หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดเดลฟี
ดาวน์โหลด

dlest

หลัก

DLEST ได้รับการออกแบบมาโดยเฉพาะเพื่อช่วยนักพัฒนาและนักวิเคราะห์มัลแวร์ด้วยการวิเคราะห์และการจัดการฟังก์ชั่นที่ส่งออกในไฟล์พกพา (PE) โดยเฉพาะ DLL ด้วย DLEST คุณสามารถระบุฟังก์ชั่นที่ส่งออกได้อย่างง่ายดายโดยใช้วิธีการที่หลากหลายรวมถึงการลากและวางการเปิดโฟลเดอร์หรือสแกนโฟลเดอร์ซ้ำด้วยการกรองนิพจน์ทั่วไปเพื่อรวมไฟล์ PE ที่มีชื่อฟังก์ชันการส่งออกเฉพาะ

นอกเหนือจากการแยกวิเคราะห์ไฟล์ PE ที่เก็บไว้ในดิสก์แล้ว DLEST ยังรองรับการวิเคราะห์โมดูลที่โหลดหน่วยความจำช่วยให้คุณวิเคราะห์และจัดการกับฟังก์ชั่นที่ส่งออกแบบเรียลไทม์ สิ่งนี้ทำให้ DLEST เป็นเครื่องมือที่มีค่าสำหรับนักวิเคราะห์มัลแวร์ระหว่างวิศวกรรมย้อนกลับหรือการตอบสนองของเหตุการณ์ คุณยังสามารถทิ้งโมดูลรุ่นใด ๆ ที่สร้างขึ้นใหม่เพื่อการวิเคราะห์หรือนำมาใช้ซ้ำ

แอปพลิเคชันนี้มีมัลติเธรดอย่างสมบูรณ์ทำให้มั่นใจได้ว่าการประมวลผลไฟล์ PE จำนวนมากมีประสิทธิภาพและรวดเร็ว ไม่ว่าคุณจะเป็นนักพัฒนาที่ต้องการวิเคราะห์และจัดการฟังก์ชั่นที่ส่งออกหรือนักวิเคราะห์มัลแวร์ที่ต้องการเครื่องมือที่เชื่อถือได้เพื่อช่วยในการทำงานของคุณ ชื่อของมันคือ DLEST สะท้อนให้เห็นถึงความสามารถในการ "ลบ" คุณจากการทำงานที่พิถีพิถันปรับปรุงและทำให้งานของคุณง่ายขึ้น

คุณสมบัติที่สำคัญ

คุณสมบัติที่เน้น

  • รองรับทั้ง X86-32 (PE) และ X86-64 (PE+) บิตไฟล์ที่ใช้งานได้แบบพกพา
  • สนับสนุนการส่งออกชื่อ / ไม่มีชื่อ
  • สนับสนุนคุณสมบัติของ COM และวิธีการแจกแจง
  • การกรองขั้นสูง (โดยชื่อส่งออก, ประเภทการส่งออก)
  • โหลดไฟล์ PE จาก Drag N Drop (สนับสนุน UAC)
  • โหลดไฟล์ PE จากกล่องโต้ตอบเปิด
  • โหลดไฟล์ PE จากโฟลเดอร์ทั้งหมด
  • สแกนสำหรับไฟล์ PE ด้วยการควบคุมขั้นสูง (การเรียกซ้ำและการกรองฟังก์ชั่นการส่งออกผ่านข้อความ/regex)
  • การสแกนและแยกโมดูลหน่วยความจำที่แมปจากกระบวนการเรียกใช้
  • กระบวนการดีบักและจับเหตุการณ์ DLL โหลด (เป็นทางเลือกทีละขั้นตอนการควบคุมผู้ใช้)
  • เครื่องมือแฮชไฟล์แบบรวม (MD5, SHA1, ครอบครัว SHA2)
  • การค้นหาของ Google
  • การค้นหาที่ไม่มีการป้องกัน
  • หลายแท็บ

