Gli antipiretici per i bambini sono prescritti da un pediatra. Ma ci sono situazioni di emergenza per la febbre, quando il bambino ha bisogno di medicine immediatamente. Quindi i genitori si assumono la responsabilità e usano farmaci antipiretici. Cosa è permesso dare ai bambini? Come abbassare la temperatura nei bambini più grandi? Quali farmaci sono i più sicuri?
Un editor HEX è un programma in grado di visualizzare le informazioni nel modo in cui un computer le "vede", ma convertendole in esadecimali. Aprendo qualsiasi file in tale applicazione, l'utente vedrà una matrice composta da colonne e righe, il cui numero dipende dalla dimensione del file in questione. Pertanto, se si modificano i valori dei byte nell'editor, cambierà anche il contenuto del documento aperto.
Un po' di teoria
Tutti i dati vengono archiviati nella memoria del PC sotto forma di parole macchina, altrimenti - byte. Ciascuno include 8 bit (cifre binarie che assumono il valore di "0" o "1"). Con calcoli matematici, puoi capire che in un byte può essere scritto un numero compreso tra 0 e 255. Se converti 255 in esadecimale, verrà convertito in FF. Cioè, per visualizzare qualsiasi parola macchina, è molto comodo usare la rappresentazione esadecimale. Da qui il nome del gruppo di programmi - editor esadecimale.
Elementi principali dei programmi
Oltre alla matrice sopra descritta, potrebbero esserci altri mezzi nell'interfaccia del gruppo di applicazioni presentato:
- Numerazione delle righe. Di solito si trova sul lato sinistro dell'applicazione. Mostra l'offset del primo byte della stringa rispetto all'inizio del file.
- Nella parte superiore c'è spesso una striscia di numeri simile che mostra l'offset di byte del valore relativo a sinistra nella riga. Sommando i valori delle stringhe, puoi ottenere il numero di ogni byte.
- L'area di destra può visualizzare gli stessi dati della tabella, ma sotto forma di testo utente).
McAfee FileInsight
Questo editor HEX è assolutamente gratuito. Funziona solo in sistemi operativi Famiglia Windows. Il prodotto ha tutte le caratteristiche del gentleman, come la visualizzazione e la modifica di un file. Allo stesso tempo, il programma ha un'interfaccia piacevole e conveniente.
Ma le funzionalità standard sono il minimo per cui è possibile utilizzare FileInsight. Qual è il massimo? Devi iniziare con la capacità di analizzare le strutture dei file eseguibili. Questo non è abbastanza? Qualsiasi frammento selezionato può essere smontato al volo. Un clic - e numeri incomprensibili diventano un elenco leggibile.
Tra le altre cose, questo editor HEX fornisce molti algoritmi di elaborazione del codice per aggirare la protezione integrata degli sviluppatori. Prima di tutto, devi prestare attenzione alla decodifica dei metodi di offuscamento come add, xor, Base64, shift. Gli script forniti con l'applicazione rompono facilmente tale protezione crittografica. La maggior parte delle azioni può essere automatizzata scrivendo semplici script in JS o Python. A volte non è necessario creare nulla di nuovo, perché la base di questi è impressionante.
Sebbene FileInsight sia considerato uno dei migliori strumenti per il reverse engineering, il programma presenta anche un enorme svantaggio: l'impossibilità di elaborare file di dimensioni superiori a 400 MB.
Editor esadecimale Neo
Questo editor HEX è distribuito in due versioni: gratuita e avanzata. Un prodotto con una licenza freeware è di alta qualità, ma insignificante. Tra le funzionalità, puoi evidenziare le ampie impostazioni dell'interfaccia e le combinazioni di colori. La versione professionale fornisce funzionalità più utili che sono particolarmente rilevanti durante l'analisi
Ad esempio, all'utente viene fornita la possibilità di decodificare programmi crittografati con algoritmi comuni. Oltre a questo, ci sono funzioni che consentono di modificare le risorse locali (RAM, flussi NTFS, dischi rigidi). L'automazione dei processi viene implementata utilizzando gli script VBS e JS.
