DLest
DLest 3.0
تم تصميم DLEST خصيصًا لمساعدة المطورين ومحللي البرامج الضارة في تحليل ومعالجة الوظائف المصدرة في ملفات قابلة للتنفيذ (PE) المحمولة ، وخاصة DLLs. باستخدام DLEST ، يمكنك بسهولة تعداد الوظائف المصدرة باستخدام مجموعة متنوعة من الطرق ، بما في ذلك السحب والإفلات ، أو فتح مجلد ، أو مسح مجلد بشكل متكرر مع تصفية التعبير العادية لتشمل فقط ملفات PE بأسماء محددة للتصدير.
بالإضافة إلى تحليل ملفات PE المخزنة على القرص ، تدعم DLEST أيضًا تحليل الوحدات النمطية المحملة بالذاكرة ، مما يتيح لك تحليل الوظائف المصدرة ومعالجتها في الوقت الفعلي. هذا يجعل DLIST أداة لا تقدر بثمن لمحللي البرامج الضارة أثناء الهندسة العكسية أو الاستجابة للحوادث. يمكنك حتى تفريغ نسخة أعيد بناؤها من أي وحدة لمزيد من التحليل أو إعادة الاستخدام.
هذا التطبيق متعدد الترابطات بالكامل ، مما يضمن المعالجة الفعالة والسريعة لأعداد كبيرة من ملفات PE. سواء كنت مطورًا يتطلع إلى تحليل الوظائف المصدرة ومعالجتها أو محلل البرامج الضارة في حاجة إلى أداة موثوقة للمساعدة في عملك ، فمن المؤكد أن DLIST هي إضافة قيمة لمجموعة الأدوات الخاصة بك. يعكس اسمها ، DLEST ، قدرته على "حذف" لك من العمل السريع ، وتبسيط مهامك وتبسيطها.
وأكثر!
يتيح لك وضع مجلد المسح الضوئي في DLEST إجراء فحص أكثر تقدماً وشمولية لمجلد أو بنية دليل ، وتحديد موقع أي ملفات DLL صالحة تقدم وظائف مصدرة. يتيح لك هذا الوضع مسح المجلد ومجلساته الفرعية بشكل متكرر ، والبحث عن ملفات PE متوافقة وصالحة توفر وظائف مصدرة.
تتمثل إحدى الميزات الرئيسية لوضع مجلد المسح في قدرته على استخدام استعلامات التعبير العادي المتقدم (Regex) لتصفية بعض الملفات بناءً على أسماء وظائفها المصدرة. يمكن أن يكون هذا مفيدًا بشكل خاص إذا كنت تبحث عن وظائف محددة أو تحتاج إلى استبعاد بعض الملفات من الفحص.
بالإضافة إلى ملفات DLL ، يتضمن وضع مجلد المسح أيضًا خيار المسح الضوئي لأي ملفات PE متوافقة وصالحة ، بدلاً من مجرد الحد من البحث في DLLs. هذا يجعلها أداة متعددة الاستخدامات وقوية لتحديد وتحليل الوظائف المصدرة في مجموعة متنوعة من أنواع ملفات PE المختلفة.
سواء كنت بحاجة إلى تحديد موقع الوظائف المصدرة بسرعة في مجلد واحد أو إجراء فحص أكثر شمولاً ومتقدمًا لهيكل دليل أكبر ، فإن وضع مجلد المسح في DLEST قد غطيته.
يتيح لك التحميل من وضع التشغيل في DLEST تحليل رأس (PE) القابل للتنفيذ المحمول للوظائف المصدرة مباشرة من الوحدات النمطية في الذاكرة ، بدلاً من الملفات المخزنة على القرص. يمكن أن تكون هذه ميزة مفيدة للمطورين ومحللي البرامج الضارة الذين يحتاجون إلى تحليل الوظائف المصدرة في الوقت الفعلي أو الذين يعملون مع وحدات محملة بالذاكرة غير مخزنة على القرص.
لاستخدام التحميل من وضع التشغيل ، ستحتاج إلى تحديد العملية المطلوبة من قائمة العمليات التي تعمل حاليًا على نظامك. ستقوم DLEST بعد ذلك بتحليل رأس PE للعملية المحددة وتحديد أي وظائف تم تصديرها داخلها.
يعد هذا الوضع مفيدًا بشكل خاص لتحليل الوظائف التي تم تصديرها ومعالجتها في الوقت الفعلي ، حيث يتيح لك الوصول مباشرة إلى الوحدات النمطية في الذاكرة لعملية التشغيل مباشرة. سواء كنت مطورًا يتطلع إلى تحسين أداء الكود أو محلل البرامج الضارة التي تحاول فهم سلوك برنامج ضار ، فإن التحميل من وضع التشغيل في DLEST هو أداة قيمة لتخلصك منها.
تتيح لك ميزة "DUMP RESTRUCHEDED PE Image" في DLEST حفظ نسخة من أي وحدات تم تصنيفها للذاكرة من عملية مستهدفة إلى ملف لمزيد من التحليل أو الاستخدام. يمكن أن تكون هذه ميزة مفيدة للمطورين ومحللي البرامج الضارة الذين يرغبون في فحص الأعمال الداخلية للوحدة بمزيد من التفصيل أو الذين يحتاجون إلى إعادة استخدام نسخة محددة من وحدة للاختبار أو أغراض أخرى.
لاستخدام هذه الميزة ، ستحتاج إلى تحديد العملية والوحدة المطلوبة من قائمة العمليات التي تعمل حاليًا والوحدات النمطية الخاصة بها بالذاكرة. ستقوم DLEST بعد ذلك بإنشاء نسخة من الوحدة النمطية المحددة وإعادة بنائها بتنسيق يمكن قراءته بواسطة تحليلات PE أو غيرها من الأدوات.