และอีกมากมาย

คุณสมบัติที่สำคัญ

โฟลเดอร์สแกน

โหมดสแกนโฟลเดอร์ใน DLEST ช่วยให้คุณสามารถทำการสแกนขั้นสูงและครอบคลุมมากขึ้นของโฟลเดอร์หรือโครงสร้างไดเรกทอรีโดยค้นหาไฟล์ DLL ที่ถูกต้องใด ๆ ที่เสนอฟังก์ชั่นที่ส่งออก โหมดนี้ช่วยให้คุณสามารถสแกนโฟลเดอร์และโฟลเดอร์ย่อยซ้ำได้โดยมองหาไฟล์ PE ที่เข้ากันได้และถูกต้องซึ่งให้ฟังก์ชั่นที่ส่งออก

หนึ่งในคุณสมบัติที่สำคัญของโหมดสแกนโฟลเดอร์คือความสามารถในการใช้การสืบค้นนิพจน์ปกติ (Regex) ขั้นสูงเพื่อกรองไฟล์บางไฟล์ตามชื่อของฟังก์ชั่นที่ส่งออก สิ่งนี้มีประโยชน์อย่างยิ่งหากคุณกำลังมองหาฟังก์ชั่นเฉพาะหรือจำเป็นต้องยกเว้นไฟล์บางไฟล์จากการสแกน

นอกเหนือจากไฟล์ DLL โหมดสแกนโฟลเดอร์ยังมีตัวเลือกในการสแกนไฟล์ PE ที่เข้ากันได้และถูกต้องแทนที่จะ จำกัด การค้นหา DLL สิ่งนี้ทำให้เป็นเครื่องมือที่หลากหลายและทรงพลังสำหรับการค้นหาและวิเคราะห์ฟังก์ชั่นที่ส่งออกในไฟล์ PE ที่หลากหลาย

ไม่ว่าคุณจะต้องการค้นหาฟังก์ชั่นที่ส่งออกอย่างรวดเร็วในโฟลเดอร์เดียวหรือทำการสแกนที่ครอบคลุมและขั้นสูงมากขึ้นของโครงสร้างไดเรกทอรีที่มีขนาดใหญ่ขึ้นโหมดสแกนโฟลเดอร์ใน DLEST ได้ครอบคลุม

โมดูลในหน่วยความจำ

โมดูลที่แมป

การโหลดจากโหมดการทำงานใน DLEST ช่วยให้คุณสามารถแยกวิเคราะห์ส่วนหัวแบบพกพา (PE) สำหรับฟังก์ชั่นที่ส่งออกโดยตรงจากโมดูลในหน่วยความจำแทนที่จะมาจากไฟล์ที่เก็บไว้ในดิสก์ นี่อาจเป็นคุณสมบัติที่มีประโยชน์สำหรับนักพัฒนาและนักวิเคราะห์มัลแวร์ที่ต้องการวิเคราะห์ฟังก์ชั่นที่ส่งออกแบบเรียลไทม์หรือผู้ที่ทำงานกับโมดูลที่โหลดหน่วยความจำที่ไม่ได้เก็บไว้ในดิสก์

ในการใช้การโหลดจากโหมดการรันกระบวนการคุณจะต้องเลือกกระบวนการที่ต้องการจากรายการกระบวนการที่กำลังทำงานอยู่ในระบบของคุณ DLEST จะแยกวิเคราะห์ส่วนหัว PE สำหรับกระบวนการที่เลือกและระบุฟังก์ชั่นที่ส่งออกภายใน

โหมดนี้มีประโยชน์อย่างยิ่งสำหรับการวิเคราะห์และจัดการฟังก์ชั่นที่ส่งออกแบบเรียลไทม์เนื่องจากช่วยให้คุณเข้าถึงโมดูลในหน่วยความจำโดยตรงของกระบวนการทำงาน ไม่ว่าคุณจะเป็นนักพัฒนาที่ต้องการเพิ่มประสิทธิภาพการทำงานของรหัสหรือนักวิเคราะห์มัลแวร์ที่พยายามทำความเข้าใจพฤติกรรมของโปรแกรมที่เป็นอันตรายการโหลดจากโหมดกระบวนการทำงานใน DLEST เป็นเครื่องมือที่มีค่า

ฟีเจอร์ "Dump Reconstructed Pe Image" คืออะไร?

