1.2.3 FlexHex
FlexHex – это мощный коммерческий hex-редактор от компании Heaventools Software, который включает многие из функций, доступных в Hex Editor Neo. Единственное, чего здесь нет – это, пожалуй, поддержка скриптов. Зато этот полнофункциональный редактор одинаково хорошо обрабатывает бинарные файлы, OLE-файлы, физические диски и альтернативные NTFS-потоки.
Последнее особенно важно, потому что FlexHex позволяет редактировать те данные, которые другие редакторы могут даже не увидеть. К тому же сразу чувствуется ориентированность на работу с большими массивами информации: какой бы размер ни был у файла, навигация по нему осуществляется без каких-либо осложнений и зависаний. Для еще большего удобства работает система удобных закладок.
При этом FlexHex непрерывно ведет историю всех операций – можно отменить любое действие, просто выбрав его из списка изменений (undo-list не ограничен)! В FlexHex поддерживаются все необходимые операции с бинарными данными, поиск ASCII и Unicode-строк. Если необходимо обрабатывать структуру с заранее известным форматом, задать ее параметры не составит труда с помощью специальных инструментов.
Как пройти 2 тур Flex| Что нельзя писать |
В результате получаем отличный hex-редактор, но все-таки сильно уступающий тому же FileInsight. Единственная примечательная опция – это обработка OLE-файлов, но и тут есть проблемы. Несколько раз при попытке открыть зараженный OLE, программа вылетала с ошибкой «The docfile has been corrupted».
При каждом запуске данного редактора появляется окно с подсказкой, которое можно отключить, сняв галочку внизу данного окна. Для пользователя-новичка подобное окно подсказка может оказаться очень полезным, так как с помощью кнопки «Next Tip» можно получить следующую подсказку.
Рис. 8. Окно с подсказкой в редакторе FlexHex.
Сам по себе интерфейс программы выполнен в стиле минимализма. Принципиального отличия графического интерфейса данного редактора от интерфейсов уже рассмотренных редакторов нет. Тут все те же функциональные панели, что и в McAfee FileInsight и Hex Editor Neo. Но два больших плюса выделить все же стоит: удобная система флагов и закладок, которая сильно облегчает поиск, и параллельное ведение истории изменений с возможностью отматывать действия, если вдруг была допущена ошибка.
Рис. 9. Стартовое окно редактора FlexHex.
Единственное, что очень не понравилось в данном редакторе – это поиск файла, который часто работает очень медленно. Файлы в данном редакторе иногда открываются медленнее, чем те же файлы в рассмотренных выше редакторах.
Рис. 10. Открытый в редакторе FlexHex файл с расширением .obj.
1.2.4 010 Editor
010 Editor – известный коммерческий продукт, разработанный SweetScape Software. Если сравнивать его с предыдущими тремя инструментами, то он умеет все: поддерживает работу с очень большими файлами, предоставляет классные возможности по оперированию с данными, позволяет редактировать локальные ресурсы, имеет систему скриптинга для автоматизации рутинных действий (более 140 различных функций к вашим услугам).
ЧТО ТАКОЕ FLEX? КАК Я СТАЛ ФИНАЛИСТОМ ПРОГРАММЫ ПО ОБМЕНУ В США! СОВЕТЫ ДЛЯ ТОГО ЧТОБЫ ПРОЙТИ FLEX!
А еще у 010 Editor есть изюминка, уникальная особенность. Редактор обходит всех благодаря возможности анализировать различные форматы файлов, используя собственную библиотеку шаблонов (так называемые Binary Templates). Вот здесь ему нет равных. Над шаблонами работают множество энтузиастов по всему миру, создавая различные структуры форматов и данных.
В результате процесс навигации по различным форматам файлов становится прозрачным и понятным. Это касается, в том числе, и обработки бинарных файлов для Windows (PE файлам), файлов-ярлычков Windows (LNK), Zip-архивов, файлов Java-классов и многого другого. Всю прелесть этой особенности многие смогли осознать, когда известный специалист по безопасности Дидье Стивенс создал для 010 Editor шаблон для анализа PDF-файлов. Вкупе с другими утилитами это серьезно упростило анализ зараженных PDF-документов, которые последние полгода не перестают удивлять количеством мест, откуда можно эксплуатировать программу-читалку. Добавляем сюда классный инструмент для сравнения бинарных файлов, калькулятор с C-подобным синтаксисом, конвертирование данных между ASCII, EBCDIC, Unicode-форматами, и получаем очень привлекательный инструмент с уникальными возможностями.
После запуска программы появляется окно с подсказками, которое больше не будет появляться, если не поставить галочку в левом нижнем углу этого окна. Подсказки, которые предоставлены пользователю, более полезны, чем подсказки в редакторе FlexHex. Система помощи в 010 Editor проработана более подробно, чем в рассмотренных выше редакторах, она на выбор предлагает пользователю три варианта начала работы с программой: для новичка, для опытного пользователя, для знатока работы с бинарными файлами.
