DLest

DLEST специально разработан для оказания помощи разработчикам и аналитикам вредоносных программ в анализе и манипулировании экспортируемыми функциями в портативных исполняемых (PE) файлах, особенно DLL. С помощью DLEST вы можете легко перечислять экспортируемые функции, используя различные методы, включая перетаскивание, открытие папки или рекурсивно сканирование папки с регулярной фильтрацией выражения, чтобы включить только файлы PE с определенными именами функций экспорта.

В дополнение к анализу файлов PE, хранящихся на диске, DLEST также поддерживает анализ модулей, загруженных памятью, позволяя вам анализировать и манипулировать экспортируемыми функциями в режиме реального времени. Это делает DLEST бесценным инструментом для аналитиков вредоносных программ во время обратной инженерии или инцидентов. Вы даже можете сбросить реконструированную версию любого модуля для дальнейшего анализа или повторного использования.

Это приложение полностью многопоточно, что обеспечивает эффективную и быструю обработку даже большого количества файлов PE. Независимо от того, являетесь ли вы разработчиком анализировать и манипулировать экспортируемыми функциями, или аналитик по вредоносному программе, нуждающийся в надежном инструменте для оказания помощи в вашей работе, DLEST, несомненно, станет ценным дополнением к вашему инструментарию. Его название, DLEST, отражает его способность «удалять» вас от привередливой работы, оптимизируя и упрощая ваши задачи.

• Поддерживает как x86-32 (PE), так и x86-64 (PE+) портативные исполняемые файлы битов.
• Поддержка названной / неназванной экспорт.
• Поддержка Com Properties and Methods Перечисление.
• Усовершенствованная фильтрация (по имени экспорта, экспортный вид).
• Загрузите файл (ы) PE из перетаскивания (поддержка UAC).
• Загрузите файл (ы) PE из открытого диалога.
• Загрузите файл PE из всей папки.
• Сканирование для PE файла с расширенным элементом управления (рекурсивность и фильтрация функции экспорта с помощью текста/повторного положения).
• Сканирование и отображение памяти отображают модули от процесса запуска.
• Процесс отладки и участие в событиях загрузки DLL (необязательно пошаговая контроль пользователя)
• Инструмент интегрированного хэша файла (MD5, SHA1, SHA2 Families)
• Google Search.
• Необработанный поиск.
• Multi Tabs.

И еще!

Режим папки сканирования в DLEST позволяет выполнять более продвинутое и комплексное сканирование папки или структуры каталогов, определяя любые действительные файлы DLL, которые предлагают экспортируемые функции. Этот режим позволяет вам повторно сканировать папку и ее подпапки в поисках совместимых и действительных файлов PE, которые предлагают экспортированные функции.

Одной из ключевых функций режима папки сканирования является его возможность использовать запросы расширенного регулярного выражения (Regex) для фильтрации определенных файлов на основе имен их экспортируемых функций. Это может быть особенно полезно, если вы ищете конкретные функции или необходимо исключить определенные файлы из сканирования.

В дополнение к файлам DLL, режим папки сканирования также включает в себя опцию сканирования для любых совместимых и действительных файлов PE, а не просто ограничивать поиск DLL. Это делает его универсальным и мощным инструментом для поиска и анализа экспортируемых функций в различных типах файлов PE.

Независимо от того, необходимо ли вам быстро найти экспортируемые функции в одной папке или выполнить более полное и расширенное сканирование более крупной структуры каталогов, режим сканирования в DLEST приобрел вас.

Нагрузка от запуска процесса в DLEST позволяет анализировать портативный заголовок исполняемого (PE) для экспортируемых функций непосредственно из модулей в памяти, а не из файлов, хранящихся на диске. Это может быть полезной функцией для разработчиков и аналитиков вредоносных программ, которым необходимо проанализировать экспортируемые функции в режиме реального времени или которые работают с загруженными памятью модулей, которые не хранятся на диске.

