DLest
DLest 3.0
DLEST wurde speziell entwickelt, um Entwicklern und Malware -Analysten bei der Analyse und Manipulation exportierter Funktionen in pE -Dateien (ausführbare ausführbare ausführbare ausführbare), insbesondere in DLLs, zu unterstützen. Mit DLEST können Sie die exportierten Funktionen mit einer Vielzahl von Methoden problemlos aufzählen, einschließlich Drag & Drop, Öffnen eines Ordners oder rekursives Scannen eines Ordners mit regelmäßiger Ausdrucksfilterung, um nur PE -Dateien mit spezifischen Exportfunktionsnamen einzuschließen.
Zusätzlich zum Parsen von PE-Dateien, die auf der Festplatte gespeichert sind, unterstützt DLEST auch die Analyse von Speicherbelastungsmodulen, sodass Sie exportierte Funktionen in Echtzeit analysieren und manipulieren können. Dies macht DLEST zu einem unschätzbaren Tool für Malware -Analysten während der Reverse -Engineering- oder Incident -Reaktion. Sie können sogar eine rekonstruierte Version eines beliebigen Moduls zur weiteren Analyse oder Wiederverwendung abgeben.
Diese Anwendung ist vollständig multitHhreads und sorgt für eine effiziente und schnelle Verarbeitung einer großen Anzahl von PE -Dateien. Egal, ob Sie ein Entwickler sind, um exportierte Funktionen zu analysieren und zu manipulieren, oder ein Malware -Analyst, die ein zuverlässiges Tool benötigen, um Ihre Arbeit zu unterstützen, ist DLEST sicher eine wertvolle Ergänzung Ihres Toolkits. Sein Name Dlest spiegelt seine Fähigkeit wider, Sie von anspruchsvoller Arbeit zu "deleste", um Ihre Aufgaben zu optimieren und zu vereinfachen.
Und noch mehr!
Mit dem Scan -Ordnermodus in DLEST können Sie einen fortgeschritteneren und umfassenderen Scan einer Ordner- oder Verzeichnisstruktur durchführen, wobei Sie alle gültigen DLL -Dateien finden, die exportierte Funktionen anbieten. In diesem Modus können Sie einen Ordner und seine Unterordner rekursiv scannen und nach kompatiblen und gültigen PE -Dateien suchen, die exportierte Funktionen anbieten.
Eine der wichtigsten Funktionen des Scan -Ordnermodus ist die Möglichkeit, erweiterte Abfragen für den regulären Expression (REGEX) zu verwenden, um bestimmte Dateien basierend auf den Namen ihrer exportierten Funktionen zu filtern. Dies kann besonders nützlich sein, wenn Sie nach bestimmten Funktionen suchen oder bestimmte Dateien vom Scan ausschließen müssen.
Zusätzlich zu DLL -Dateien enthält der SCAN -Ordnermodus auch die Option zum Scannen nach kompatiblen und gültigen PE -Dateien, anstatt nur die Suche auf DLLs zu beschränken. Dies macht es zu einem vielseitigen und leistungsstarken Tool zum Auffinden und Analysieren von exportierten Funktionen in verschiedenen Arten von PE -Dateien.
Unabhängig davon, ob Sie exportierte Funktionen schnell in einem einzigen Ordner suchen oder einen umfassenderen und erweiterten Scan einer größeren Verzeichnisstruktur ausführen müssen, werden Sie im DLEST -Scan -Ordnermodus abgedeckt.
Mit dem Last aus dem Auslauf-Prozessmodus in DLEST können Sie den Header (Portable Execable Datei) für exportierte Funktionen direkt von In-Memory-Modulen analysieren und nicht von Dateien, die auf der Festplatte gespeichert sind. Dies kann eine nützliche Funktion für Entwickler und Malware-Analysten sein, die exportierte Funktionen in Echtzeit analysieren müssen oder mit Speicherladenmodulen arbeiten, die nicht auf der Festplatte gespeichert sind.
Um den Laden aus dem Auslauf -Prozessmodus zu verwenden, müssen Sie den gewünschten Vorgang aus einer Liste der aktuell ausgeführten Prozesse in Ihrem System auswählen. DLEST wird dann den PE -Header für den ausgewählten Prozess analysieren und alle exportierten Funktionen darin identifizieren.
Dieser Modus ist besonders nützlich, um exportierte Funktionen in Echtzeit zu analysieren und zu manipulieren, da Sie direkt auf die In-Memory-Module eines Laufprozesses zugreifen können. Unabhängig davon, ob Sie ein Entwickler sind, der die Leistung Ihres Codes optimieren möchte, oder ein Malware -Analyst, der versucht, das Verhalten eines böswilligen Programms zu verstehen, ist die Last aus dem Ausgangsprozessmodus in DLEST ein wertvolles Instrument, das Sie zur Verfügung haben.
Mit der Funktion "Rekonstruiertes PE-Bild" Dump in DLEST können Sie eine Kopie aller maßstabulierten Module von einem Zielprozess in eine Datei speichern, um eine weitere Analyse oder Verwendung zu erhalten. Dies kann eine nützliche Funktion für Entwickler und Malware -Analysten sein, die die inneren Funktionsweise eines Moduls genauer untersuchen oder eine bestimmte Version eines Moduls zum Testen oder andere Zwecke wiederverwenden müssen.
Um diese Funktion zu verwenden, müssen Sie den gewünschten Prozess und das gewünschte Modul aus einer Liste der aktuell ausgeführten Prozesse und deren Speichermordmodule auswählen. DLEST erstellt dann eine Kopie des ausgewählten Moduls und rekonstruiert es in einem Format, das von PE -Analysatoren oder anderen Tools gelesen werden kann.