Рис. 11. Окно с выбором варианта продолжения работы.
После окна подсказок пользователь знакомится со стартовым окном программы. Данное окно предоставляет пользователю доступ к последним открытым файлам, отображая ссылки на те директории, в которых они расположены.
Рис. 12. Стартовое окно редактора 010 Editor.
Стартовое окно содержит в себе еще и дополнительные подсказки, ссылки на обновления, новости и записи, связанные с редактором.
Для удобства пользователя создана система закладок, которая позволяет переключаться от файла к файлу при одновременной работе. Окно в левой части позволяет видеть, в какой директории находится тот или иной открытый пользователем файл.
Интерфейс данного редактора очень легко настраивается, поэтому он придется по душе пользователям, которые привыкли, чтобы нужный им набор инструментов всегда был под рукой.
Рис. 13. Открытый в редакторе 010 Editor файл с расширение .obj.
Источник: studfile.net
Hex Editor
Я перепробовал очень много разных хекс редакторов и считаю, что FlexHEX во всех отно- шениях самый лучший. Я настоятельно рекомендую попробовать его каждому, кому нужен хороший хекс редактор.
Robert Bridges
У меня нет никаких предубеждений против использования бесплат- ных программ. Тем не менее, я купил FlexHex, потому что считаю его лучшей альтернативой любому бесплатному хекс редактору из тех, что можно найти в сети.
Mark Burrell
FlexHex: Бинарный редактор для профессионалов.
FlexHEX — это программа для редактирования любого бинарного файла, устройства или процесса на вашем компьютере. Набор возможностей FlexHex удовлетворит любого, в чьи задачи входит исследование и правка содержимого файлов и потоков данных неограниченного размера в текстовом и шестнадцатеричном представлении.
Сделанный профессионалами для профессионалов, бинарный редактор FlexHex сочетает в себе уникальные наборы опций с гибкостью и простотой в использовании. Список возможностей
Купить в интернет-магазине:
FlexHex
Бизнес лицензия
Don Parker,
Bridon Security
FlexHex разработан для изучения выходных потоков бинарных данных, для прямого редактирования содержимого файла или логического диска, для низкоуровнего копирования секторов жесткого диска, для исследования структур данных в закрытых или неизвестных форматах, для устранения проблем с исполняемыми файлами или с накопителями на флэш-дисках, для создания бинарных тестовых файлов, для копирования и вставки блоков данных гигабайтных и более размеров. Решение этих и многих других задач делают редактор FlexHex внутренним стандартом во многих коллективах разработчиков.
Среди возможностей:
- Поддержка дисков и файлов неограниченного размера (в пределах NTFS — 8·10 18 байт)
- Открывает и редактирует любые файлы, участки памяти, логические диски и физические устройства
- Поддерживает OLE compound файлы, альтернативные потоки, разреженные файлы
- Поддерживает 64-битные операционные системы (XP и Vista)
- Содержит средства поиска, замены, сравнения и анализа
- Многоуровневая отмена и повтор действий, список отменённых действий
- Отслеживание в реальном времени изменений, сделанных в файле другим приложением
- Настраиваемый интерфейс пользователя в стиле Visual Studio, включая тулбары, меню и быстрые клавиши
- Вывод на принтер всего файла или выделенной области файла
- подробный список
С FlexHex вы можете:
- Редактировать скрытые данные, которые остальные hex редакторы вам даже не покажут
- Открывать, сохранять, вставлять или перетаскивать сотни гигабайт данных за считанные секунды
- Редактировать файлы, блокированные системой или другим приложением
- Импортровать или экспортировать бинарные данные, или просто перетаскивать данные мышью между FlexHex и окном другого приложения
- Сохранять огромные объёмы данных в сжатом формате Zipped Image
- Сравнивать и анализировать данные с помощью карт сравнения
- Отмечать позиции в файлах с помощью закладок, списков областей, истории переходов и других удобных инстументов навигации внутри файлов
- Рассчитывать контрольные суммы (CRC-32, MD5, SHA-1, SHA-256) и просматривать зарегистрированные COM классы
Скачайте бесплатную ознакомительную версию!
FlexHex работает на Windows 2000/XP/2003/Vista/7/8/10
Минимальные системные требования:
Процессор Intel Pentium® или AMD K5 166 MHz
16 MB RAM
Почему именно FlexHex?
FlexHex полностью отвечает всем современным требованиям, предъявляемым к программам для просмотра и редактирования двоичных данных в шестнадцатеричном представлении, и предоставляет пользователям удобную среду для любых операций редактирования.