Tuttavia, la caratteristica più importante del programma è il disassembler, che può funzionare con file x64, x86 e .NET. Un'altra caratteristica non fornita dai concorrenti è la creazione di una patch basata sul confronto di due eseguibili binari. Sicuramente impressionante, ma rispetto a FileInsight, Neo perde comunque. Tuttavia, NEO può gestire file di grandi dimensioni.
Ciao
L'editor Hiew HEX non ha una versione gratuita. Un team dalla Russia è impegnato nello sviluppo. Il prodotto inizia la sua storia dai tempi delle applicazioni a 16 bit per DOS e Windows 3.1. Hiew è spesso utilizzato dai professionisti che si occupano di computer e informazioni di sicurezza. Le ragioni sono chiare: l'intera gamma di possibilità per la modifica e la visualizzazione di binari eseguibili File di Windows, così come i programmi Linux compilati (ELF).
Un'altra caratteristica degna di nota per aiutare nel reverse engineering è il disassemblatore e assemblatore integrato di Hiew. Inoltre, funzionano sia con applicazioni x86 che x86_64, sono supportate anche le istruzioni ARM. L'editor gestisce file di grandi dimensioni senza alcuna difficoltà, consente di eseguire modifiche di basso livello ai dati su HDD fisici.
È possibile automatizzare un gran numero di azioni. Per fare ciò, i programmatori hanno integrato la capacità di creare script, macro della tastiera e funzioni API che vengono utilizzate per chiamare procedure interne da applicazioni esterne. Ma Hiew non ha ancora raggiunto la vittoria incondizionata nel campo degli editori esadecimali. La sua interfaccia è completamente realizzata in stile DOS, ed è impegnata nel disegno di Windows (o della console, se parliamo di sistemi Linux).
Buongiorno a tutti.
Per qualche ragione, molte persone pensano che lavorare con gli editor esadecimali sia compito dei professionisti e gli utenti inesperti non dovrebbero intromettersi con loro. Ma, secondo me, se hai almeno competenze di base del PC e capisci perché hai bisogno di un editor esadecimale, allora perché no?!
Con l'aiuto di un programma di questo tipo, puoi modificare qualsiasi file, indipendentemente dal suo tipo (molti manuali e guide contengono informazioni sulla modifica di un determinato file utilizzando un editor esadecimale)! È vero, l'utente deve avere almeno una conoscenza di base del sistema esadecimale (i dati nell'editor esadecimale sono presentati in esso). Tuttavia, le conoscenze di base su di esso vengono fornite nelle lezioni di informatica a scuola, e probabilmente molti ne hanno sentito parlare e ne hanno un'idea (quindi, non lo commenterò in questo articolo). Quindi, ecco i migliori editor esadecimali per principianti (secondo la mia modesta opinione).
1) Editor esadecimale gratuito Neo
Uno degli editor più semplici e comuni per file esadecimali, decimali e binari con sistema operativo Windows. Il programma consente di aprire qualsiasi tipo di file, apportare modifiche (la cronologia delle modifiche viene salvata), selezionare e modificare comodamente un file, eseguire il debug e l'analisi.
Vale anche la pena notare il molto buon livello prestazioni, insieme a bassi requisiti di sistema per la macchina (ad esempio, il programma consente di aprire e modificare file abbastanza grandi, mentre altri editor si bloccano semplicemente e si rifiutano di lavorare).
Tra le altre cose, il programma supporta la lingua russa, ha un'interfaccia ponderata e intuitiva. Anche un utente inesperto sarà in grado di comprendere e iniziare a lavorare con l'utilità. In generale, lo consiglio a chiunque stia iniziando a conoscere gli editor esadecimali.
2) WinHex
Questo editor, sfortunatamente, è shareware, ma è uno dei più versatili, supporta un sacco di opzioni e funzionalità diverse (alcune delle quali sono difficili da trovare tra i concorrenti).
Nella modalità editor del disco, consente di lavorare con: HDD, floppy disk, unità flash, DVD, dischi ZIP, ecc. Supporta i file system: NTFS, FAT16, FAT32, CDFS.
