|
|
In sfarsit, dupa aproape o saptamana de lucru continuu... am terminat  (daca nu era scoala asta poate terminam mai repede :w00t: )
Analyze It ! se numeste programul si este in limba engleza.
La pornirea programului aveti 3 tab-uri la dispozitie (in functie de informatiile care vreti sa le aflati):
1) General file Info
- marime fisier, extensie, primii 16 bytes in HEX si ASCII
- O optiune de analizat header-ul si continutul fisierului pentru a identifica mai exact ce fel de fisier este, care este extensia 'adevarata' a tipului de fisier respectiv si cu ce se deschide (La unele file type-uri am si URL referitor la el. Adica un link in care veti afla mai multe despre tipul de fisier respectiv, eventual sa downloadati software-ul cu care sa deschideti fisierul respectiv.)
Aceasta analizare se bazeaza pe semnaturile pe care le lasa fiecare program in fisierele create. Insa cum nu este intotdeauna deajuns doar semnatura programului care a creat fisierul respectiv, am facut sa analizeze continutul fisierului pentru rezultate mai precise.
Mentionez ca la fisierele de peste 100MB acest proces dureaza ceva timp (10s+), insa puteti sa sariti peste analizarea continutului fisierului.
La fiecare rezultat se va afisa si lungimea semnaturii dupa care a fost identificat tipul de fisier respectiv, iar cu cat este lungimea semnaturii mai mare cu atat este si probabilitatea mai mare ca acel tip de fisier sa corespunda cu fisierul analizat.
In baza de date am exact 2206 astfel de semnaturi de la tipuri de fisiere diferite.
----------------------------
2) Extension Info
Cum ii spune si numele, detalii despre extensia fisierului respectiv:
-Numele programului care a realizat fisierul respectiv si/sau functia extensiei.
-Clasificarea fisierului (Audio / Video / Game / etc...)
-tip MIME (application/exe, image/bmp, etc)
-Caractere identificatoare (un fel de semnatura)
-Program ID, Specificatii generale si Compania care a realizat programul 'vinovat' de crearea fisierului.
Nota: La Numele programului si la Companie veti gasi deseori link catre un site de unde aflati mai multe informatii despre program sau il downloadati.
Am exact 11209 extensii diferite in baza de date (exact cate is si pe ... hmm coincidenta?  )
----------------------------
3) PE Info
{ Valabil doar la fisiere PE (Portable Executable) [ executabile - .EXE, .DLL, etc] }
Aici gasiti informatii despre structura si caracteristicile PE-ului respectiv (ImageBase, EntryPoint, CheckSum, Import Table [tabela de 'importuri'], Export Table [tabela de exporturi], Directoarele PE-ului [Export/Import Table, Resource, Exception, Security, Relocations, Debug Datas, Description, Global PTR, TLS table, Local Config, Bound Import, Import address table] si Sectiunile PE-ului cu parametrii fiecarei sectiuni[Name, RVA-Relative Virtual Address, Virtual Size, RAW Offset-File offset, RAW Size, Characteristics])
Unele informatii sunt 'sustrase' si cu ajutorul .DLL-ului PeLibrary.dll (creat de +Pumqara), insa cu modificari MAJORE aduse de mine (imbunatatiri desigur ) [sursa de la .DLL este freeware, in ASM]
Se poate afla si EntryPoint-ul (de unde incepe executia codului propriu zis al programului). Insa dupa cum stiti (sau nu), prin packuire/compresare/... se schimba acest EntryPoint. Asa ca i-am implementat si o functie de gasire a EntryPoint-ului Original (OEP) [necesita lansarea (automata desigur) a programului respectiv.]
Mai puteti afla cu ce packer/compresor/encriptor/compiler a fost procesat executabilul.
Am implementat si o functie de analizare hardcore a packer-ului/compiler-ului/... care a procesat fisierul. In cazul in care functia automata de gasire a packerului/compilerului/... nu gaseste nici un packer/compilier/encriptor/..., sau gaseste dar stiti ca nu acela este cel adevarat, atunci folositi aceasta 'analizare hardcore'. Citeste sectiunea de la EntryPoint si cauta dupa 'urme' lasate de packere/compilere/...
Desigur, va gasi mai multe, insa va specifica la fiecare lungimea semnaturii (in caractere) dupa care a identificat packerul/compilerul... respectiv. Cu cat lungimea este mai mare, cu atat creste si probabilitate ca acel packer/compiler/... sa fie cel care a procesat fisierul.
Am in baza de date peste 1000 de versiuni diferite de packere/compilere/encriptore/compresoare.
Daca programul deschis este deja in folosire nu veti putea accesa acest tab. Asa ca inchideti programul analizat inainte de analizarea lui.
P.S.: La aceasta categorie de informatii (PE Info) am explicat fiecare element in parte ce este (dati click pe label-ul elementului despre care vreti sa aflati informatii)
Cam atat ^_^
Ah.. inca ceva...
- Programul se incarca putin mai greu decat ar fi trebuit deoarece l-am pack-uit & compresat & protejat cu ... un program care ascunde 'Resursele' .EXE-ului, implementeaza protectie anti-debugging, etc
- Se adauga automat la Context Menu la toate tipurile de extensii (in HKEY_CLASSES_ROOT*). Deci cand vreti sa analizati un fisier anume: Click dreapta pe el / Analyze It!
Astept sugestii, buguri, sau ceva extensii / semnaturi care nu el am in baza de date...etc... pls :lol:
Download: (1.94 MB)
Daca da erori la deschiderea arhivei, e de la kktu de XHOST  . Folositi in acest caz
Mirror:
Modificat de Shocker (acum 18 ani)
|
|