Мощная, и в то же время удивительно простая в изучении, программа поможет вам при необходимости создать или модифицировать файл, произвести поиск и замену данных в двоичном, ASCII или Unicode виде. Опытные пользователи оценят богатые возможности по поиску строк и идентификаторов GUID, просмотру COM классов и вычислений контрольных сумм по разным алгоритмам.
FlexHex работает значительно быстрее, чем конкурирующие с ним hex редакторы. Так, копирование и вставка гигабайтного блока данных занимает всего долю секунды.
Как и любой другой hex редактор, FlexHex показывает содержимое файла и позволяет создавать и редактировать файлы на локальных дисках, устройствах или расшаренных сетевых ресурсах. Отличие в том, что FlexHex предоставляет полную поддержку NTFS файлов, которые используют гораздо более сложную модель, нежели файлы FAT32. В частности, FlexHEX поддерживает редактирование разреженных областей файлов и альтернативных потоков данных в файлах на любом разделе NTFS. Таким образом, вы можете анализировать ваши файлы на наличие альтернативных потоков и редактировать данные, невидимые для других hex редакторов!
Специальная функция Hot Tracking позволяет отслеживать изменения, вносимые в файл другим приложением. Используя функцию слежения, не нужно больше переоткрывать файл снова и снова, чтобы заметить изменения — FlexHex обнаруживает изменения в открытом файле и мгновенно обновляет окно просмотра. Эта функция включается автоматически для любого файла, открытого в режиме read-only.
Источник: www.heaventools.ru
ЧИП ТЮНИНГ
HEX-редакторы для Чип-тюнинга. Подойдут ли бесплатные?
Наши партнеры и ученики периодически спрашивают: «Какой HEX-редактор посоветуете? Стоит ли платить за WinHEX?».
Давайте сравним четыре различных редактора и определим наиболее подходящий.
Но сначала предлагаю разобраться, какие задачи решает мастер по чип-тюнингу используя редактор HEX:
- Сравнение двух прошивок.
Например вы купили тюн в комплекте со стоковой прошивкой и вы не уверены, что это именно та версия прошивки, что и в автомобиле, с которым вы сейчас работаете. Сравните сток из купленной прошивки со считанной из вашего автомобиля. - Перенос индивидуальных данных (перенос синхронизации).
Обычно в справке вашего загрузчика написано, какие данные нужно перенести из родной прошивки в тюн. Без HEX-редактора тут не обойтись (либо придется покупать специальные утилиты).
Некоторые загрузчики умеют самостоятельно переносить такие данные при записи.
Любой HEX-редактор хорошо справляется с редактированием прошивок, это его основная функция. - Поиск идентификаторов в файле прошивки.
Бывает необходимо, когда вы не уверены, что у вас сохранились верные данные. Можно заглянуть внутрь файла и найти строки идентификации.
Все HEX-редакторы умеют делать поиск ASCII-строк. - Подготовка прошивки под загрузчик.
Загрузчики могут сохранять данные из блока управления немного по- разному. Под конкретный загрузчик может потребоваться удалить лишние данные, либо наоборот, добавить области, заполненные нулями или FF. - HEX-редактор также позволит вам сравнить два файла прошивки и определить, содержится ли в них одна и та же программа, либо это совершенно разные версии софтов. Модификация одной версии ПО будет отличаться незначительно, может быть десятками или сотнями байт.
HxD Hex Editor
Наш первый претендент — программа от немецких разработчиков. Скачать HxD можно совершенно бесплатно по ссылке: https://mh-nexus.de.
Данный редактор подойдет любителям минимализма, он очень простой, интуитивно понятный, за него не нужно платить, есть хорошая локализация на русский язык.
Из явных недостатков — очень простые функции сравнения прошивок. Нет синхронного просмотра двух прошивок. Нет анализа и карты различий.
FlexHEX
Программа бесплатна для домашнего использования, скачать можно на сайте разработчика по ссылке: http://www.flexhex.com
FlexHEX — это полнофункциональный редактор, сложно сказать, каких функций ему не хватает.
Из особенностей стоит отметить возможность тонкой настройки сравнения файлов, а так же наглядной карты.
Посмотрите на скриншоте ниже открыты два файла одинаковой прошивки, которые отличаются только наличием области данных, заполненной FFh в одном из файлов, что очень наглядно отображено в графическом виде в левой части окна программы.
Из явных недостатков программы удалось выявить только один — приложение иногда неожиданно закрывается без всяких причин.
С учетом бесплатности FlexHEX для частного мастера — рекомендуем как минимум попробовать.
Приобрести коммерческую версию можно по подписке за 59.95$ в год, что может быть неудобно и выглядит достаточно дорого на фоне конкурентов, которых мы рассмотрим далее.
010 Editor
Единственный мультиплатформенный редактор, который удалось найти и попробовать. Существуют версии для Windows, Linux и MacOS.