คุณลักษณะ "Dump Reconstructed PE Image" ใน DLEST ช่วยให้คุณสามารถบันทึกสำเนาโมดูลที่แมปหน่วยความจำจากกระบวนการเป้าหมายไปยังไฟล์เพื่อการวิเคราะห์หรือการใช้งานเพิ่มเติม นี่อาจเป็นคุณลักษณะที่มีประโยชน์สำหรับนักพัฒนาและนักวิเคราะห์มัลแวร์ที่ต้องการตรวจสอบการทำงานภายในของโมดูลในรายละเอียดเพิ่มเติมหรือผู้ที่จำเป็นต้องใช้โมดูลรุ่นเฉพาะสำหรับการทดสอบหรือวัตถุประสงค์อื่น ๆ

ในการใช้คุณสมบัตินี้คุณจะต้องเลือกกระบวนการและโมดูลที่ต้องการจากรายการของกระบวนการที่กำลังทำงานอยู่และโมดูลที่ทำโดยหน่วยความจำ DLEST จะสร้างสำเนาของโมดูลที่เลือกและสร้างใหม่ในรูปแบบที่สามารถอ่านได้โดยนักวิเคราะห์ PE หรือเครื่องมืออื่น ๆ

ภาพ PE ที่สร้างขึ้นใหม่สามารถบันทึกลงในไฟล์ในระบบของคุณเพื่อใช้งานในภายหลัง สิ่งนี้ช่วยให้คุณตรวจสอบโมดูลในรายละเอียดเพิ่มเติมเข้าใจพฤติกรรมหรือนำมาใช้ซ้ำเพื่อทดสอบหรือวัตถุประสงค์อื่น ๆ ไม่ว่าคุณจะเป็นนักพัฒนาที่ต้องการเพิ่มประสิทธิภาพการทำงานของรหัสหรือนักวิเคราะห์มัลแวร์ที่พยายามเข้าใจพฤติกรรมของโปรแกรมที่เป็นอันตรายคุณลักษณะ

การกรองฟังก์ชั่นส่งออก

ชื่อการส่งออกกรอง Regex

คุณสมบัติการกรองการส่งออกแบบสดใน DLEST ช่วยให้คุณใช้นิพจน์ทั่วไปเพื่อกรองฟังก์ชั่นที่ส่งออกที่แสดงในเครื่องมือแบบเรียลไทม์ นี่อาจเป็นคุณสมบัติที่มีประโยชน์สำหรับนักพัฒนาและนักวิเคราะห์มัลแวร์ที่ต้องการค้นหาฟังก์ชั่นที่ส่งออกเฉพาะอย่างรวดเร็วหรือผู้ที่ต้องการยกเว้นฟังก์ชั่นบางอย่างจากรายการ

ในการใช้คุณสมบัตินี้เพียงป้อนนิพจน์ทั่วไปลงในฟิลด์ที่กำหนดและคลิกปุ่ม "ใช้" DLEST จะใช้นิพจน์ทั่วไปเพื่อกรองรายการฟังก์ชั่นที่ส่งออกโดยแสดงเฉพาะรายการที่ตรงกับรูปแบบ

ในขณะที่คุณสมบัตินี้มีประโยชน์มาก แต่ก็เป็นที่น่าสังเกตว่ามันอาจจะช้าลงเมื่อนำไปใช้กับฟังก์ชั่นที่ส่งออกจำนวนมาก ในกรณีเช่นนี้อาจใช้เวลานานกว่าสำหรับ DLEST ในการใช้ตัวกรองและอัปเดตการแสดงผล อย่างไรก็ตามในกรณีส่วนใหญ่คุณสมบัติการกรองการส่งออกสดนั้นรวดเร็วและมีประสิทธิภาพทำให้เป็นเครื่องมือที่มีค่าสำหรับการค้นหาฟังก์ชั่นการส่งออกเฉพาะอย่างรวดเร็วหรือไม่รวมสิ่งที่ไม่ต้องการ

การกรองตามประเภท

เริ่มต้นด้วยเวอร์ชัน 3 ของ DLEST ตอนนี้คุณสามารถกรองการส่งออกที่แจกแจงตามประเภท: ฟังก์ชั่นการส่งออก, ฟังก์ชั่นที่ส่งต่อ, วิธี COM, คุณสมบัติ COM และอื่น ๆ

