe» был обнаружен 3635 дн. назад. В нашей базе содержится 3 шт. вариантов файла «cff explorer.exe» с окончательной оценкой Безопасныйи ноль вариантов с окончательной оценкой Опасный. Окончательные оценки основаны на комментариях, дате обнаружения, частоте инцидентов и результатах антивирусных проверок.

Комментарии пользователей для «cff explorer.exe»

Текущим параметрам фильтрации удовлетворяют несколько файлов. Будут показаны комментарии ко всем файлам.

БЕЗОПАСНЫЙ оценка пользователя BryanMohrдля файла %PROGFILES64%NTCoreExplorer Suitecff explorer.exe

Добавить комментарий для «cff explorer.exe»

Для добавления комментария требуется дополнительная информация об этом файле. Если вам известны размер, контрольные суммы md5/sha1/sha256 или другие атрибуты файла, который вы хотите прокомментировать, то вы можете воспользоваться расширенным поиском на главной странице .

Если подробности о файле вам неизвестны, вы можете быстро проверить этот файл с помощью нашей бесплатной утилиты. Загрузить System Explorer.

Проверьте свой ПК с помощью нашей бесплатной программы

System Explorerэто наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем. Программа действительно бесплатная, без рекламы и дополнительных включений, она доступна в виде установщика и как переносное приложение. Её рекомендуют много пользователей.

Источник: systemexplorer.net

Аналоги CFF Explorer

Это созданный Дэниелом Пистелли бесплатный набор инструментов, включающий редактор PE под названием CFF Explorer и средство просмотра процессов. Редактор PE имеет полную поддержку PE32 / 64.

Описание и модификация специальных полей:
* (поддерживается .NET),
* утилиты,
* перестроитель,
* hex-редактор,
* сумматор импорта,
* сканер подписей,
* менеджер подписей,
* поддержка расширений,
* сценарии,
* дизассемблер,
* средство обхода зависимостей и т. д.

Первый редактор PE с поддержкой внутренних структур .NET. Редактор ресурсов (поддерживаются значки Windows Vista), способный обрабатывать манифестные ресурсы .NET. Пакет доступен для x86 и x64.

Не требует инсталяции
Скриптовый язык

Альтернативы для CFF Explorer

Персональный компьютер
Мобильный телефон

160

Бесплатная
Windows

Resource Hacker ™ — это редактор ресурсов для 32-битных и 64-битных приложений Windows®.

Платная
Windows

Скриншот 1 программы PE Explorer

PE Explorer — это наиболее полнофункциональная программа для проверки внутренней работы вашего программного обеспечения и, что более важно, сторонних приложений и библиотек Windows, для которых у вас нет исходного кода.

Бесплатная
Windows

Скриншот 1 программы Free Resource Extractor

Free Resource Extractor — это бесплатная и удобная утилита для сканирования всех файлов DLL, EXE и OCX и извлечения встроенных ресурсов, таких как значки, растровые изображения, курсоры, звуки, AVI-видео, HTML-файлы, метафайлы и т. д. Free Resource Extractor может даже извлечь полезные ресурсы из системных файлов. Вы можете сохранить их в указанной вами папке и использовать позже для вашего дизайна, коллекции, рисунков, печати и многого другого.

Бесплатная
Windows

Скриншот 1 программы ResEdit

ResEdit — бесплатный редактор ресурсов для программ Windows. Вы можете использовать его, если хотите использовать диалоги, значки, информацию о версии или другие типы ресурсов.

Бесплатная
Windows

Скриншот 1 программы Anolis Resourcer

Гибкий и расширяемый редактор ресурсов для приложений Win32 / PE в стадии активной разработки. «MUI Aware» поддерживает все изменения, внесенные в модель ресурсов в Windows Vista и более поздних версиях. Также поддерживает иконки PNG.

Что в этом списке?

В списке находится программы которые можно использовать для замены CFF Explorer.

Это аналоги похожие по функционалу на CFF Explorer, которые заменяют программу частично или полностью. Этот список содержит 8 замен.

С помощью пользователей мы собираем каталог похожих друг на друга программ, чтобы вы могли подобрать альтернативу и скачать их. На сайте можно скачать популярные программы для Windows, Mac Os, Android и iPhone

Источник: ruprogi.ru

Explorer Suite III

Программы / Разработка / Редакторы кода / Explorer Suite III

Скачать Explorer Suite III

Для скачивания будет предоставлена ссылка на дистрибутив программы на сайте компании-разработчика.