Скачать демо-версию можно по ссылке: https://www.sweetscape.com/
Коммерческая версия обойдется в 129.95$, а для домашнего использования — 49.95$.
Программа обладает всем необходимым функционалом, есть графические карты содержимого файла и сравнения файлов, синхронизированный просмотр.
Никаких явных недостатков программы обнаружено не было — поэтому однозначно наши рекомендации.
WinHEX
Один из самых известных и популярных редакторов. В том числе, благодаря существованию пропатченных версий.
Скачать дистрибутив можно по ссылке: http://www.winhex.com/winhex/
Без регистрации программа проработала около месяца — потом перестала запускаться. Лицензию можно приобрести примерно за 2600 рублей — цена указана в вашей местной валюте, поэтому периодически немного изменяется.
В отличии от двух предыдущих редакторов, тут полностью отсутствует какое-либо графическое отображение содержимого файлов и результатов сравнения.
Тем не менее, WinHEX — самый дешевый HEX-редактор. В нем есть функция синхронного просмотра двух файлов, в том числе и с отображением отличающихся байт.
Что же в итоге выбрать конкретно вам?
Зависит от типа лицензии, которая вам требуется. Большинству частных мастеров подойдет лицензия для домашнего использования, а следовательно можно обойтись бесплатными версиями.
Остались вопросы — задавайте их в комментариях.
Напишите, каким редактором пользуетесь вы. Нужно ли выпустить обучающие видео по работе с HEX-редакторами?
Чтобы заказать модификацию вашей прошивки — переходите по ссылке.
Комментарии к записи HEX-редакторы для Чип-тюнинга. Подойдут ли бесплатные? отключены
Юрий Щёголев | 02.12.2021 | В рубриках: СТАТЬИ
Источник: ecutune.ru
Битва потрошителей. Выбираем лучший редактор для вскрытия исполняемых файлов Windows
Главная и сложнейшая задача хакера во время взлома программы — найти защитный механизм и обойти его. Для поиска я обычно использую отладчик WinDbg, а для «исправления» приложения — редактор Hiew (он, в частности, фигурирует в нашем цикле статей «Фундаментальные основы хакерства»). Но есть ли альтернативы для последнего? Задавшись этим вопросом, я изучил разные утилиты и хочу поделиться с тобой находками.
Так как мы в основном исследуем исполняемые файлы и динамические библиотеки для Windows, я брал только те РЕ-редакторы, которые работают в этой ОС. Если какой-то из инструментов поддерживает другие операционные системы и их исполняемые файлы (например, ELF), то это только плюс, но в данном случае для нас особого значения не имеет.
Мы будем выбирать утилиты на основе разумных и понятных факторов: функциональность, цена, удобство использования и частота обновления. Совсем старые решения, позволяющие редактировать бинарники для MS-DOS или Windows 9x, нам рассматривать ни к чему. Если какой-то из редакторов распространяется платно, то мы воспользуемся ознакомительной версией и отдельно отметим, какие функции в ней доступны. Но самый главный критерий будет состоять во взломе настоящего кракми.
Чтобы не тратить время на создание подопытной программы, мы воспользуемся уже готовой — passCompare35 . Именно на ней и будем испытывать разные тулзы. По большому счету, чтобы взломать наш простой крякмис, PE-редактору надо обладать не такой уж широкой функциональностью: перейти по указанному адресу и переписать команду (желательно в дизассемблерном листинге). Править циферки в шестнадцатеричном дампе мне совсем не хочется (вероятно, тебе тоже), поэтому наличие встроенного дизассемблера запишем в ключевые свойства.
Как ты помнишь, с помощью отладчика мы нашли в памяти адрес инструкции (см. четвертую статью «Фундаментальных основ»), которая определяет ход выполнения программы при вводе пароля. А благодаря сведениям из третьей статьи этот виртуальный адрес у нас получилось преобразовать в физический, находящийся на носителе. Таким образом, перейдя в исполняемом файле по адресу 0x402801 и заменив там инструкцию test на xor , мы получим программу, принимающую любые пароли. Меньше слов, больше дела!
PE-Explorer
Разработчик: Heaventools Software
Сайт: http://www.heaventools.ru/pe-explorer.htm
Дата выхода последней версии: Октябрь, 2009
Стоимость: $129 – персональная лицензия
Под первым номером идет довольно распространенный редактор PE-Explorer. В отличие от своего собрата Resource Tuner, он способен редактировать не только ресурсы приложения, но и код. Несмотря на свой почтенный возраст, исправно работает даже в Windows 10. К сожалению, PE-Explorer умеет работать только с 32-битными файлами и при попытке открыть 64-битный бинарник сообщает об ошибке.