ข้อมูลขยายห้องสมุด

หน้าต่างข้อมูล Extended Libraries ใน DLEST เป็นคุณลักษณะที่แสดงรายการไฟล์ Parsed Portable Executable (PE) จากบริบทแท็บปัจจุบันพร้อมกับรายละเอียดที่หลากหลายเกี่ยวกับแต่ละไฟล์ นี่อาจเป็นคุณลักษณะที่มีประโยชน์สำหรับนักพัฒนาและนักวิเคราะห์มัลแวร์ที่ต้องการเข้าถึงข้อมูลเกี่ยวกับไลบรารีที่พวกเขาทำงานด้วยอย่างรวดเร็ว

หน้าต่างข้อมูลส่วนขยายจะแสดงรายการไฟล์ PE ที่แยกวิเคราะห์พร้อมกับข้อมูลต่อไปนี้สำหรับแต่ละไฟล์:

ชื่อไลบรารี: ชื่อของไลบรารีตามที่ปรากฏในส่วนหัวของไฟล์

จำนวนการส่งออก: จำนวนฟังก์ชั่นที่ส่งออกทั้งหมดในไลบรารี

ขนาดไฟล์: ขนาดของไฟล์ในไบต์

แอตทริบิวต์ไฟล์: รายการแอตทริบิวต์ที่เกี่ยวข้องกับไฟล์เช่นว่าเป็นแบบอ่านอย่างเดียวหรือซ่อนเร้น

ด้วยการใช้หน้าต่างข้อมูลส่วนขยายคุณสามารถเข้าถึงข้อมูลมากมายเกี่ยวกับห้องสมุดที่คุณทำงานด้วยอย่างรวดเร็วทำให้เข้าใจเนื้อหาและพฤติกรรมของพวกเขาได้ง่ายขึ้น ไม่ว่าคุณจะเป็นนักพัฒนาที่ต้องการเพิ่มประสิทธิภาพการทำงานของรหัสของคุณหรือนักวิเคราะห์มัลแวร์ที่พยายามเข้าใจพฤติกรรมของโปรแกรมที่เป็นอันตรายหน้าต่างข้อมูลไลบรารีขยายเป็นทรัพยากรที่มีค่าที่คุณต้องการ

Process Spy (DEBUG)

การตั้งค่าสายลับ Proc

Process Spy เป็นคุณลักษณะการวิเคราะห์แบบไดนามิกที่ช่วยให้คุณสร้างกระบวนการใหม่ในโหมดดีบักจากแอปพลิเคชันเป้าหมายและฟังเหตุการณ์การดีบักโหลด DLL เพื่อจับโมดูลที่โหลดทีละขั้นตอนควบคุมโดยผู้ใช้ หากคุณไม่ต้องการไปทีละขั้นตอนคุณสามารถคลิกปุ่มเล่นเพื่อให้กิจกรรมทั้งหมดดำเนินการโดยอัตโนมัติ คุณตัดสินใจว่าจะหยุดการดีบักเพื่อระบุฟังก์ชั่นที่ส่งออกจากไฟล์ภาพไลบรารีที่จับได้เมื่อใด

แนะนำให้ใช้วิธีการทีละขั้นตอน (ผ่านปุ่มดำเนินการต่อ) สำหรับกระบวนการที่อาจออกหลังจากทำงานให้เสร็จ

คุณลักษณะนี้เป็นทางเลือกที่มีคุณค่าในการประมวลผลโมดูลการแจงนับเนื่องจากโมดูลบางอย่างอาจปรากฏชั่วคราวและหายไป การใช้คุณสมบัตินี้คุณสามารถติดตาม DLL ที่โหลดแบบเรียลไทม์

Proc Spy Capture

เครื่องมือแฮชไฟล์

เครื่องมือแฮชไฟล์

เริ่มต้นด้วยเวอร์ชัน 3.0 ของ DLEST ตอนนี้แฮชไฟล์จะถูกคำนวณตามความต้องการของผู้ใช้โดยใช้เครื่องมือแฮชไฟล์ เครื่องมือนี้ช่วยให้คุณสามารถส่งไลบรารีใด ๆ (จากรายการส่งออกรายการกระบวนการรายการโมดูลรายการเหตุการณ์สายลับการจับภาพรายการ ฯลฯ ) ไปยังรายการแฮชและคำนวณแฮชไฟล์สำหรับ MD5, SHA-1 และตระกูล SHA-2 นอกจากนี้ยังเน้นไฟล์ซ้ำที่อาจเกิดขึ้นโดยการเปรียบเทียบแฮช โปรดทราบว่าคุณสามารถใช้เครื่องมือนี้เป็นคุณลักษณะแบบสแตนด์อโลน รองรับการเปิดไฟล์ใด ๆ หรือลากและวางไฟล์จากเดสก์ท็อปของคุณ

