DLest

DLEST专门设计用于协助开发人员和恶意软件分析师对便携式可执行文件（PE）文件（尤其是DLL）中导出功能的分析和操纵。使用DLEST，您可以使用多种方法轻松地列举导出的功能，包括拖放，打开文件夹或递归扫描具有正则表达式过滤的文件夹，以仅包含具有特定导出功能名称的PE文件。

除了解析存储在磁盘上的PE文件外，DLEST还支持对内存加载模块的分析，从而使您可以实时分析和操纵导出的功能。这使DLEST成为反向工程或事件响应期间恶意软件分析师的宝贵工具。您甚至可以将任何模块的重建版本转换为进一步分析或重复使用。

该应用程序已完全多线程，可确保大量PE文件的高效和快速处理。无论您是希望分析和操纵导出功能的开发人员还是需要可靠工具来协助您工作的恶意软件分析师，DLEST肯定是您工具包的宝贵补充。它的名称DLEST反映了其从挑剔的工作中“掌握”您的能力，简化和简化了您的任务。

• 支持X86-32（PE）和X86-64（PE+）位便携式可执行文件。
• 命名 /未命名出口的支持。
• 支持com属性和枚举。
• 高级过滤（通过导出名称，导出类型）。
• 从拖放n滴（支持UAC）加载PE文件。
• 从打开对话框加载PE文件。
• 从整个文件夹加载PE文件。
• 扫描具有高级控件的PE文件（递归和导出功能通过文本/正则滤波）。
• 从运行过程中扫描和解析内存映射模块。
• 调试过程并捕获DLL加载事件（可选的逐步用户控制）
• 集成文件哈希工具（MD5，SHA1，SHA2家族）
• Google搜索。
• 未保护搜索。
• 多标签。

还有更多！

DLEST中的扫描文件夹模式使您可以对文件夹或目录结构进行更高级，更全面的扫描，并找到提供导出功能的任何有效的DLL文件。此模式使您可以递归地扫描文件夹及其子文件夹，从而寻找提供导出功能的兼容且有效的PE文件。

扫描文件夹模式的关键功能之一是它可以根据导出功能的名称使用高级正则表达式（REGEX）查询来过滤某些文件。如果您正在寻找特定功能或需要从扫描中排除某些文件，这可能特别有用。

除DLL文件外，扫描文件夹模式还包括扫描任何兼容和有效的PE文件的选项，而不仅仅是将搜索限制为DLL。这使其成为一种多功能且功能强大的工具，用于定位和分析各种不同类型的PE文件中的导出功能。

无论您是需要在单个文件夹中快速定位导出的功能，还是对较大的目录结构进行更全面，更高级的扫描，DLEST中的扫描文件夹模式已覆盖。

DLEST中运行过程模式的负载使您可以直接从内存模块中直接从存储在磁盘上的文件中解析可携带可执行文件（PE）标头的导出功能。对于需要实时分析导出功能或使用未存储在磁盘上的内存模块的开发人员和恶意软件分析师来说，这可能是有用的功能。

要使用运行过程模式的负载，您需要从系统上当前运行过程的列表中选择所需的过程。然后，DLEST将在所选过程中解析PE标头，并确定其中的任何导出功能。

此模式对于实时分析和操纵导出功能特别有用，因为它允许您直接访问运行过程的内存模块。无论您是希望优化代码性能的开发人员还是试图了解恶意程序行为的恶意软件分析师，DLEST运行过程模式的负载都是可供您使用的有价值的工具。

DLEST中的“转储重建PE映像”功能使您可以保存从目标过程到文件的任何内存映射模块的副本，以进行进一步分析或使用。对于想要更详细地检查模块的内部工作或需要重用模块的特定版本进行测试或其他目的的开发人员和恶意软件分析师来说，这可能是一个有用的功能。

要使用此功能，您将需要从当前正在运行的进程及其内存映射模块的列表中选择所需的过程和模块。然后，DLEST将创建所选模块的副本，并以PE分析仪或其他工具可以读取的格式重建它。