Non posso non notare comodi strumenti di analisi: oltre alla finestra principale, puoi collegarne di aggiuntivi con diverse calcolatrici, strumenti per la ricerca e l'analisi della struttura dei file. In generale, adatto sia a principianti che a utenti esperti. Il programma supporta la lingua russa ( selezionare il seguente menu: Guida / Configurazione / Inglese ).
WinHex, oltre alle sue funzioni più comuni (che supportano programmi simili), permette di "clonare" i dischi e cancellare le informazioni da essi in modo che nessuno possa mai recuperarli!
3) Editor esadecimale HxD
Un editor binario gratuito e abbastanza potente. Supporta tutte le principali codifiche (ANSI, DOS/IBM-ASCII ed EBCDIC), file di quasi tutte le dimensioni (a proposito, l'editor consente di modificare la RAM oltre ai file, scrivere direttamente le modifiche sul disco rigido!).
È inoltre possibile notare un'interfaccia ben congegnata, una funzione comoda e semplice per la ricerca e la sostituzione dei dati, un sistema a gradini e multilivello di backup e rollback.
Dopo l'avvio, il programma è composto da due finestre: a sinistra c'è un codice esadecimale e a destra c'è una traduzione del testo e il contenuto del file.
Tra gli svantaggi, individuerei la mancanza della lingua russa. Tuttavia, molte funzioni risulteranno chiare anche a chi non ha mai imparato l'inglese...
4) HexCmp
HexCmp: questa piccola utility combina 2 programmi contemporaneamente: il primo consente di confrontare i file binari tra loro e il secondo è un editor esadecimale. Questa è un'opzione molto preziosa quando è necessario trovare differenze in file diversi, aiuta a esplorare la diversa struttura di un'ampia varietà di tipi di file.
A proposito, i luoghi dopo il confronto possono essere dipinti con un colore diverso, a seconda di dove tutto corrisponde e dove i dati sono diversi. Il confronto avviene al volo ed è velocissimo. Il programma supporta file la cui dimensione non supera i 4 GB (che è sufficiente per la maggior parte delle attività).
Oltre al solito confronto, puoi confrontare nella versione testuale (o anche entrambi contemporaneamente!). Il programma è abbastanza flessibile, consente di personalizzare la combinazione di colori, specificare i pulsanti di scelta rapida. Se configuri il programma in modo corretto, puoi lavorarci senza mouse! In generale, consiglio di familiarizzare tutti i "checker" principianti di editor esadecimali e strutture di file.
5) Officina esagonale
Hex Workshop - semplice e comodo editore binari, che si distingue principalmente per le sue impostazioni flessibili e i bassi requisiti di sistema. Grazie a ciò, è possibile modificare file sufficientemente grandi al suo interno, che semplicemente non si aprono o si bloccano in altri editor.
L'arsenale dell'editor ha tutte le funzioni più necessarie: modifica, ricerca e sostituzione, copia, incolla, ecc. Il programma può eseguire operazioni logiche, confrontare file binari, visualizzare e generare vari checksum di file, esportare dati nei formati più diffusi: rtf e html.
L'editor dispone anche di un convertitore tra sistemi binari, binari ed esadecimali. In generale, un buon arsenale per un editor esadecimale. Forse l'unico aspetto negativo è che il programma è shareware ...
buona fortuna!
Pulsanti sociali.
Dopo la fine della serie di articoli "I migliori strumenti per pentester", la redazione ha ricevuto molte lettere con la richiesta di fare una selezione di editor esadecimali. Di interesse, ovviamente, non è la possibilità di modificare dati binari, ma funzionalità aggiuntive come il riconoscimento automatico delle strutture dati e il disassemblaggio del codice. Per fare una panoramica, abbiamo scoperto le opinioni di persone che spesso devono armeggiare con tali strumenti: gli analisti di virus. Ed ecco cosa ci hanno detto.