Обзор Explorer Suite III (автоматический перевод)

Explorer Suite является пакетом утилит включая вызванный CFF Explorer Редактора PE и средство просмотра процесса. Это — измельченная работа повреждения, потому что пакетом NTCORE утилит является полностью.NET, поддерживаемый внутренне.

Фактически, это было разработано для, перепроектирует и программисты, у которых есть большая работа, включающая метаданные.NET.

Из-за Explorer Редактирование PE стало действительно простым. Его список функций должен лучше всего быть просмотрен онлайн, поскольку это становится таким длинным, Вы не знали бы, как использовать все это. В этом впечатляющем списке Вы найдете самосвал памяти, Windows и средства просмотра Процесса, Специальный.NET поддерживал полевые описания и модификации. Существуют редакторы и существуют утилиты, соединяющиеся со сканером и обработкой документов с определенным вниманием на добавление подписи и получение. Вы могли также установить свой CFF Explorer для генерации любых отчетов, в которых у Вас может быть потребность, делая это бизнес-разумным инструментом.

Некоторые его функции являются Средством просмотра Процесса; Windows Viewer; PE и Самосвал Памяти; Специальное полевое описание и модификация (поддерживаемый.NET); Полная поддержка PE32/64; Утилиты PE; Фирма по модернизации PE; Редактор Ресурса (полная поддержка значков Windows Vista); Представление и модификация.NET внутренние структуры; Поддержка в Редакторе Ресурса для ресурсов.NET; HEX-редактор; Сумматор Импорта; проверки целостности PE.

Тогда существует список меньших утилит. Утилиты, такие как они в основном принимают форму дополнений к основным утилитам. Здесь у Вас есть менеджеры по реестру, менеджеры по файлам и много патчей. Эта программа кажется довольно сложной. Это кажется более нацеленным на компьютерный здравый смысл тогда на новичке, которому просто нравится включать его PC.

Но предлагаемые функции являются ясно инструментами, которых мы можем только обойтись без, делая менее важную работу.

Если Вы хотите видеть процессы в x64 или машине Itanium, Вы должны загрузить нужную версию с сайта разработчиков.

Источник: www.obnovisoft.ru

anolis resourcer rus portable

Anolis Resourcer —is a handy, easy to use, powerful, and modern resource editor for Win32 PE executables and RES files. It features support for modern Windows resource features, such as PNG and 256×256 icons, full x64 support, and is MUI/RC CONFIG aware.
It also features a batch export feature which automatically extracts all (or just «visual») resources from a single file or all files in a directory.
You can use it to add, update, replace, extract or delete resources such as icons, cursors and bitmaps. You can also view Dialogs, Menus, and String tables.

Changes (0.9.3531):
· Added a menubar for those seeking Reshacker-like UI (you can disable either the menubar or the toolbar, or have both enabled at the same time)
· Note the menubar does not expose any new functionality that isn’t already (directly or indirectly) accessible via the Toolbar (except for Help Contents)
· You can hide either the menubar or the toolbar, but not both
· A context menu on the toolbar lets you choose icon size and allows you to hide or show the toolbar or menubar
· Thumbnails for bitmaps now maintain aspect ratio (rather than stretching to fill). Bitmaps smaller than the thumbnail area are now centred, rather than upscaled
· Added a Help file, access it via Help > Help Topics
· If a resource name only has one lang then its tree view node will not be expanded unless explicitly expanded
· Various improvements to the Batch Export form
Library changes:
· Fixed an issue with editing resources in Windows Vista (and later) where files with RC Config entries (listed as «MUI» resource types) could not be modified, even though the operation completed successfully
· The solution has been implemented as a workaround. A more purer solution exists, but would require implementing our own PE/COFF format reader, which is too much trouble
· Fixed a major issue where icon directories lacking bit-depth information would be applied to a resource source without that information
· Bit-depths are now obtained from the DIB information if they’re missing
· NOTE: PNG format subimage data is always assumed to be 32bpp
· You can now choose to replace icons by replacing the subimages rather than merging them. Click the «Edit Factory Options. » button on the Replace Resource Form for more details.

Features:
— Viewing Resources
— Exporting and Extracting Resources
— Replacing and Updating Resources
— Intelligent Icon Replacement
— Vista MUI and RC CONFIG Aware
— x64 Support

Ancillary Features:
— Portable — Requires no installation, just extract and run
— Command-Line Arguments — Automate resource tasks from a batch/command scripting environment
— Extensible and Developer Friendly — Reference Resourcer in your .NET projects to allow your programs to work with resources directly. You can also extend Resourcer with your own code for working with specific resource data types and source file formats.