Утилита обладает богатой функциональностью: отображает все элементы заголовка РЕ, определяет, к каким DLL происходит обращение, предсказывает поведение программ и логику взаимодействия с другими модулями и даже открывает запакованные UPX, UPack или NSPack файлы. Кроме того, она позволяет просматривать и редактировать секции PE-файла, исследовать содержимое таблиц импорта и экспорта и проверять наличие и целостность цифровой подписи. В качестве «вишенки на торте» тут присутствует полноценный дизассемблер.
Но это только на словах, а на деле мы его сейчас проверим. Из-за того что продукт платный, я использовал триальную версию, готовую работать на протяжении 30 дней. Об урезанных функциях ничего сказано не было.
Запустим редактор и сразу же откроем наше подопытное приложение. PE-Explorer первым делом выводит информацию о заголовке PE-файла. Для получения сведений об остальных разделах достаточно пощелкать кнопки на панели инструментов. Жмем пиктограмму Disassembler и открываем окно для выбора поддерживаемых инструкций: SSE, SSE2 и прочее. Указываем необходимые и начинаем процесс нажатием кнопки Start Now .
В открывшемся окне большую часть занимает область с дизассемблерным листингом, чуть ниже располагается шестнадцатеричный дамп. Если в заголовке нижней панели выбрать вкладку Strings, то отобразятся все строки в исследуемом приложении. Так что поиском можно найти и эталонный пароль. Однако для этого пришлось бы перебрать весь внушительный список доступных строк, так что отложим этот вариант до худших времен.
Так как мы с помощью отладчика нашли адрес инструкции, которая отвечает за ход выполнения программы, то попробуем проверить этот адрес в PE-Explorer: нажимаем Ctrl-F (или Search → Find) и вводим адрес для поиска: 402801 .
Что ж, я немного разочарован результатом дизассемблирования. Даже отладчик в этом месте показывает мне инструкцию test , а здесь я вижу лишь начало ее шестнадцатеричного кода: 0х85 . При этом я не могу редактировать код! Зачем мне все эти возможности, если утилита не позволяет делать самую базовую вещь?
Я даже не могу списать этот недочет на ограничения демоверсии, так как о ее отличиях от платной ничего толком не сказано. Допускаю, что с теми целями, для которых этот продукт предназначен (статическое изучение приложения и вектора его выполнения), он справляется хорошо. Однако нашим требованиям программа не соответствует, поэтому смело вычеркиваю PE-Explorer из списка кандидатов.
FlexHex
Разработчик: Heaventools Software
Сайт: http://www.heaventools.ru/flexhex-hex-editor.htm
Дата выхода последней версии: Июль, 2018
Стоимость: $59,95
Думаю, нужно дать разработчику еще один шанс, поэтому рассмотрим другую утилиту Heaventools Software — hex-редактор FlexHex. Это инструмент для редактирования любых файлов, процессов или устройств в двоичном формате, ASCII и Unicode. По словам авторов, редактор умеет работать с файлами просто гигантского размера — 8 эксабайт. Кроме того, он поддерживает множество типов данных: байты, слова, двойные слова, восьмибитовые слова, различные десятичные значения со знаком и без, 32- и 64-битовые целые.
Сложные типы данных тут могут быть определены самим пользователем — это структуры, объединения, массивы, перечисления, строки и их сочетания. Обещают прямое редактирование любых значений, в том числе шестнадцатеричных, строковых, изменение областей памяти и типизированных данных. Поддерживаются битовые операции (NOT, AND, OR и XOR над блоками данных) и, конечно же, арифметические операции: сложение, вычитание, умножение, деление и взятие остатка.
Однако главная особенность FlexHex — это возможность сравнения файлов целиком или отдельными блоками. При этом использование карт сравнения позволяет сделать процесс более интуитивным и наглядным.
Все это хорошо, но как утилита справится со взломом — нашей элементарной задачкой? Отсутствие дизассемблера сразу намекает нам, что придется работать в hex-кодах. Запустим FlexHex и откроем с его помощью наш крякмис.
Первым делом попробуем найти смещение 402801 . Кликаем Navigate → Go To и в списке слева выбираем пункт Address, а в поле Enter address вводим значение для поиска. Убеждаемся, что включен режим Hex , и нажимаем кнопку Go To.
Однако результат поиска выносит нас далеко за границы приложения. Обрати внимание, что последние читаемые символы находятся по смещению 0x3659F0 . Если напрячь память, то вспоминается, что в заголовке РЕ базовый адрес (или адрес загрузки модуля) прописан как 0x400000 . А здесь он даже не учитывается!
