При решении различных crackme или компьютерной экспертизе, при исследовании какого-нибудь бинарного приложения хорошим тоном является начать работу с анализа заголовка исполняемого файла. С первого взгляда, кажется, что это не несет никакой полезной информации при анализе приложения, но так думают только те кто не знают что скрывает в себе PE-формат.
Еще по теме: Задание по форензике DetectLog4j CyberDefenders
На самом деле данный формат имеет много недокументированных или плохо документированных и непонятно ведущих себя полей. Но на помощь к нам идет не программа, а швейцарский ножик — CFF Explorer. Программа предназначена для анализа PE32/64 исполняемых файлов с полной поддержкой x86, x64, Itanium архитектур.
В CFF Explorer входят:
- PE- и HEX-редакторы
- редактор ресурсов
- редактор импорта
- сигнатрурный сканер
- конвертр адресов
- дизассемблер
- анализатор зависимостей
- и еще много чего полезного.
К тому же это первый PE-редактор, который понимает внутренние структуры .NET и может обрабатывать манифесты .NET.
Программа поддерживает плагины и имеет свой скриптовый язык, который может в разы упростить повседневные задачи.
По играм с PE советую обратиться к проекту Corkami (http://code.google.com/p/corkami/) и открыть для себя его Дао.
ПОЛЕЗНЫЕ ССЫЛКИ:
