DLest

DLest dirancang khusus untuk membantu pengembang dan analis malware dengan analisis dan manipulasi fungsi yang diekspor dalam file yang dapat dieksekusi (PE) portabel, khususnya DLL. Dengan dlest, Anda dapat dengan mudah menyebutkan fungsi yang diekspor menggunakan berbagai metode, termasuk drag and drop, membuka folder, atau memindai folder secara rekursif dengan penyaringan ekspresi reguler hanya memasukkan file PE dengan nama fungsi ekspor spesifik.

Selain mem-parsing file PE yang disimpan di disk, DLest juga mendukung analisis modul yang dimuat memori, memungkinkan Anda untuk menganalisis dan memanipulasi fungsi yang diekspor secara real time. Hal ini menjadikannya alat yang tak ternilai bagi analis malware selama rekayasa balik atau respons insiden. Anda bahkan dapat membuang versi yang direkonstruksi dari modul apa pun untuk analisis atau penggunaan kembali lebih lanjut.

Aplikasi ini sepenuhnya multithreaded, memastikan pemrosesan yang efisien dan cepat dari sejumlah besar file PE. Apakah Anda seorang pengembang yang ingin menganalisis dan memanipulasi fungsi yang diekspor atau analis malware yang membutuhkan alat yang andal untuk membantu pekerjaan Anda, tidak pasti akan menjadi tambahan yang berharga untuk toolkit Anda. Namanya, Dlest, mencerminkan kemampuannya untuk "menghapus" Anda dari pekerjaan yang cerewet, merampingkan dan menyederhanakan tugas Anda.

• Mendukung file X86-32 (PE) dan X86-64 (PE+) bit yang dapat dieksekusi.
• Dukungan bernama / ekspor yang tidak disebutkan namanya.
• Mendukung penghitungan properti dan metode COM.
• Penyaringan Lanjutan (dengan nama ekspor, jenis ekspor).
• Muat file PE dari drag n drop (dukungan UAC).
• Muat file PE dari dialog terbuka.
• Muat file PE dari seluruh folder.
• Pindai untuk file PE dengan kontrol canggih (pemfilteran fungsi rekursif dan ekspor melalui teks/regex).
• Pindai dan parse memori yang dipetakan modul dari proses berjalan.
• Proses Debug dan Tangkap Acara Load DLL (Opsional Langkah demi Langkah Kontrol Pengguna)
• Alat hash file terintegrasi (MD5, SHA1, keluarga SHA2)
• Pencarian Google.
• Pencarian yang tidak menghargai.
• Multi tab.

Dan banyak lagi!

Mode folder pemindaian di DLest memungkinkan Anda untuk melakukan pemindaian folder atau struktur direktori yang lebih maju dan komprehensif, menemukan file DLL yang valid yang menawarkan fungsi yang diekspor. Mode ini memungkinkan Anda untuk memindai secara rekursif folder dan subfoldernya, mencari file PE yang kompatibel dan valid yang menawarkan fungsi yang diekspor.

Salah satu fitur utama dari mode folder pemindaian adalah kemampuannya untuk menggunakan kueri ekspresi reguler canggih (Regex) untuk memfilter file tertentu berdasarkan nama fungsi yang diekspor. Ini bisa sangat berguna jika Anda mencari fungsi tertentu atau perlu mengecualikan file tertentu dari pemindaian.

Selain file DLL, mode folder pemindaian juga menyertakan opsi untuk memindai file PE yang kompatibel dan valid, daripada hanya membatasi pencarian ke DLL. Ini membuatnya menjadi alat yang serba guna dan kuat untuk menemukan dan menganalisis fungsi yang diekspor dalam berbagai jenis file PE.

Apakah Anda perlu dengan cepat menemukan fungsi yang diekspor dalam satu folder atau melakukan pemindaian yang lebih komprehensif dan canggih dari struktur direktori yang lebih besar, mode folder pemindaian di DLest telah Anda liput.

Muat dari mode proses berjalan di DLest memungkinkan Anda untuk mengurai header Portable Executable (PE) untuk fungsi yang diekspor langsung dari modul dalam memori, daripada dari file yang disimpan di disk. Ini dapat menjadi fitur yang berguna bagi pengembang dan analis malware yang perlu menganalisis fungsi yang diekspor secara real time atau yang bekerja dengan modul yang dimuat memori yang tidak disimpan di disk.

Untuk menggunakan mode Load From Running Process, Anda harus memilih proses yang diinginkan dari daftar proses yang sedang berjalan pada sistem Anda. Dlest kemudian akan menguraikan header PE untuk proses yang dipilih dan mengidentifikasi fungsi yang diekspor di dalamnya.

Mode ini sangat berguna untuk menganalisis dan memanipulasi fungsi yang diekspor secara real time, karena memungkinkan Anda untuk secara langsung mengakses modul dalam-memori dari proses berjalan. Apakah Anda seorang pengembang yang ingin mengoptimalkan kinerja kode Anda atau analis malware yang mencoba memahami perilaku program berbahaya, beban dari mode proses berjalan di DLest adalah alat yang berharga untuk Anda miliki.

Fitur "Dump Rekonstruksi PE" di DLest memungkinkan Anda untuk menyimpan salinan modul yang dipetakan memori dari proses target ke file untuk analisis atau penggunaan lebih lanjut. Ini bisa menjadi fitur yang berguna bagi pengembang dan analis malware yang ingin memeriksa cara kerja modul secara lebih rinci atau yang perlu menggunakan kembali versi tertentu dari modul untuk pengujian atau tujuan lain.

Untuk menggunakan fitur ini, Anda harus memilih proses dan modul yang diinginkan dari daftar proses yang sedang berjalan dan modul yang dipetakan memori. Dlest kemudian akan membuat salinan modul yang dipilih dan merekonstruksi dalam format yang dapat dibaca oleh analisis PE atau alat lainnya.

Gambar PE yang direkonstruksi dapat disimpan ke file di sistem Anda untuk digunakan nanti. Ini memungkinkan Anda untuk memeriksa modul secara lebih rinci, memahami perilakunya, atau menggunakannya kembali untuk pengujian atau tujuan lain. Apakah Anda seorang pengembang yang ingin mengoptimalkan kinerja kode Anda atau analis malware yang mencoba memahami perilaku program jahat, fitur "Dump Reconstructed PE" di DLest adalah alat yang berharga untuk dimiliki.

Fitur pemfilteran ekspor langsung di DLest memungkinkan Anda menggunakan ekspresi reguler untuk memfilter fungsi yang diekspor yang ditampilkan dalam alat secara real time. Ini dapat menjadi fitur yang berguna bagi pengembang dan analis malware yang perlu dengan cepat menemukan fungsi yang diekspor spesifik atau yang ingin mengecualikan fungsi tertentu dari daftar.

Untuk menggunakan fitur ini, cukup masukkan ekspresi reguler ke dalam bidang yang ditunjuk dan klik tombol "Terapkan". Dlest kemudian akan menggunakan ekspresi reguler untuk memfilter daftar fungsi yang diekspor, hanya menampilkan yang sesuai dengan polanya.

Meskipun fitur ini bisa sangat berguna, perlu dicatat bahwa mungkin lebih lambat ketika diterapkan pada sejumlah besar fungsi yang diekspor. Dalam kasus seperti itu, mungkin perlu waktu lebih lama untuk menerapkan filter dan memperbarui tampilan. Namun, dalam kebanyakan kasus, fitur penyaringan ekspor langsung cepat dan efisien, menjadikannya alat yang berharga untuk dengan cepat menemukan fungsi yang diekspor spesifik atau tidak termasuk yang tidak diinginkan.

Dimulai dengan versi 3 dari DLest, Anda sekarang dapat memfilter ekspor yang disebutkan berdasarkan jenisnya: fungsi ekspor, fungsi yang diteruskan, metode COM, properti COM, dan banyak lagi.

Jendela informasi perpustakaan yang diperluas di DLest adalah fitur yang menampilkan daftar file yang dapat dieksekusi (PE) portabel yang diuraikan dari konteks tab saat ini, bersama dengan berbagai detail tentang setiap file. Ini bisa menjadi fitur yang berguna bagi pengembang dan analis malware yang perlu dengan cepat mengakses informasi tentang perpustakaan yang bekerja dengan mereka.

Jendela informasi perpustakaan yang diperluas menampilkan daftar file PE yang diuraikan, bersama dengan informasi berikut untuk setiap file:

Nama Perpustakaan: Nama Perpustakaan, seperti yang muncul di header file.

Hitungan Ekspor: Jumlah total fungsi yang diekspor di perpustakaan.

Ukuran File: Ukuran file, dalam byte.

Atribut File: Daftar atribut yang terkait dengan file, seperti apakah itu hanya baca atau tersembunyi.

Dengan menggunakan jendela informasi perpustakaan yang diperluas, Anda dapat dengan cepat mengakses banyak informasi tentang perpustakaan yang bekerja dengan Anda, membuatnya lebih mudah untuk memahami isinya dan perilaku mereka. Apakah Anda seorang pengembang yang ingin mengoptimalkan kinerja kode Anda atau analis malware yang mencoba memahami perilaku program berbahaya, jendela informasi perpustakaan yang diperluas adalah sumber daya yang berharga untuk Anda miliki.

Process Spy adalah fitur analisis dinamis yang memungkinkan Anda untuk membuat proses baru dalam mode debug dari aplikasi yang ditargetkan dan mendengarkan acara DLL Load Debug untuk menangkap modul yang dimuat langkah demi langkah, dikendalikan oleh pengguna. Jika Anda lebih suka untuk tidak melangkah demi langkah, Anda dapat mengklik tombol PLAY untuk membiarkan semua acara berjalan secara otomatis. Anda memutuskan kapan harus menghentikan debugging untuk menyebutkan fungsi yang diekspor dari file gambar perpustakaan yang ditangkap.

Menggunakan metode langkah demi langkah (melalui tombol Lanjutkan) direkomendasikan untuk proses yang mungkin keluar setelah menyelesaikan tugas mereka.

Fitur ini adalah alternatif yang berharga untuk memproses enumerasi modul karena beberapa modul mungkin muncul sementara dan kemudian menghilang. Dengan menggunakan fitur ini, Anda dapat melacak DLL mana yang dimuat secara real-time.

Dimulai dengan versi 3.0 dari DLest, hash file sekarang dihitung berdasarkan permintaan oleh pengguna menggunakan alat hash file. Alat ini memungkinkan Anda untuk mengirim perpustakaan apa pun (dari daftar ekspor, daftar proses, daftar modul, daftar acara mata-mata Proses, dll.) Ke daftar hash dan menghitung hash file untuk MD5, SHA-1, dan keluarga SHA-2. Ini juga menyoroti file duplikat potensial dengan perbandingan hash. Perhatikan bahwa Anda juga dapat menggunakan alat ini sebagai fitur mandiri; Ini mendukung membuka file apa pun atau menyeret dan menjatuhkan file dari desktop Anda.

• Rilis pertama

• Hitung Objek COM (Metode & Properti) - Hanya File (Belum dalam memori)
• Kemungkinan untuk memilih item mana yang ingin dihitung pengguna (fungsi yang diekspor, properti atau metode com)
• Beberapa ikon aplikasi yang diperbarui untuk lebih banyak konfort.
• Komponen TreeView Virtual Diperbarui ke Versi 7.6.4.
• Disusun dengan Delphi 11.3.

• Disusun dengan Delphi 12 Versi 29.0.51961.7529
• Komponen TreeView Virtual Diperbarui ke Versi 8.0.3
• Desain, ikon, dan struktur yang lebih baik
• Pencarian Tidak Bertahan Terpadu (Modul / Nama API)
• Batalkan pemindaian folder sekarang berfungsi seperti yang diharapkan
• Sekarang dimungkinkan untuk membatalkan tugas enumerasi daftar ekspor
• Untuk sangat meningkatkan kecepatan, hashing perpustakaan (MD5, SHA1, SHA2) telah dihapus dari tugas enumerasi ekspor
• Praktik sinkronisasi/antrian utas yang lebih baik diimplementasikan untuk membatasi overhead dan meningkatkan kecepatan
• Mekanisme filter hidup baru telah ditambahkan untuk memungkinkan penyaringan ekspor berdasarkan jenisnya. Filter ini berfungsi bersama dengan input pencarian ekspor, memungkinkan pemfilteran tanpa batas tanpa memerlukan penyegaran.
• Statistik ekspor ditampilkan ke bilah status baru
• Pencarian folder "Deep Scan" digantikan oleh filter file wildcard yang ditentukan pengguna.
• Fitur Informasi Perpustakaan Diperpanjang Sekarang Penawaran Secara Default Untuk Menampilkan Perpustakaan Sebagai Pohon
• Fungsi yang diekspor anonim / fungsi yang diteruskan sekarang disebutkan (Lone Ordinals)
• Fitur Spy Proses: Debug Suatu proses dan monitor untuk sinyal beban DLL untuk enumerasi ekspor.
• Fitur Alat Perhitungan Hash File Ditambahkan.
• Peningkatan kualitas kode lainnya

• Thomas Roccia (@fr0gger_)
• Mudpak (Mudsor Masood) untuk dukungan dan pengujiannya yang berharga.
• Perangkat Lunak Jam: Komponen TvirtualStringTree
• Onryldz: xsuperobject lib