Qualsiasi editor esadecimale consente di esaminare e modificare un file a basso livello, operando con bit e byte. Il contenuto del file è presentato in forma esadecimale. Questa è la funzionalità di base. Tuttavia, alcuni editor offrono agli utenti molto di più, consentendo loro di capire cosa sia in quell'incomprensibile insieme di caratteri che appare all'apertura di un file. Per fare ciò, le stringhe ASCII e Unicode vengono estratte automaticamente, vengono ricercati modelli noti, vengono riconosciute le strutture di dati di base e molto altro. Esistono parecchi editor esadecimali, ma se decidiamo di considerarli nel contesto di campioni di malware, è facile evidenziarne alcuni. Solo alcuni sono davvero utili per analizzare codice dannoso ed esaminare documenti infetti (ad esempio, PDF).
McAfee FileInsight
FileInsight è un editor esadecimale gratuito per Windows di McAfee Labs. Il prodotto, ovviamente, esegue tutte le funzionalità standard associate a tale software, offrendo una comoda interfaccia per la visualizzazione e la modifica di file in modalità esadecimale e di testo. Ma questa è solo una goccia nell'oceano, se guardi a tutte le sue funzionalità. Vale la pena iniziare con il fatto che FileInsight è in grado di analizzare la struttura dei file binari eseguibili per Windows (file PE), nonché gli oggetti OLE di Microsoft Office. Non solo, all'utente viene offerto un disassemblatore x86 integrato. È sufficiente selezionare la parte del file che si desidera visualizzare come codice leggibile e FileInsight mostrerà questo frammento come un elenco di istruzioni dell'assemblatore. Il disassembler è particolarmente utile quando si cerca lo shellcode in file dannosi. Altre opzioni che i reverser apprezzeranno è la possibilità di importare dichiarazioni di struttura. Per fare ciò, il programma deve solo specificare un file di intestazione con dichiarazioni come:
struct ANIHeader(
DWORD cbSizeOf; // Num byte in AniHeader
cFrame DWORD; // Numero di icone univoche
DWORD cPassi; // Numero di Blit
};
In questo caso, il programma stesso analizzerà tali costruzioni. Tuttavia, molti algoritmi intuitivi per l'elaborazione del codice sono offerti per impostazione predefinita. Prima di tutto, stiamo parlando di decodificare molti metodi di offuscamento (xor, add, shift, Base64, ecc.) - gli script integrati fanno clic su tale crittografia una o due volte. Qui va notato che l'oggetto della ricerca non deve essere un binario, può essere una normale pagina web che desta sospetti. Il programma consente di automatizzare molte azioni utilizzando semplici script JavaScript o moduli Python, che sono già stati scritti molto. Purtroppo, con tutti i vantaggi, FileInsight presenta anche un grave inconveniente, che si esprime nell'impossibilità di elaborare file di grandi dimensioni. Ad esempio, se si tenta di fornire all'utilità un file di 400-500 MB, l'errore "Impossibile aprire il documento" si arresta in modo anomalo.
Editor esadecimale Neo
Esistono due versioni di questo editor esadecimale di HDD Software: una semplice versione gratuita e una versione commerciale avanzata. La versione freeware è un editor HEX solido ma insignificante che ha una fantastica interfaccia personalizzabile con supporto per diverse combinazioni di colori. Non più. Ma la versione professionale di Hex Editor Neo fornisce diverse opzioni utili che possono essere estremamente utili durante l'analisi dei binari. Ad esempio, l'utente ottiene la possibilità di decodificare il codice crittografato utilizzando gli algoritmi più comuni. Inoltre, diventa possibile visualizzare e modificare risorse locali come flussi NTFS, unità locali, memoria di processo e RAM. Nel versione completa c'è anche il supporto per un linguaggio di scripting che consente di automatizzare molti processi utilizzando script in VBScript e JavaScript. Ma la parte migliore è che hai un disassemblatore integrato che funziona con i binari x86, x64 e .NET! Un'altra caratteristica è la rapida creazione di patch basate sul confronto di due binari. Sembra impressionante, ma è meglio di FileInsight? Probabilmente no. FileInsight sembra nel complesso più funzionale. D'altra parte, qualsiasi, anche versione gratuita Hex Editor Neo funziona benissimo anche con file molto grandi e ti permette di cercare stringhe ASCII e Unicode. Il disassemblatore qui non è limitato alla sola piattaforma x86 e l'editor di risorse integrato è molto conveniente. C'è qualcosa a cui pensare.
