Приветствую юный хакер ))
Начну немного с теории, так сказать зачем и для чего это нужно.
Любой взлом (будь то программа или игра) начинается со взлома исполняемого файла. Профессиональные хакеры имеют много своих инструментов (которые естественно не доступны для общей аудитории), с помощью которых производят анализ PE заголовка. Что это такое можно почитать на MSDN тут msdn.microsoft.com/en-us/library/windows/desktop..
Как видите информации очень много. Вкратце, это структура исполняемого файла, которая загружается с помощью загрузчика Windows в оперативную память, после чего загрузчик передаёт "первую" инструкцию процессору и тот начинает исполнять команду за командой, которые можно увидеть например в окне отладчиков OllyDbg или x64dbg.
Для чего нужен анализ PE заголовка? Ну например чтобы найти точку входа (OEP), которую разрабы любят прятать. Или найти адреса и смещения таблиц импорта и экспорта, чтобы сделать hook и разместить новую таблицу импорта в новой секции. А может даже проанализировать PE, чтобы снять наложенный протект. В общем без этого шага взлом не начнётся.
Все доступные инструменты по анализу PE заголовка, честно говоря, совершенно не удобные. Некоторые (в силу старинного кода) не могут растягиваться (приходится ковыряться в окошке размером 320х240), некоторые закинуты 5-10 лет назад и соответственно уже ничего не умеют. В общем недостатков хватает. Именно это и побудило меня написать легкий, современный и понятный всем редактор PE заголовка.
Встречайте
скачать можно здесь sendfile.su/1358264 (новая версия)
редактор протестирован на Windows 7/8.1/10
для работы редактора необходимо установить VC++2015 (скачать можно здесь www.microsoft.com/ru-RU/download/details.aspx?id.. )
Редактор находится на ранней стадии (добавление новых функций напрямую зависит от моего свободного времени).
Что он сейчас может:
- отображает исполняемый файл в оперативную память;
- полностью анализирует таблицы импорта и экспорта;
- работает как с 32 битными так и с 64 битными файлами;
- поддерживает только исполняемые файлы (*.exe и *.dll);
- выводит информацию о структуре файла (можно выводить ещё много чего);
- распаковывает PE заголовок из UPX;
- добавляет новую секцию в PE заголовок (пока просто пустышку, позже эта функция будет добавлять новую таблицу импорта в новую секцию);
- кнопка удалить секцию и Снять дамп пока что не готовы к релизу (наброски кода есть, но нужно править);
- при попытке загрузить 32 битный файл в 64 битный редактор (и на оборот) выдаст сообщение об ошибке и откроет нужную версию (все три файла должны находится в одной папке и не переименовываться).
Небольшая инструкция:
всё просто, нажимаем Обзор, выбираем exe или dll, получаем массу информации и активацию некоторых кнопок (в зависимости от структуры PE, редактор сам проанализирует и предложит функции, которые можно применить на данном файле).
Внимание!
Во избежании порчи файла, перед его редактированием (добавлением новой секции) рекомендуется сделать его резервную копию.
PS: по мере готовности новых функций буду выкладывать новые версии здесь и описывать новые возможности.
Также прошу протестировать на наличие багов или ошибок и сообщить мне, чтобы я исправил.
Dark_AssassinUA
Да, выложу наверное на exelab когда реализую несколько интересных задумок. Там ребята серьезные и хочется показать им многофункциональный софт)
Ripper Man
да ну брось, какой ещё криминал
обычный вьювер содержимого исполняемого файла с небольшим функционалом для редактирования "под себя" и исправления всякой ненужной гадости от разрабов :D)
в новой версии:
- добавлен функционал для просмотра всех таблиц, имеющихся в исполняемом файле (на данный момент реализована только таблица отложенного импорта, присоединенный импорт тоже реализован частично, но данная таблица встречается очень редко. И ещё частично реализована таблица DIRECTORY_BASERELOC, но для релиза код не совсем готов).
Приветствую юный хакер ))
Начну немного с теории, так сказать зачем и для чего это нужно.
Любой взлом (будь то программа или игра) начинается со взлома исполняемого файла. Профессиональные хакеры имеют много своих инструментов (которые естественно не доступны для общей аудитории), с помощью которых производят анализ PE заголовка. Что это такое можно почитать на MSDN тут msdn.microsoft.com/en-us/library/windows/desktop..
Как видите информации очень много. Вкратце, это структура исполняемого файла, которая загружается с помощью загрузчика Windows в оперативную память, после чего загрузчик передаёт "первую" инструкцию процессору и тот начинает исполнять команду за командой, которые можно увидеть например в окне отладчиков OllyDbg или x64dbg.
Для чего нужен анализ PE заголовка? Ну например чтобы найти точку входа (OEP), которую разрабы любят прятать. Или найти адреса и смещения таблиц импорта и экспорта, чтобы сделать hook и разместить новую таблицу импорта в новой секции. А может даже проанализировать PE, чтобы снять наложенный протект. В общем без этого шага взлом не начнётся.
Все доступные инструменты по анализу PE заголовка, честно говоря, совершенно не удобные. Некоторые (в силу старинного кода) не могут растягиваться (приходится ковыряться в окошке размером 320х240), некоторые закинуты 5-10 лет назад и соответственно уже ничего не умеют. В общем недостатков хватает. Именно это и побудило меня написать легкий, современный и понятный всем редактор PE заголовка.
Встречайте
скачать можно здесь sendfile.su/1358264 (новая версия)
редактор протестирован на Windows 7/8.1/10
для работы редактора необходимо установить VC++2015 (скачать можно здесь www.microsoft.com/ru-RU/download/details.aspx?id.. )
Редактор находится на ранней стадии (добавление новых функций напрямую зависит от моего свободного времени).
Что он сейчас может:
- отображает исполняемый файл в оперативную память;
- полностью анализирует таблицы импорта и экспорта;
- работает как с 32 битными так и с 64 битными файлами;
- поддерживает только исполняемые файлы (*.exe и *.dll);
- выводит информацию о структуре файла (можно выводить ещё много чего);
- распаковывает PE заголовок из UPX;
- добавляет новую секцию в PE заголовок (пока просто пустышку, позже эта функция будет добавлять новую таблицу импорта в новую секцию);
- кнопка удалить секцию и Снять дамп пока что не готовы к релизу (наброски кода есть, но нужно править);
- при попытке загрузить 32 битный файл в 64 битный редактор (и на оборот) выдаст сообщение об ошибке и откроет нужную версию (все три файла должны находится в одной папке и не переименовываться).
Небольшая инструкция:
всё просто, нажимаем Обзор, выбираем exe или dll, получаем массу информации и активацию некоторых кнопок (в зависимости от структуры PE, редактор сам проанализирует и предложит функции, которые можно применить на данном файле).
Внимание!
Во избежании порчи файла, перед его редактированием (добавлением новой секции) рекомендуется сделать его резервную копию.
PS: по мере готовности новых функций буду выкладывать новые версии здесь и описывать новые возможности.
Также прошу протестировать на наличие багов или ошибок и сообщить мне, чтобы я исправил.