Чтобы использовать нагрузку из запуска режима процесса, вам нужно будет выбрать желаемый процесс из списка запущенных в настоящее время процессов в вашей системе. Затем DLEST будет проанализировать заголовок PE для выбранного процесса и определить любые экспортируемые функции внутри него.

Этот режим особенно полезен для анализа и манипулирования экспортируемыми функциями в режиме реального времени, поскольку он позволяет вам непосредственно получить доступ к модулям в памяти процесса работающего процесса. Независимо от того, являетесь ли вы разработчиком оптимизировать производительность вашего кода, или аналитик вредоносных программ, пытаясь понять поведение вредоносной программы, нагрузка от запуска режима процесса в DLEST является ценным инструментом для вашего распоряжения.

Функция «Реконструированное PE-изображение» в DLEST позволяет сохранить копию любых модулей, отображаемых с памятью от целевого процесса в файл для дальнейшего анализа или использования. Это может быть полезной функцией для разработчиков и аналитиков вредоносных программ, которые хотят более подробно изучить внутреннюю работу модуля или которые должны повторно использовать конкретную версию модуля для тестирования или других целей.

Чтобы использовать эту функцию, вам нужно будет выбрать желаемый процесс и модуль из списка запущенных в настоящее время процессов и их отображаемых памятью модулей. Затем DLEST создаст копию выбранного модуля и реконструирует ее в формате, который можно прочитать анализаторами PE или другими инструментами.

Реконструированное изображение PE можно сохранить в файле в вашей системе для последующего использования. Это позволяет вам более подробно изучать модуль, понимать его поведение или повторно использовать его для тестирования или других целей. Независимо от того, являетесь ли вы разработчиком оптимизировать производительность вашего кода, или аналитик вредоносных программ, пытаясь понять поведение вредоносной программы, функция «Реконструированное PE -изображение» в DLEST является ценным инструментом для вашего распоряжения.

Функция фильтрации экспорта в Live Exports в DLEST позволяет использовать регулярные выражения для фильтрации экспортируемых функций, отображаемых в инструменте в режиме реального времени. Это может быть полезной функцией для разработчиков и аналитиков вредоносных программ, которым необходимо быстро найти конкретные экспортируемые функции или которые хотят исключить определенные функции из списка.

Чтобы использовать эту функцию, просто введите регулярное выражение в обозначенное поле и нажмите кнопку «Применить». Затем DLEST будет использовать регулярное выражение для фильтрации списка экспортируемых функций, отображая только те, которые соответствуют шаблону.

Хотя эта функция может быть очень полезной, стоит отметить, что она может быть медленнее при применении к очень большому количеству экспортируемых функций. В таких случаях DLEST может потребоваться больше времени, чтобы применить фильтр и обновить дисплей. Тем не менее, в большинстве случаев функция фильтрации в реальном времени является быстрой и эффективной, что делает его ценным инструментом для быстрого поиска конкретных экспортируемых функций или исключения нежелательных.

Начиная с версии 3 DLEST, теперь вы можете отфильтровать перечисленный экспорт по их типу: функция экспорта, перенаправленная функция, метод COM, свойство COM и многое другое.

Расширенное информационное окно библиотеки в DLEST - это функция, которая отображает список проанализированных портативных исполняемых (PE) файлов из текущего контекста вкладки, а также множество деталей о каждом файле. Это может быть полезной функцией для разработчиков и аналитиков вредоносных программ, которым необходимо быстро получить доступ к информации о библиотеках, с которыми они работают.

Расширенное информационное окно библиотеки отображает список проанализированных файлов PE, а также следующую информацию для каждого файла:

Имя библиотеки: имя библиотеки, как она появляется в заголовке файла.

Подсчет экспорта: общее количество экспортируемых функций в библиотеке.

Размер файла: размер файла, в байтах.

Атрибуты файла: список атрибутов, связанных с файлом, например, является ли он только для чтения или скрытым.