FlexHex
FlexHex è un potente editor esadecimale commerciale di Heaventools Software che include molte delle funzionalità disponibili in Hex Editor Neo. L'unica cosa che non c'è è, forse, il supporto per gli script. Ma questo editor completo gestisce ugualmente bene binari, file OLE, dischi fisici e flussi NTFS alternativi. Quest'ultimo è particolarmente importante perché FlexHex ti consente di modificare dati che altri editor potrebbero non vedere nemmeno. Inoltre, senti subito l'attenzione sul lavoro con grandi quantità di informazioni: non importa quanto sia grande il file, la navigazione attraverso di esso avviene senza ritardi e freni. Per una comodità ancora maggiore, c'è un sistema di comodi segnalibri. Allo stesso tempo, FlexHex conserva continuamente una cronologia di tutte le operazioni: puoi annullare qualsiasi azione semplicemente selezionandola dall'elenco delle modifiche (l'elenco di annullamento non è limitato)! FlexHex supporta tutte le operazioni necessarie con dati binari, ricerca di stringhe ASCII e Unicode. Se è necessario elaborare una struttura con un formato precedentemente noto, non sarà difficile impostarne i parametri utilizzando strumenti speciali. Di conseguenza, otteniamo un eccellente editor esadecimale, ma comunque molto inferiore allo stesso FileInsight. L'unica opzione degna di nota è l'elaborazione di file OLE, ma anche qui ci sono problemi. Diverse volte durante il tentativo di aprire un OLE infetto, il programma si è bloccato con l'errore "Il file doc è stato danneggiato".
010 editore
010 Editor è un famoso prodotto commerciale sviluppato da SweetScape Software. Se lo confronti con i tre strumenti precedenti, allora può fare tutto: supporta il lavoro con file molto grandi, fornisce fantastiche capacità di manipolazione dei dati, ti consente di modificare le risorse locali, ha un sistema di scripting per automatizzare le azioni di routine (più di 140 diversi funzioni al vostro servizio). E 010 Editor ha un gusto, una caratteristica unica. L'editor rende tutti felici grazie alla possibilità di analizzare vari formati di file utilizzando la propria libreria di modelli (i cosiddetti modelli binari). Qui non ha eguali. Molti appassionati in tutto il mondo lavorano su modelli, martellando vari formati e strutture di dati. Di conseguenza, il processo di navigazione attraverso vari formati di file diventa trasparente e comprensibile. Questo vale anche per l'elaborazione di file binari di Windows (file PE), file di collegamento di Windows (LNK), archivi Zip, file di classe Java e molto altro. L'intero fascino di questa funzione è stato realizzato da molte persone quando il noto specialista della sicurezza Didier Stevens ha creato un modello per l'analisi dei file PDF per 010 Editor. Insieme ad altre utilità, questo semplifica enormemente l'analisi dei documenti PDF infetti, che negli ultimi sei mesi non hanno mai smesso di stupire per il numero di posti in cui il lettore può essere utilizzato. Aggiungiamo qui un fantastico strumento di confronto binario, una calcolatrice con una sintassi simile a C, la conversione dei dati tra i formati ASCII, EBCDIC, Unicode e otteniamo uno strumento molto interessante con caratteristiche uniche.
Ciao
Hiew, in termini di metodo di distribuzione, non è molto diverso dai suoi colleghi: anche questo è un prodotto commerciale sviluppato dal nostro connazionale Evgeny Suslikov. Con una lunga storia, il programma è molto amato da molti professionisti della sicurezza delle informazioni. Ci sono ragioni abbastanza ovvie per questo: potenti capacità per esaminare e modificare la struttura e il contenuto dei file eseguibili sia per Windows (PE) che per i binari per Linux (ELF). Un'altra caratteristica molto utile per l'inversione è l'assemblatore e disassemblatore x86-64 integrato. Quest'ultimo supporta anche le istruzioni ARM. Inutile dire che l'editor digerisce perfettamente file di grandi dimensioni e consente di modificare unità logiche e fisiche. Molte attività sono facilmente automatizzabili tramite un sistema di macro della tastiera, script e persino un'API per lo sviluppo di estensioni (Hiew Extrenal Modules). Ma prima di precipitarti in battaglia, tieni presente che l'interfaccia di Hiew è una finestra simile a DOS, con cui è piuttosto scomodo lavorare per abitudine. Ma puoi sentire di persona tutto il fascino della vecchia scuola.