Ладно, как говорил дедушка Ленин, мы «пойдем другим путем». Строго говоря, FlexHex не понимает формат РЕ и потому его нельзя признать полноценным PE-редактором. Так что нам ничего не остается, как править байтики. Из того же отладчика, где мы нашли проверяющую пароли инструкцию, возьмем уникальную последовательность байтов: 85 C0 74 3C 68 . Она покрывает ассемблерные команды:
test eax, eax jz 0x402841 push 0x5A71C4
Я выбрал такую длинную последовательность, чтобы не было ложных срабатываний. За ключевым байтом 0x74 тут скрывается ассемблерная инструкция JZ . Чтобы сделать из нее JNZ , достаточно переписать как 0x75 . В итоге мы получим программу, кушающую любые пароли, кроме эталонного.
С помощью Search → Find открываем окно и указываем в качестве типа для поиска Hex Bytes и направление. В поле ввода пишем нашу последовательность байтов: 85 C0 74 3C 68 . Есть совпадение! Теперь ставим курсор на 74 , нажимаем Delete и вписываем на этом месте 75 . Сохраняем результат и закрываем редактор. Проверь «пропатченное» приложение, оно теперь должно работать значительно лучше.
В целом я бы не сказал, что этот редактор отличается значительным удобством и соответствует нюансам работы благородного крекера. Поэтому отдавать за него 60 долларов кровных лично я бы не стал.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Юрий Язев
Широко известен под псевдонимом yurembo. Программист, разработчик видеоигр, независимый исследователь. Старый автор журнала «Хакер».
Источник: xakep.ru
Hex-редакторы vs. malware: Выбираем шестнадцатеричный редактор для анализа бинарников
HEX Editor — один из лучших HEX-редакторов для просмотра и работы с бинарными файлами. Кроме закономерной минималистичности и удобства управления пользователи смогут найти весь необходимый набор инструментов для максимально быстрой и плодотворной деятельности без каких-либо преград. Так же есть и макро система для поиска решений особо сложных ситуаций. Поддержка различных кодировок, встроенный эмулятор терминала, возможность действий сразу с несколькими файлами, система настроек по визуальному отображению, а так же многое другое придётся по душе всем кто так или иначе нуждается в подобных возможностях. Что в моде: Premium Оценок: 1 Скриншоты
Подписаться на новость HEX Editor При изменении новости вы получите уведомление на E-mail. Подписаться Внимание! Если у вас не качает игры, кеш, не распаковывает кеш, не устанавливаются игры, не нажимается кнопка скачать — качайте все браузером который можно скачать в официальном Google Play 
Предыдущий пост Auto Move To SD Card 
Следующий пост Pdf Tool — Merge, Split, Watermark, Encrypt 1
После окончания цикла статьей «Лучшие инструменты пентестера» в редакцию пришло немало писем с просьбой сделать подборку hex-редакторов. Интерес, конечно, представляет не возможность редактировать бинарные данные, а дополнительные фичи вроде автоматического распознавания структур данных и дизассемблирования кода. Чтобы сделать обзор, мы выяснили мнения людей, которым чаще других приходится ковыряться с такими инструментами – вирусных аналитиков. И вот что они нам рассказали.
Любой hex-редактор позволяет исследовать и модифицировать файл на низком уровне, оперируя с битами и байтами. Содержание файла представляется в шестнадцатеричной форме. Это базовый функционал.
Однако некоторые редакторы предлагают пользователям намного большее, позволяя разобраться, собственно, что есть что в том непонятном наборе символов, который появляется при открытия файла. Для этого автоматически извлекаются ASCII и Unicode строки, осуществляется поиск известных паттернов, выполняется распознавание основных структур данных и многое другое. Шестнадцатеричных редакторов довольно много, но если мы решили рассмотреть их в контексте исследования образцов малвари, то легко выделить некоторые из них. Лишь немногие оказываются реально полезными для анализа зловредного кода и исследования зараженных документов (скажем, PDF).
McAfee FileInsight
FileInsight – это бесплатный hex-редактор для Windows от компании McAfee Labs. Продукт, само собой, выполняет весь стандартный функционал, сопутствующий подобному софту, предлагая удобный интерфейс для просмотра и редактирования файлов в шестнадцатеричном и текстовом режимах. Но это лишь капля в море, если посмотреть на весь его функционал.
Начать стоит с того, что FileInsight способен парсить структуру исполняемых бинарников для Windows (PE файлов), а также OLE-объектов Microsoft Office. Мало этого, пользователю предлагается встроенный x86 дизассемблер. Достаточно выбрать часть файла, которую хочешь просмотреть в виде читаемого кода, и FileInsight покажет этот фрагмент как листинг ассемблерных инструкций. Дизассемблер особенно полезен, когда ищешь шеллкод в зловредных файлах. Среди других опций, которые придутся по душе реверсерам – возможность импортировать объявления структур. Для этого программе достаточно указать заголовочный файл с объявлениями вроде:
В этом случае программа сама будет парсить подобные конструкции. Впрочем, и по умолчанию предлагается немало интуитивных алгоритмов для обработки кода. Речь, прежде всего, идет о декодировании многих методов обфускации (xor, add, shift, Base64 и т.д.) – встроенные скрипты щелкают подобную криптозащиту на раз-два.