Используя информационное окно расширенного библиотеки, вы можете быстро получить доступ к множеству информации о библиотеках, с которыми вы работаете, что облегчает понимание их содержания и поведения. Независимо от того, являетесь ли вы разработчиком оптимизировать производительность вашего кода или аналитик вредоносных программ, пытаясь понять поведение вредоносной программы, расширенное информационное окно библиотеки является ценным ресурсом, который должен иметь в вашем распоряжении.

Process Spy - это функция динамического анализа, которая позволяет создавать новый процесс в режиме отладки из целевого приложения и прослушивать события отладки нагрузки DLL, чтобы захватить загруженные модули шаг за шагом, контролируемые пользователем. Если вы предпочитаете не выполнять шаг за шагом, вы можете нажать кнопку «Воспроизведение», чтобы все события продолжались автоматически. Вы решаете, когда прекратить отладку перечислять экспортируемые функции из захваченных файлов изображений библиотеки.

Использование пошагового метода (через кнопку продолжения) рекомендуется для процессов, которые могут выйти после выполнения своих задач.

Эта функция является ценной альтернативой перечислению модулей, потому что некоторые модули могут появиться временно, а затем исчезнуть. Используя эту функцию, вы можете отследить, какие DLL загружаются в режиме реального времени.

Начиная с версии 3.0 DLEST, файловые хэши теперь рассчитываются по требованию пользователем, использующим файловый хэш -инструмент. Этот инструмент позволяет отправлять любые библиотеки (из списка экспорта, список процессов, список модулей, списки событий процесса шпиона и т. Д.) В список хэш и рассчитывать хэши файла для MD5, SHA-1 и семейства SHA-2. Он также выделяет потенциальные дубликаты файлов с помощью сравнения хэша. Обратите внимание, что вы также можете использовать этот инструмент в качестве автономной функции; Он поддерживает открытие любого файла или перетаскивание и отбрасывание файлов с вашего рабочего стола.

• Первый релиз

• Перечислять com объект (метод и свойства) - только файл (еще не в памяти)
• Возможность выбрать, какие элементы хотят, чтобы пользователь хочет перечислять (экспортированная функция, свойства COM или методы)
• Немногие значки приложения обновляются для большего количества конфиденциальности.
• Виртуальный компонент Treeview обновлен до версии 7.6.4.
• Скомпилируется с Delphi 11.3.

• Составлено с Delphi 12 версией 29.0.51961.7529
• Компонент виртуального дерева, обновленный до версии 8.0.3
• Улучшенный дизайн, иконки и структуру
• Introtect Search Integrated (модуль / имя API)
• Отмена сканирования папок теперь работает, как и ожидалось
• Теперь можно отменить задачу перечисления экспорта списка
• Чтобы значительно улучшить скорость, библиотечное хэширование (MD5, SHA1, SHA2) было удалено из задачи перечисления экспорта
• Лучшая практика синхронизации/очередей потоков, внедренная для ограничения накладных расходов и увеличения скорости
• Был добавлен новый механизм живого фильтра для включения фильтрации экспорта по их типу. Этот фильтр работает в сочетании с входом поиска экспорта, что позволяет провести бесшовную фильтрацию, не требуя обновления.
• Статистика экспорта отображается в новую строку состояния
• Поиск папки «Глубокое сканирование» было заменено пользовательским фильтром файлов с подстановочным знаком.
• Расширенная информация о библиотеке теперь предлагает по умолчанию отображать библиотеки в качестве дерева
• Анонимная экспортированная функция / перенаправленная функция теперь перечислена (одинокие ординалы)
• Функция процесса SPY: отлаживать процесс и монитор сигналов нагрузки DLL для перечисления экспорта.
• Файл -хэш -вычисление функция добавлена.
• Другие улучшения качества кода

• Томас Рочча (@fr0gger_)
• MudPak (Mudsor Masood) за его ценную поддержку и тестирование.
• Программное обеспечение для джема: компонент TVirtualStringtree
• Onryldz: xsuperobject lib