radar
Radare è un insieme di utilità gratuite per la piattaforma Unix che forniscono fantastiche opzioni per la modifica dei file in modalità HEX. Include lo stesso editor esadecimale (radare) con la possibilità di aprire local e file cancellati. Il programma analizza file eseguibili di vari formati, sia Linux (ELF) che Windows (PE). Oltre all'editing, Radare ha uno strumento per confrontare i file binari (radiff) e un assembler/disassemblatore integrato. E personalmente, uno strumento per la generazione di codici shell (rasc) è tornato utile un paio di volte. Qualsiasi operazione può essere facilmente automatizzata e personalizzata utilizzando un sistema di scripting. Tra gli svantaggi, ancora una volta, possiamo notare la mancanza di un'interfaccia GUI: tutte le azioni vengono eseguite da riga di comando, e sarà possibile lavorare completamente con le utilità solo dopo aver letto la documentazione. D'altra parte, il sito ha screencast visivi che mostrano sia i punti principali che i piccoli segreti (come il collegamento di un plug-in Python).
Quindi cosa scegliere?
Abbiamo esaminato diversi potenti editor esadecimali che includono opzioni utili per l'analisi di file sospetti. Tra tutti i prodotti spicca FileInsight, che, nonostante tutte le sue funzionalità (ed è davvero impressionante), rimane gratuito. 010 Editor fornisce un gran numero di modelli per l'elaborazione di un'ampia varietà di file, inclusi i documenti PDF. Questo è un mega-chip da non trascurare. Questi sono i due editor che uso sempre; per il lavoro di un analista, forse, sono più adatti. Se parliamo di lavorare sotto la piattaforma Unix, allora, ovviamente, non dobbiamo dimenticare Radare. Il pacchetto offre funzionalità molto potenti, anche se è difficile da usare a causa del fatto che funziona dalla riga di comando. Anche Hiew non è molto amichevole, sebbene le sue capacità ti consentano sicuramente di eseguire una varietà di operazioni con i binari. Inoltre, Hiew è la scelta di molti veri professionisti, e questo vale molto (e significa molto). Per quanto riguarda Hex Editor Neo, dovresti metterlo in servizio se sei interessato alla possibilità di disassemblare codice x86, x64 e .NET.
Descrizione: Editor esadecimale Neo Ultimate- il più potente editor binario per professionisti esperti che vogliono il meglio e conoscono il piacere di lavorare solo con strumenti di alta qualità.
Hex Editor Neo Ultimate è un editor esadecimale, decimale e binario professionale per Windows. Il programma ha la capacità di selezionare, visualizzare, modificare, sostituire, eseguire il debug e analizzare i dati. Ti consente di impacchettare in due clic, manipolare i tuoi file EXE, DLL, DAT, AVI, MP3, JPG con annullamenti e ripetizioni illimitati. Cronologia illimitata delle modifiche ai file con visualizzazione e possibilità di salvare il download.
Capacità:
Funzione di annullamento illimitata.
Selezione di vari oggetti.
Salva e carica selezionato.
Ricerca.
Cerca e sostituisci.
Salvataggio e caricamento della cronologia.
Creazione di pacchetti.
Operazioni con gli appunti.
Varie modalità di funzionamento.
Impostazione dei colori nei campioni.
Ispettore dei dati.
Segnalibri.
Visualizzatore di strutture.
Statistiche.
convertitore di base.
Creazione di scenari.
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Portatile di PortableWares:
Caratteristiche della versione:
▪ Trattamento completato
▪ Versione portatile del programma che non richiede installazione.
____________________________
Attenzione!
Se il tuo antivirus in questa distribuzione ha trovato qualcosa di sospetto nei file caricati,
Invia i file per l'analisi al laboratorio antivirus per gli analisti di virus.
Inoltre, puoi segnalare falsi positivi antivirus.
Fino alla risposta degli analisti del virus niente Non scrivere in questo thread!
