DLest
DLest 3.0
DLEST está específicamente diseñado para ayudar a los desarrolladores y analistas de malware con el análisis y manipulación de funciones exportadas en archivos ejecutables portátiles (PE), particularmente DLL. Con dlest, puede enumerar fácilmente las funciones exportadas utilizando una variedad de métodos, que incluyen arrastrar y soltar, abrir una carpeta o escanear recursivamente una carpeta con filtrado de expresión regular para incluir solo archivos PE con nombres de funciones de exportación específicos.
Además de analizar los archivos PE almacenados en el disco, DLEST también admite el análisis de los módulos cargados de memoria, lo que le permite analizar y manipular las funciones exportadas en tiempo real. Esto hace que DLEST sea una herramienta invaluable para los analistas de malware durante la ingeniería inversa o la respuesta a incidentes. Incluso puede descargar una versión reconstruida de cualquier módulo para un análisis o reutilización adicional.
Esta aplicación es completamente multiproceso, asegurando un procesamiento eficiente y rápido de incluso grandes cantidades de archivos PE. Ya sea que sea un desarrollador que busque analizar y manipular funciones exportadas o un analista de malware que necesita una herramienta confiable para ayudarlo con su trabajo, DLEST seguramente será una adición valiosa a su kit de herramientas. Su nombre, dlest, refleja su capacidad para "deleitar" del trabajo fastidioso, racionalizando y simplificando sus tareas.
¡Y más!
El modo de carpeta de escaneo en dlest le permite realizar un escaneo más avanzado e integral de una carpeta o estructura de directorio, ubicando cualquier archivo DLL válido que ofrezca funciones exportadas. Este modo le permite escanear recursivamente una carpeta y sus subcarpetas, buscando archivos PE compatibles y válidos que ofrecen funciones exportadas.
Una de las características clave del modo de carpeta de escaneo es su capacidad para utilizar consultas de expresión regular avanzada (REGEX) para filtrar ciertos archivos en función de los nombres de sus funciones exportadas. Esto puede ser especialmente útil si está buscando funciones específicas o necesita excluir ciertos archivos del escaneo.
Además de los archivos DLL, el modo de carpeta de escaneo también incluye la opción de escanear cualquier archivo PE compatible y válido, en lugar de simplemente limitar la búsqueda a DLLS. Esto lo convierte en una herramienta versátil y poderosa para localizar y analizar funciones exportadas en una variedad de diferentes tipos de archivos PE.
Ya sea que necesite localizar rápidamente las funciones exportadas en una sola carpeta o realizar un escaneo más integral y avanzado de una estructura de directorio más grande, el modo de carpeta de escaneo en dlest lo tiene cubierto.
La carga desde el modo de proceso en ejecución en dlest le permite analizar el encabezado ejecutable portátil (PE) para funciones exportadas directamente desde módulos en memoria, en lugar de desde archivos almacenados en el disco. Esta puede ser una característica útil para desarrolladores y analistas de malware que necesitan analizar las funciones exportadas en tiempo real o que están trabajando con módulos cargados de memoria que no se almacenan en el disco.
Para usar la carga desde el modo de proceso en ejecución, deberá seleccionar el proceso deseado de una lista de procesos actualmente en ejecución en su sistema. Dlest luego analizará el encabezado PE para el proceso seleccionado e identificará cualquier función exportada dentro de él.
Este modo es particularmente útil para analizar y manipular las funciones exportadas en tiempo real, ya que le permite acceder directamente a los módulos en memoria de un proceso de ejecución. Ya sea que sea un desarrollador que busque optimizar el rendimiento de su código o un analista de malware que intenta comprender el comportamiento de un programa malicioso, la carga del modo de proceso en ejecución en dlest es una herramienta valiosa para tener a su disposición.
La función "Imagen de PE reconstruida de volcado" en dlest le permite guardar una copia de cualquier módulo mapeado de memoria de un proceso de destino a un archivo para un análisis o uso posterior. Esta puede ser una característica útil para desarrolladores y analistas de malware que desean examinar el funcionamiento interno de un módulo con más detalle o que necesitan reutilizar una versión específica de un módulo para pruebas u otros fines.
Para usar esta función, deberá seleccionar el proceso y el módulo deseados de una lista de procesos actualmente en ejecución y sus módulos mapeados de memoria. Dlest luego creará una copia del módulo seleccionado y la reconstruirá en un formato que los analizadores de PE puedan leerlo u otras herramientas.