Resource Hacker

Resource Hacker ™ — это редактор ресурсов для 32-битных и 64-битных приложений Windows®.

PE Explorer

Free Resource Extractor

ResEdit

Restorator

XN Resource Editor

XN Resource Editor — это бесплатный, мощный, полнофункциональный редактор ресурсов и проводник PE-модулей.

Бесплатная Открытый код Windows PortableApps.com

Resource Tuner

Что в этом списке?

В списке находится программы которые можно использовать для замены Anolis Resourcer на платформах Windows. Этот список содержит 7 приложений, похожих на Anolis Resourcer.

Главные вкладки

Flexible and extensible resource editor for Win32/PE applications under active development. Is «MUI Aware» and supports all the changes made to the resource model in.

Flexible and extensible resource editor for Win32/PE applications under active development. Is «MUI Aware» and supports all the changes made to the resource model in Windows Vista and later. Supports PNG icons as well.

Альтернативы приложению Anolis Resourcer для всех платформ

Resource Hacker

Resource Hacker is a freeware utility to view, modify, rename, add, delete and extract resources in 32-bit Windows executables and resource files.

ResEdit

ResEdit is a free resource editor for Windows programs. You can use it if you want to use dialogs, icons, version information or other types of resources. Output files can be compiled by any Windows compiler.

PE Explorer

PE Explorer lets you look inside a variety of different 32-bit Windows executable file types, such as EXE, DLL and ActiveX Controls, perform static analysis, reveal a lot of information about the function of.

Resource Hacker FX

Resource Hacker FX is an improved Resource Hacker: it is a patcher that needs to be used on the original Resource Hacker v3.6.0.92. What does the patcher change: 1. Resource Hacker FX does not.

XN Resource Editor

XN Resource Editor is a free, powerful, fully featured resource editor and PE module explorer.

Restorator

Restorator is an award-winning utility to edit windows resources in applications and their components, e.g. files with .exe, .dll, .res, .rc, .dcr, extension (see PE files and RES files).

CFF Explorer

Created by Daniel Pistelli, a freeware suite of tools including a PE editor called CFF Explorer and a process viewer. The PE editor has full support for PE32/64. Special fields description and modification.

Resource Tuner

Resource Tuner is a resource editor that lets you view, extract, replace, edit, and delete the embedded resources of executable files: icons, strings, images, sounds, dialogs, menus — all that make up the.

ResourcesExtract

ResourcesExtract is a small utility that scans dll/ocx/exe files and extract all resources (bitmaps, icons, cursors, AVI movies, HTML files, and more. ) stored in them into the folder that you specify. You.

ResEd

ResEd is an editor for resource script files (*.rc) which is also used in RadASM, FbEdit and MasmEd. As every RAD Software product, it makes application development easy and fast by providing sophisticated.

Codebug

Codebug is a standalone Xdebug client frontend for Mac OSX.
This application allows PHP developers to debug their code in real-time without needing an external IDE

Boilsoft Resource Hunter

Resource Hunter is a perfect resource explorer/hacker/grabber can extract pe resource from exe, dll ,extract icon and image like gif, png, bitmap. You can use Resource Hunter to VIEW RESOURCE, EXPLORE.

HRStop

HRStop.com is a web based hosted Human Resource Management System that automates various HR activities and allows you to use standard HR services in the most secured, easiest and fastest way. Some of the services available are Payroll, Leave Management, Holiday Management, Emplo.

Apache Whirr

Apache Whirr is a set of libraries for running cloud services.
Whirr provides a cloud-neutral way to run services, (You don’t have to worry about the idiosyncrasies of each provider) and a common service API. With Whirr you can get a properly configured system running quickl.

Нашли какие-либо ошибки в информации о Anolis Resourcer? Может быть вы знаете альтернативу, которая еще не указана в списке? Вы можете редактировать информацию о Anolis Resourcer или предложить новые альтернативы.

Ссылки

Перейти на сайт разработчика или официальный сайт приложения

WWikipedia

Страница в Википедии

Сервис SuggestUse поможет найти альтернативное программное обеспечение для вашего компьютера, мобильного телефона или планшета.

Основная идея заключается в том, что поиск производится по тем приложениям, которые требуется заменить, в результате получаете список альтернатив на основе рекомендаций зарегистрированных пользователей.

Источник: computermaker.info