Тут надо заметить, что в качестве объекта исследования необязательно должен быть бинарник, это может быть и обычная веб-страница, вызывающая подозрения. Многие действия программа позволяет автоматизировать с помощью простых сценариев на JavaScript или модулей на Python, которых написано уже немало. Увы, при всех достоинствах, у FileInsight есть и серьезный недостаток, выражающийся в невозможности обрабатывать большие файлы. К примеру, если попытаешься скормить утилите файл размером в 400-500 Мб, вылетает ошибка «Failed to open document».
Hex Editor Neo
Существует две версии этого шестнадцатеричного редактора от компании HDD Software – простая бесплатная и продвинутая коммерческая версия. Freeware-вариант – это добротный, но мало чем примечательный HEX-редактор, имеющий классный настраиваемый интерфейс с поддержкой разных цветовых схем. Не более того.
А вот профессиональная версия Hex Editor Neo предоставляет несколько полезных опций, которые могут быть крайне полезны при анализе бинарников. К примеру, пользователь получает возможность декодирования кода, закриптованного с помощью наиболее общих алгоритмов.
Помимо этого появляется возможность просмотра и редактирования локальных ресурсов типа NTFS-потоков, локальных дисков, памяти процесса, а также оперативки. В самой полной версии появляется и поддержка скриптового языка, позволяющая автоматизировать многие процессы с помощью сценариев на VBScript и JavaScript.
Но самый смак в том, что к твоим услугам предоставляется встроенный дизассемблер, который работает и с x86, и с x64, и с .NET-бинарниками! Еще одна фича – быстрое создание патчей, основанное на сравнении двух бинарников. Звучит впечатляюще, но лучше ли он, чем FileInsight? Скорее, нет. FileInsight в целом выглядит более функционально.
С другой стороны, любая, даже бесплатная версия Hex Editor Neo отлично работает даже с очень большими файлами и позволяет искать ASCII и Unicode-строки. Дизассемблер здесь не ограничивается одной лишь x86 платформой, а встроенный редактор ресурсов очень удобен. Есть над чем подумать.
FlexHex
FlexHex – это мощный коммерческий hex-редактор от компании Heaventools Software, который включает многие из функций, доступных в Hex Editor Neo. Единственное, чего здесь нет – это, пожалуй, поддержка скриптов. Зато этот полнофункциональный редактор одинаково хорошо обрабатывает бинарники, OLE-файлы, физические диски и альтернативные NTFS-потоки.
Последнее особенно важно, потому что FlexHex позволяет редактировать те данные, которые другие редакторы могут даже не увидеть. К тому же сразу чувствуется ориентированность на работу с большими массивами информации: какой бы размер ни был у файла, навигация по нему осуществляется без каких-либо лагов и тормозов. Для еще большего удобства работает система удобных закладок.
При этом FlexHex непрерывно ведет историю всех операций – можно отменить любое действие, просто выбрав его из списка изменений (undo-list не ограничен)! В FlexHex поддерживаются все необходимые операции с бинарными данными, поиск ASCII и Unicode-строк. Если необходимо обрабатывать структуру с заранее известным форматом, задать ее параметры не составит труда с помощью специальных инструментов.
В результате получаем отличный hex-редактор, но все-таки сильно уступающий тому же FileInsight. Единственная примечательная опция – это обработка OLE-файлов, но и тут есть проблемы. Несколько раз при попытке открыть зараженный OLE, программа вылетала с ошибкой «The docfile has been corrupted».
010 Editor
010 Editor – известный коммерческий продукт, разработанный SweetScape Software. Если сравнивать его с предыдущими тремя инструментами, то он умеет все: поддерживает работу с очень большими файлами, предоставляет классные возможности по оперированию с данными, позволяет редактировать локальные ресурсы, имеет систему скриптинга для автоматизации рутинных действий (более 140 различных функций к твоим услугам).
А еще у 010 Editor есть изюминка, уникальная фишка. Редактор уделывает всех благодаря возможности парсить различные форматы файлов, используя собственную библиотеку шаблонов (так называемые Binary Templates). Вот здесь ему нет равных. Над шаблонами работают множество энтузиастов по всему миру, забивая различные структуры форматов и данных.
В результате процесс навигации по различным форматам файлов становится прозрачным и понятным. Это касается в том числе и обработки бинарников для винды (PE файлам), файлов-ярлычков Windows (LNK), Zip-архивов, файлов Java-классов и многого другого. Всю прелесть этой фишки многие смогли осознать, когда известный специалист по безопасности Didier Stevens создал для 010 Editor шаблон для парсинга PDF-файлов. Вкупе с другими утилитами это серьезно упростило анализ зараженных PDF-документов, которые последние полгода не перестают удивлять количеством мест, откуда можно эксплуатировать программу-читалку. Добавляем сюда классный инструмент для сравнения бинарников, калькулятор с C-подобным синтаксисом, конвертирование данных между ASCII, EBCDIC, Unicode-форматами, и получаем очень привлекательный инструмент с уникальными фишками.
Hiew
Hiew, в плане способа распространения, мало чем отличается от своих коллег – это тоже коммерческий продукт, который разработал наш соотечественник Евгений Сусликов. Имеющая долгую историю, программа сильно полюбилась многим специалистам по информационной безопасности.
Тому есть вполне очевидные причины – мощные возможности для исследования и редактирования структуры и содержания исполняемых файлов как винды (PE), так и бинарников для Linux (ELF). Другая очень полезная фича для реверсинга – встроенный x86-64 ассемблер и дизассемблер. Последний даже поддерживает инструкции ARM.
Не надо говорить, что редактор отлично переваривает большие файлы и позволяет редактировать логические и физические диски. Многие задачи легко автоматизируются за счет системы клавиатурных макросов, скриптов и даже API для разработки расширений (Hiew Extrenal Modules). Но прежде чем рваться в бой, учти – интерфейс Hiew представляет собой DOS-подобное окно, работать с которым с непривычки довольно неудобно. Зато можешь прочувствовать на себе всю прелесть олдскула.
Radare
Radare – это набор бесплатных утилит для Unix-платформы, которые предоставляют классные возможности для редактирования файлов в HEX-режиме. В него входит непосредственно сам hex-редактор (radare) с возможностью открытия локальных и удаленных файлов. Программа анализирует исполняемые файлы различных форматов, как линуксовых (ELF), так и виндовых (PE).
Помимо редактирования в пакете Radare есть инструмент для сравнения бинарных файлов (radiff) и встроенный ассемблер/дизассемблер. А лично мне пару раз пригодился инструмент для генерации шеллкодов (rasc). Любые операции легко можно автоматизировать и подогнать под себя за счет скриптовой системы. Из минусов, опять же, можно отметить отсутствие GUI-интерфейса – все действия осуществляются из командной строки, а полноценно работать с утилитами получится, только прочитав документацию. С другой стороны на сайте есть наглядные скринкасты, демонстрирующие как основные моменты, так и маленькие секреты (вроде подключения Python-плагина).
Так что же выбрать?
Мы рассмотрели несколько мощных hex-редакторов, которые включают в себя полезные опции для анализа подозрительных файлов. Из всех продуктов серьезно выделяется FileInsight, который при всем своем функционале (а он действительно впечатляет) остается бесплатным. 010 Editor предоставляет большое количество шаблонов для обработки самых разных файлов, в том числе PDF-документов.
Это мега-фишка, которой нельзя пренебрегать. Эти два редактора я использую постоянно; для работы аналитика, пожалуй, они подходят лучше всего. Если говорить о работе под Unix-платформой, то, конечно, нельзя забывать о Radare. Пакет предлагает очень мощные возможности, хотя и сложен в использовании из-за того, что работает из командной строки.
Не очень дружелюбен и Hiew, хотя его возможности, безусловно, позволяют выполнять самые разные операции с бинарниками. К тому же, Hiew – это выбор большого количество настоящих профи, а это дорогого стоит (и многое значит). Что касается Hex Editor Neo, то его стоит взять на вооружение, если тебя интересует возможность дизассемблировать x86, x64 и .NET код.
WWW
- FileInsight:vil.nai.com/vil/averttools.aspx
- Hex Editor Neo:www.hhdsoftware.com/free-hex-editor
- FlexHex:www.flexhex.com
- 010 Editor:www.sweetscape.com/010editor
- Hiew:www.hiew.ru
- Radare:http://radare.nopcode.org/new/
CD/DVD
Дистрибутивы редакторов ты найдешь на нашем DVD-диске
INFO
Скажи, вот в каком оффлайн HEX-редакторе есть возможность коллективной работы нескольких людей? Я такого не знаю. Зато это предоставляет совершенно бесплатный онлайн-сервис hexpaste. Достаточно поделиться ссылкой на проект (например, hexpaste.com/WvwX04eV), чтобы к нему мог подключиться кто-то еще. Действует простейшая система контроля версий – каждое значимое изменение необходимо сохранить.
Интерфейс очень здорово реализован на AJAX’е, поэтому складывается ощущение, что работаешь в самой обычной, но очень простой программе.
Используемые источники:
- https://5mod.ru/programmy/instrumenty/4266-hex-editor.html
- http://prosmart.by/android/soft_android/system_android/19315-hex-editor-premium-267.html
- https://xakep.ru/2010/11/04/54884/
Источник: ztegid.ru