يمكن حفظ صورة PE التي أعيد بناؤها إلى ملف على نظامك للاستخدام لاحقًا. يتيح لك ذلك فحص الوحدة بمزيد من التفصيل ، أو فهم سلوكها ، أو إعادة استخدامها للاختبار أو أغراض أخرى. سواء كنت مطورًا يتطلع إلى تحسين أداء الكود أو محلل البرامج الضارة التي تحاول فهم سلوك برنامج ضار ، فإن ميزة "Dump Reconstructed PE" في DLEST هي أداة قيمة تحت تصرفك.
تتيح لك ميزة تصفية الصادرات المباشرة في DLEST استخدام تعبيرات منتظمة لتصفية الوظائف المصدرة المعروضة في الأداة في الوقت الفعلي. يمكن أن تكون هذه ميزة مفيدة للمطورين ومحللي البرامج الضارة الذين يحتاجون إلى تحديد موقع وظائف محددة مصدرة بسرعة أو الذين يرغبون في استبعاد وظائف معينة من القائمة.
لاستخدام هذه الميزة ، ما عليك سوى إدخال تعبير منتظم في الحقل المخصص وانقر فوق الزر "تطبيق". سوف تستخدم DLEST بعد ذلك التعبير العادي لتصفية قائمة الوظائف المصدرة ، مع عرض فقط تلك التي تتطابق مع النمط.
على الرغم من أن هذه الميزة يمكن أن تكون مفيدة للغاية ، إلا أنه تجدر الإشارة إلى أنها قد تكون أبطأ عند تطبيقها على عدد كبير جدًا من الوظائف التي تم تصديرها. في مثل هذه الحالات ، قد يستغرق الأمر وقتًا أطول لـ DLEST لتطبيق المرشح وتحديث الشاشة. ومع ذلك ، في معظم الحالات ، تكون ميزة تصفية الصادرات المباشرة سريعة وفعالة ، مما يجعلها أداة قيمة لتحديد موقع وظائف محددة مصدرة بسرعة أو استبعاد وظائف غير مرغوب فيها.
بدءًا من الإصدار 3 من DLEST ، يمكنك الآن تصفية الصادرات المخصصة حسب نوعها: وظيفة التصدير ، والوظيفة المعاد توجيهها ، وطريقة COM ، وخصائص COM ، وأكثر من ذلك.
نافذة معلومات المكتبات الممتدة في DLEST هي ميزة تعرض قائمة بملفات (PE) القابلة للتنفيذ المحمولة المحفورة من سياق علامة التبويب الحالية ، إلى جانب مجموعة متنوعة من التفاصيل حول كل ملف. يمكن أن تكون هذه ميزة مفيدة للمطورين ومحللي البرامج الضارة الذين يحتاجون إلى الوصول بسرعة إلى المعلومات حول المكتبات التي يعملون معها.
تعرض نافذة معلومات المكتبات الممتدة قائمة بملفات PE المحلية ، إلى جانب المعلومات التالية لكل ملف:
اسم المكتبة: اسم المكتبة ، كما يظهر في رأس الملف.
عدد الصادرات: إجمالي عدد الوظائف المصدرة في المكتبة.
حجم الملف: حجم الملف ، بالبايت.
سمات الملف: قائمة بالسمات المرتبطة بالملف ، مثل ما إذا كان للقراءة فقط أو مخفية.
باستخدام نافذة معلومات المكتبات الموسعة ، يمكنك الوصول بسرعة إلى ثروة من المعلومات حول المكتبات التي تعمل معها ، مما يسهل فهم محتوياتها وسلوكها. سواء كنت مطورًا يتطلع إلى تحسين أداء الكود الخاص بك أو محلل البرامج الضارة يحاول فهم سلوك برنامج ضار ، فإن نافذة معلومات المكتبات الممتدة هي مورد قيِّم للتصرف.
Process Spy هي ميزة تحليل ديناميكية تتيح لك إنشاء عملية جديدة في وضع التصحيح من تطبيق مستهدف والاستماع إلى أحداث DLL Load Debug لالتقاط الوحدات النمطية المحملة خطوة بخطوة ، يسيطر عليها المستخدم. إذا كنت تفضل عدم الذهاب خطوة بخطوة ، فيمكنك النقر فوق زر التشغيل للسماح لجميع الأحداث تلقائيًا. تقرر متى ستوقف تصحيح الأخطاء لتعداد الوظائف المصدرة من ملفات صورة المكتبة التي تم التقاطها.
يوصى باستخدام طريقة خطوة بخطوة (عبر زر متابعة) للعمليات التي قد تخرج بعد الانتهاء من مهامها.
هذه الميزة هي بديل قيمة لتعداد الوحدات النمطية لأن بعض الوحدات قد تظهر مؤقتًا ثم تختفي. باستخدام هذه الميزة ، يمكنك تتبع DLLs يتم تحميلها في الوقت الفعلي.
بدءًا من الإصدار 3.0 من DLEST ، يتم الآن حساب تجزئة الملفات عند الطلب من قبل المستخدم باستخدام أداة تجزئة الملف. تتيح لك هذه الأداة إرسال أي مكتبات (من قائمة التصدير ، وقائمة العمليات ، وقائمة الوحدات ، وقائمة أحداث Process Spy Capture ، وما إلى ذلك) إلى قائمة التجزئة وحساب تجزئة الملفات لـ MD5 و SHA-1 وعائلة SHA-2. كما يسلط الضوء على الملفات المكررة المحتملة بواسطة مقارنة التجزئة. لاحظ أنه يمكنك أيضًا استخدام هذه الأداة كميزة مستقلة ؛ وهو يدعم فتح أي ملف أو سحب الملفات وإسقاطها من سطح المكتب.