La imagen de PE reconstruida se puede guardar en un archivo en su sistema para su uso posterior. Esto le permite examinar el módulo con más detalle, comprender su comportamiento o reutilizarlo para pruebas u otros fines. Ya sea que sea un desarrollador que busque optimizar el rendimiento de su código o un analista de malware que intenta comprender el comportamiento de un programa malicioso, la característica de la "imagen de PE reconstruida de volcado" en DLEST es una herramienta valiosa a su disposición.
La función de filtrado de exportaciones en vivo en dlest le permite usar expresiones regulares para filtrar las funciones exportadas que se muestran en la herramienta en tiempo real. Esta puede ser una característica útil para desarrolladores y analistas de malware que necesitan ubicar rápidamente funciones exportadas específicas o que desean excluir ciertas funciones de la lista.
Para usar esta función, simplemente ingrese una expresión regular en el campo designado y haga clic en el botón "Aplicar". Dlest luego usará la expresión regular para filtrar la lista de funciones exportadas, mostrando solo aquellas que coinciden con el patrón.
Si bien esta característica puede ser muy útil, vale la pena señalar que puede ser más lento cuando se aplica a una gran cantidad de funciones exportadas. En tales casos, puede tardar más en aplicar el filtro y actualizar la pantalla. Sin embargo, en la mayoría de los casos, la función de filtrado de exportaciones en vivo es rápida y eficiente, por lo que es una herramienta valiosa para localizar rápidamente funciones exportadas específicas o excluir las no deseadas.
Comenzando con la versión 3 de DLEST, ahora puede filtrar las exportaciones enumeradas por su tipo: función de exportación, función reenviada, método COM, propiedad com y más.
La ventana de información de bibliotecas extendidas en DLEST es una característica que muestra una lista de archivos ejecutables portátiles (PE) analizados desde el contexto de pestaña actual, junto con una variedad de detalles sobre cada archivo. Esta puede ser una característica útil para desarrolladores y analistas de malware que necesitan acceder rápidamente a la información sobre las bibliotecas con las que están trabajando.
La ventana de información de bibliotecas extendidas muestra una lista de archivos PE analizados, junto con la siguiente información para cada archivo:
Nombre de la biblioteca: el nombre de la biblioteca, como aparece en el encabezado del archivo.
Recuento de exportaciones: el número total de funciones exportadas en la biblioteca.
Tamaño del archivo: el tamaño del archivo, en bytes.
Atributos del archivo: una lista de atributos asociados con el archivo, como si está de solo lectura o oculta.
Al utilizar la ventana de información de bibliotecas extendidas, puede acceder rápidamente a una gran cantidad de información sobre las bibliotecas con las que está trabajando, lo que facilita la comprensión de su contenido y comportamiento. Ya sea que sea un desarrollador que busque optimizar el rendimiento de su código o un analista de malware que intente comprender el comportamiento de un programa malicioso, la ventana de información de bibliotecas extendidas es un recurso valioso a su disposición.
Process Spy es una característica de análisis dinámico que le permite crear un nuevo proceso en modo de depuración desde una aplicación específica y escuchar los eventos de depuración de carga DLL para capturar módulos cargados paso a paso, controlados por el usuario. Si prefiere no ir paso a paso, puede hacer clic en el botón Reproducir para dejar que todos los eventos continúen automáticamente. Usted decide cuándo detener la depuración para enumerar las funciones exportadas de los archivos de imagen de la biblioteca capturados.
Se recomienda usar el método paso a paso (a través del botón Continuar) para los procesos que pueden salir después de completar sus tareas.
Esta característica es una alternativa valiosa a la enumeración de módulos de proceso porque algunos módulos pueden aparecer temporalmente y luego desaparecer. Usando esta función, puede rastrear qué DLL se cargan en tiempo real.
Comenzando con la versión 3.0 de DLEST, el usuario calcula a pedido a pedido que use la herramienta Hash File Hash. Esta herramienta le permite enviar cualquier biblioteca (desde la lista de exportaciones, la lista de procesos, la lista de módulos, la lista de eventos de captura de espías de proceso, etc.) a la lista hash y calcular los hash de archivo para MD5, SHA-1 y la familia SHA-2. También destaca los posibles archivos duplicados por comparación hash. Tenga en cuenta que también puede usar esta herramienta como una característica independiente; Admite abrir cualquier archivo o arrastrar y soltar archivos desde su escritorio.