การเปลี่ยนแปลง

ธ.ค. 2022

  • รุ่นแรก

มิ.ย. 2023

  • ระบุวัตถุ Com (วิธีการและคุณสมบัติ) - ไฟล์เท่านั้น (ยังไม่ได้อยู่ในหน่วยความจำ)
  • ความเป็นไปได้ที่จะเลือกรายการที่ผู้ใช้ต้องการระบุ (ฟังก์ชั่นส่งออกคุณสมบัติ COM หรือวิธีการ)
  • ไอคอนแอปพลิเคชันเพียงไม่กี่รายการที่ได้รับการอัปเดตสำหรับ confort มากขึ้น
  • ส่วนประกอบ Treeview เสมือนจริงอัปเดตเป็นเวอร์ชัน 7.6.4
  • รวบรวมด้วย Delphi 11.3

มิ.ย. 2024

  • รวบรวมด้วย Delphi 12 เวอร์ชัน 29.0.51961.7529
  • ส่วนประกอบ Treeview เสมือนจริงอัปเดตเป็นเวอร์ชัน 8.0.3
  • ปรับปรุงการออกแบบไอคอนและโครงสร้าง
  • การค้นหาแบบไม่สมบูรณ์แบบรวม (ชื่อโมดูล / API)
  • ยกเลิกการสแกนโฟลเดอร์ตอนนี้ใช้งานได้ตามที่คาดไว้
  • ตอนนี้เป็นไปได้ที่จะยกเลิกงานการแจงนับรายการส่งออก
  • เพื่อปรับปรุงความเร็วอย่างมากการแฮชไลบรารี (MD5, SHA1, SHA2) ได้ถูกลบออกจากงานแจกแจงการส่งออก
  • การซิงโครไนซ์/คิวการซิงโครไนซ์ที่ดีขึ้นนำไปใช้เพื่อ จำกัด ค่าใช้จ่ายและเพิ่มความเร็ว
  • มีการเพิ่มกลไกตัวกรองสดใหม่เพื่อเปิดใช้งานการกรองการส่งออกตามประเภทของพวกเขา ตัวกรองนี้ทำงานร่วมกับอินพุตการค้นหาการส่งออกช่วยให้สามารถกรองได้อย่างราบรื่นโดยไม่ต้องรีเฟรช
  • สถิติการส่งออกแสดงไปยังแถบสถานะใหม่
  • การค้นหาโฟลเดอร์ "Deep Scan" ถูกแทนที่ด้วยตัวกรองไฟล์ไวด์การ์ดที่ผู้ใช้กำหนด
  • คุณลักษณะข้อมูลไลบรารีส่วนขยายขณะนี้เสนอโดยค่าเริ่มต้นเพื่อแสดงไลบรารีเป็นแผนผัง
  • ฟังก์ชั่นการส่งออกที่ไม่ระบุชื่อ / ฟังก์ชั่นที่ส่งต่อได้รับการแจกแจงแล้ว (Lone Ordinals)
  • Process Spy Feature: DEBUG กระบวนการและตรวจสอบสำหรับสัญญาณโหลด DLL สำหรับการแจงนับการส่งออก
  • เพิ่มคุณสมบัติเครื่องมือการคำนวณแฮชไฟล์
  • การปรับปรุงคุณภาพรหัสอื่น ๆ

ขอบคุณเป็นพิเศษ

  • Thomas Roccia (@fr0gger_)
  • Mudpak (Mudsor Masood) สำหรับการสนับสนุนและการทดสอบที่มีค่าของเขา
  • ซอฟต์แวร์ JAM: TVIRTUALSTRINGTREE ส่วนประกอบ
  • onryldz: xsuperobject lib
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด