DLest
DLest 3.0
DLEST는 PE (Portable Executable) 파일, 특히 DLL에서 수출 된 기능의 분석 및 조작을 개발자 및 맬웨어 분석가에게 지원하도록 특별히 설계되었습니다. DLEST를 사용하면 드래그 앤 드롭, 폴더 열기 또는 특정 표현식 필터링으로 특정 내보내기 기능 이름을 가진 PE 파일 만 포함하도록 폴더를 재귀 적으로 스캔하는 등 다양한 방법을 사용하여 내보내기 기능을 쉽게 열거 할 수 있습니다.
DLEST는 디스크에 저장된 PE 파일을 구문 분석하는 것 외에도 메모리로드 모듈의 분석을 지원하므로 내보내기 기능을 실시간으로 분석하고 조작 할 수 있습니다. 이로 인해 DLEST는 리버스 엔지니어링 또는 사고 대응 중에 맬웨어 분석가에게 귀중한 도구가됩니다. 추가 분석 또는 재사용을 위해 재구성 된 모든 모듈 버전을 버릴 수도 있습니다.
이 애플리케이션은 완전히 멀티 스레드로되어있어 많은 수의 PE 파일의 효율적이고 빠른 처리를 보장합니다. 수출 된 기능을 분석하고 조작하려는 개발자이든, 작업을 지원하기 위해 신뢰할 수있는 도구가 필요한 맬웨어 분석가이든 DLEST는 툴킷에 귀중한 추가 사항이 될 것입니다. 그 이름 인 Dlest는 당신의 작업을 "삭제"하는 능력을 반영하여 작업을 간소화하고 단순화하는 것입니다.
그리고 더!
DLEST의 스캔 폴더 모드를 사용하면 폴더 또는 디렉토리 구조의 고급 및 포괄적 인 스캔을 수행하여 내보내는 기능을 제공하는 유효한 DLL 파일을 찾을 수 있습니다. 이 모드를 사용하면 폴더와 하위 폴더를 재귀 적으로 스캔하여 내보낸 기능을 제공하는 호환적이고 유효한 PE 파일을 찾을 수 있습니다.
스캔 폴더 모드의 주요 특징 중 하나는 내보낸 함수의 이름을 기반으로 특정 파일을 필터링하기 위해 고급 정규식 (REGEX) 쿼리를 사용하는 기능입니다. 특정 기능을 찾고 있거나 스캔에서 특정 파일을 제외 해야하는 경우 특히 유용 할 수 있습니다.
DLL 파일 외에도 스캔 폴더 모드에는 검색을 DLLS로 제한하는 대신 호환 및 유효한 PE 파일을 스캔하는 옵션도 포함되어 있습니다. 이를 통해 다양한 유형의 PE 파일에서 내보내기 기능을 찾고 분석하기위한 다목적이고 강력한 도구가됩니다.
단일 폴더에서 내보내기 기능을 신속하게 찾거나 더 큰 디렉토리 구조에 대한보다 포괄적이고 고급 스캔을 수행하든 DLEST의 스캔 폴더 모드가 포함됩니다.
DLEST에서 실행되는 프로세스 모드의로드를 사용하면 디스크에 저장된 파일이 아닌 메모리 내 모듈에서 직접 내보내는 기능에 대한 휴대용 실행 가능 (PE) 헤더를 구문 분석 할 수 있습니다. 이는 수출 기능을 실시간으로 분석해야하거나 디스크에 저장되지 않은 메모리로드 모듈로 작업하는 개발자 및 맬웨어 분석가에게 유용한 기능이 될 수 있습니다.
실행되는 프로세스 모드에서로드를 사용하려면 시스템에서 현재 실행중인 프로세스 목록에서 원하는 프로세스를 선택해야합니다. 그런 다음 DLEST는 선택된 프로세스의 PE 헤더를 구문 분석하고 그 내로 내보낸 기능을 식별합니다.
이 모드는 실행 프로세스의 메모리 내 모듈에 직접 액세스 할 수 있으므로 내보내기 기능을 실시간으로 분석하고 조작하는 데 특히 유용합니다. 코드의 성능을 최적화하려는 개발자이든 악의적 인 프로그램의 동작을 이해하려고 노력하는 맬웨어 분석가이든 DLEST의 실행 프로세스 모드에서의로드는 귀하의 처분에 대한 귀중한 도구입니다.
DLEST의 "덤프 재구성 된 PE 이미지"기능을 사용하면 추가 분석 또는 사용을 위해 대상 프로세스에서 파일로 메모리 매핑 된 모듈의 사본을 저장할 수 있습니다. 이는 모듈의 내부 작업을보다 자세히 검토하거나 테스트 또는 기타 목적으로 특정 버전의 모듈을 재사용 해야하는 개발자 및 맬웨어 분석가에게 유용한 기능이 될 수 있습니다.
이 기능을 사용하려면 현재 실행중인 프로세스 목록 및 메모리 매핑 모듈에서 원하는 프로세스 및 모듈을 선택해야합니다. 그런 다음 DLEST는 선택한 모듈의 사본을 작성하여 PE 분석기 또는 기타 도구에서 읽을 수있는 형식으로 재구성합니다.
재구성 된 PE 이미지는 나중에 사용하기 위해 시스템의 파일에 저장할 수 있습니다. 이를 통해 모듈을보다 자세히 검토하거나 동작을 이해하거나 테스트 또는 기타 목적으로 재사용 할 수 있습니다. 코드의 성능을 최적화하려는 개발자이든 악의적 인 프로그램의 동작을 이해하려고하는 맬웨어 분석가이든 DLEST의 "덤프 재구성 된 PE 이미지"기능은 귀하의 처분에 유용한 도구입니다.
DLEST의 라이브 내보내기 필터링 기능을 사용하면 일반 표현식을 사용하여 도구에 표시된 내보내기 기능을 실시간으로 필터링 할 수 있습니다. 이는 특정 수출 기능을 신속하게 찾아야하거나 목록에서 특정 기능을 배제하려는 개발자 및 맬웨어 분석가에게 유용한 기능이 될 수 있습니다.
이 기능을 사용하려면 지정된 필드에 정규 표현식을 입력하고 "적용"버튼을 클릭하십시오. 그런 다음 DLEST는 정규 표현식을 사용하여 내보낸 기능 목록을 필터링하여 패턴과 일치하는 기능 만 표시합니다.
이 기능은 매우 유용 할 수 있지만 매우 많은 수의 내보내기 기능에 적용될 때 느리게 될 수 있습니다. 이러한 경우 DLEST가 필터를 적용하고 디스플레이를 업데이트하는 데 시간이 더 걸릴 수 있습니다. 그러나 대부분의 경우 라이브 수출 필터링 기능은 빠르고 효율적이므로 특정 내보내기 기능을 신속하게 찾거나 원치 않는 기능을 제외하는 유용한 도구입니다.
DLEST의 버전 3부터 시작하여 이제 내보내기 기능, 전달 된 기능, COM 메소드, COM 속성 등을 유형별로 열거 한 내보내기를 필터링 할 수 있습니다.
DLEST의 확장 라이브러리 정보 창은 현재 탭 컨텍스트에서 PE (Parsed Portable Executable) 파일 목록과 각 파일에 대한 다양한 세부 사항을 표시하는 기능입니다. 이 기능은 개발자 및 맬웨어 분석가가 작업중인 라이브러리에 대한 정보에 빠르게 액세스 해야하는 유용한 기능이 될 수 있습니다.
확장 라이브러리 정보 창에는 각 파일의 다음 정보와 함께 구문 분석 된 PE 파일 목록이 표시됩니다.
라이브러리 이름 : 파일의 헤더에 나타나는 라이브러리 이름.
수출 계산 : 라이브러리의 총 수출 기능 수.
파일 크기 : 파일의 크기, 바이트.
파일 속성 : 파일과 관련된 속성 목록 (읽기 전용이든 숨겨진지 여부).
확장 된 라이브러리 정보 창을 사용하면 작업중인 라이브러리에 대한 풍부한 정보에 빠르게 액세스하여 내용과 행동을보다 쉽게 이해할 수 있습니다. 코드의 성능을 최적화하려는 개발자이든 악의적 인 프로그램의 동작을 이해하려고하는 맬웨어 분석가이든, 확장 된 라이브러리 정보 창은 귀하의 처분에 대한 귀중한 리소스입니다.
Process Spy는 대상 응용 프로그램에서 디버그 모드에서 새 프로세스를 생성하고 DLL로드 디버그 이벤트를 듣기 위해 사용자가 제어하는로드 된 모듈을 단계별로 캡처 할 수있는 동적 분석 기능입니다. 단계별로 이동하지 않으려면 재생 버튼을 클릭하여 모든 이벤트가 자동으로 진행되도록 할 수 있습니다. 캡처 된 라이브러리 이미지 파일에서 내보내기 기능을 열거하기 위해 디버깅을 중지 할시기를 결정합니다.
작업을 완료 한 후 종료 할 수있는 프로세스에는 단계별 방법 (계속 버튼을 통해)을 사용하는 것이 좋습니다.
이 기능은 일부 모듈이 일시적으로 나타나고 사라질 수 있기 때문에 프로세스 모듈 열거에 대한 귀중한 대안입니다. 이 기능을 사용하면 DLL이 실시간으로로드되는 추적 할 수 있습니다.
DLEST의 버전 3.0을 시작으로 파일 해시는 이제 파일 해시 도구를 사용하여 사용자가 주문시 계산됩니다. 이 도구를 사용하면 라이브러리 (내보내기 목록, 프로세스 목록, 모듈 목록, 프로세스 스파이 캡처 이벤트 목록 등)를 해시 목록으로 보내고 MD5, SHA-1 및 SHA-2 패밀리의 파일 해시를 계산할 수 있습니다. 또한 해시 비교를 통해 잠재적 중복 파일을 강조합니다. 이 도구를 독립형 기능으로 사용할 수도 있습니다. 파일을 열거 나 데스크탑에서 파일을 드래그하고 드롭하는 것이 지원됩니다.