Das rekonstruierte PE -Bild kann für die spätere Verwendung in einer Datei auf Ihrem System gespeichert werden. Auf diese Weise können Sie das Modul genauer untersuchen, sein Verhalten verstehen oder es zu Tests oder anderen Zwecken wiederverwenden. Egal, ob Sie ein Entwickler sind, der die Leistung Ihres Codes optimieren möchte, oder ein Malware -Analyst, der versucht, das Verhalten eines böswilligen Programms zu verstehen.
Mit der Live -Exportfilterfunktion in Dlest können Sie regelmäßige Ausdrücke zum Filtern der im Tool angezeigten exportierten Funktionen in Echtzeit verwenden. Dies kann eine nützliche Funktion für Entwickler und Malware -Analysten sein, die schnell spezifische exportierte Funktionen finden müssen oder bestimmte Funktionen aus der Liste ausschließen möchten.
Um diese Funktion zu verwenden, geben Sie einfach einen regulären Ausdruck in das festgelegte Feld ein und klicken Sie auf die Schaltfläche "Anwenden". DLEST verwendet dann den regulären Ausdruck, um die Liste der exportierten Funktionen zu filtern und nur diejenigen anzuzeigen, die dem Muster übereinstimmen.
Diese Funktion kann zwar sehr nützlich sein, aber es ist erwähnenswert, dass sie bei einer sehr großen Anzahl exportierter Funktionen langsamer sein kann. In solchen Fällen kann es länger dauern, bis Dlest den Filter anwendet und die Anzeige aktualisiert. In den meisten Fällen sind die Filterfunktionen der Live -Exporte jedoch schnell und effizient, was es zu einem wertvollen Instrument macht, um spezifische exportierte Funktionen schnell zu lokalisieren oder unerwünschte Ausschließen.
Ausgehend von Version 3 von DLEST können Sie nun aufgezählte Exporte nach ihrem Typ: Exportfunktion, weitergeleitete Funktion, COM -Methode, COM -Eigenschaft und mehr filtern.
Das Informationsfenster für erweiterte Bibliotheken in DLEST ist eine Funktion, in der eine Liste der analysierten tragbaren ausführbaren Dateien (PE -Dateien) aus dem aktuellen Registerkarte zusammen mit einer Vielzahl von Details zu jeder Datei angezeigt wird. Dies kann eine nützliche Funktion für Entwickler und Malware -Analysten sein, die schnell auf Informationen über die Bibliotheken zugreifen müssen, mit denen sie arbeiten.
Das Fenster Informationen zur erweiterten Bibliotheken zeigt eine Liste an analysierten PE -Dateien sowie die folgenden Informationen für jede Datei an:
Bibliotheksname: Der Name der Bibliothek, wie sie im Header der Datei angezeigt wird.
Exporte zählen: Die Gesamtzahl der exportierten Funktionen in der Bibliothek.
Dateigröße: Die Größe der Datei in Bytes.
Dateiattribute: Eine Liste von Attributen, die der Datei zugeordnet sind, z. B. unabhängig davon, ob sie nur schreibgeschützt oder versteckt ist.
Durch die Verwendung des Informationsfensters für erweiterte Bibliotheken können Sie schnell auf eine Fülle von Informationen über die Bibliotheken zugreifen, mit denen Sie arbeiten, und erleichtern das Verständnis der Inhalte und des Verhaltens. Unabhängig davon, ob Sie ein Entwickler sind, der die Leistung Ihres Codes optimieren möchte, oder ein Malware -Analyst, der versucht, das Verhalten eines böswilligen Programms zu verstehen, das Fenster für erweiterte Bibliothekeninformationen ist eine wertvolle Ressource, die Ihnen zur Verfügung steht.
Process Spy ist eine dynamische Analysefunktion, mit der Sie im Debug -Modus einen neuen Prozess aus einer gezielten Anwendung erstellen und auf DLL -Lade -Debug -Ereignisse anhören können, um geladene Module Schritt für Schritt zu erfassen, die vom Benutzer gesteuert werden. Wenn Sie es vorziehen, nicht Schritt für Schritt zu gehen, können Sie auf die Wiedergabetaste klicken, um alle Ereignisse automatisch fortgesetzt zu lassen. Sie entscheiden, wann das Debugging gestoppt werden soll, um exportierte Funktionen aus den erfassten Bibliotheksbilddateien aufzumachen.
Die Verwendung der Schritt-für-Schritt-Methode (über die Schaltfläche Weiter) wird für Prozesse empfohlen, die nach Abschluss ihrer Aufgaben möglicherweise beenden.
Diese Funktion ist eine wertvolle Alternative zur Prozessmodule, da einige Module vorübergehend erscheinen und dann verschwinden. Mit dieser Funktion können Sie nachverfolgen, welche DLLs in Echtzeit geladen sind.
Beginnend mit Version 3.0 von DLEST werden Datei -Hashes vom Benutzer mit dem Datei -Hash -Tool auf Bedarf berechnet. Mit diesem Tool können Sie Bibliotheken (aus der Exportliste, der Prozessliste, der Modulliste, der Prozessliste für Spionageerfassung usw.) an die Hash-Liste senden und Datei-Hashes für MD5, SHA-1 und die SHA-2-Familie berechnen. Es wird auch potenzielle doppelte Dateien nach Hash -Vergleich hervorgehoben. Beachten Sie, dass Sie dieses Tool auch als eigenständige Funktion verwenden können. Es unterstützt das Öffnen von Dateien oder das Ziehen und Ablegen von Dateien von Ihrem Desktop.