重建的PE映像可以保存到系统上的文件中，以供以后使用。这使您可以更详细地检查模块，理解其行为或重用该模块以进行测试或其他目的。无论您是希望优化代码性能的开发人员还是试图了解恶意程序行为的恶意软件分析师，DLEST中的“转储重建PE Image”功能都是可供您使用的宝贵工具。

DLEST中的实时导出过滤功能使您可以使用正则表达式实时过滤工具中显示的导出功能。对于需要快速找到特定导出功能或希望将某些功能排除在列表中的开发人员和恶意软件分析师来说，这可能是有用的功能。

要使用此功能，只需在指定字段中输入正则表达式，然后单击“应用”按钮。然后，DLEST将使用正则表达式来过滤导出功能的列表，仅显示匹配模式的功能。

尽管此功能非常有用，但值得注意的是，将其应用于大量导出功能时可能会较慢。在这种情况下，DLEST应用过滤器并更新显示可能需要更长的时间。但是，在大多数情况下，实时导出过滤功能是快速有效的，使其成为快速找到特定导出功能或排除不需要的功能的宝贵工具。

从DLEST的版本3开始，您现在可以按其类型过滤枚举的导出：导出函数，转发函数，com方法，com属性等。

DLEST中的扩展库信息窗口是一项功能，该功能从当前的选项卡上下文中显示了分析的便携式可执行文件（PE）文件的列表，以及有关每个文件的各种详细信息。对于需要快速访问与之合作的库的信息的开发人员和恶意软件分析师，这可能是一个有用的功能。

扩展的库信息窗口显示了分析的PE文件列表，以及每个文件的以下信息：

库名称：库的名称，如文件的标题出现。

出口计数：库中导出功能的总数。

文件大小：文件的大小，字节。

文件属性：与文件关联的属性列表，例如它是只读还是隐藏。

通过使用扩展的库信息窗口，您可以快速访问有关与您正在合作的库的大量信息，从而更容易理解其内容和行为。无论您是希望优化代码性能的开发人员还是试图了解恶意程序行为的恶意软件分析师，扩展的库信息窗口都是可供您使用的宝贵资源。

Process Spy是一个动态分析功能，可让您从目标应用程序中以调试模式创建一个新过程，并收听DLL加载调试事件，以捕获由用户控制的逐步捕获加载模块。如果您不想逐步进行，则可以单击“播放”按钮以使所有事件自动进行。您决定何时停止调试以列举捕获的库图像文件的导出功能。

建议使用分步方法（通过继续按钮）用于完成任务后可能退出的过程。

此功能是过程模块枚举的宝贵替代方法，因为某些模块可能会暂时出现然后消失。使用此功能，您可以实时跟踪哪些DLL。

从DLEST的3.0版开始，用户使用文件哈希工具按需计算文件哈希。此工具允许您将任何库（从“导出列表”，“进程列表”，“模块列表”，“进程间谍捕获事件”等发送到哈希列表，并计算MD5，SHA-1和SHA-2家族的文件哈希。它还通过哈希比较突出显示了潜在的重复文件。请注意，您还可以将此工具用作独立功能；它支持打开任何文件或从桌面上拖动和删除文件。

• 第一版

• 枚举com对象（方法和属性） - 仅文件（尚未内存）
• 选择用户想要枚举哪些项目的可能性（导出功能，com属性或方法）
• 很少有应用程序图标更新以获得更多融合。
• 虚拟TreeView组件已更新为7.6.4版。
• 用Delphi 11.3编译。

• 用Delphi 12版本29.0.51961.7529编译
• 虚拟TreeView组件已更新为8.0.3版本
• 改进的设计，图标和结构
• 非保护搜索集成（模块 / API名称）
• 取消文件夹扫描现在按预期工作
• 现在可以取消“导出列表”枚举任务
• 为了大大提高速度，图书馆哈希（MD5，SHA1，SHA2）已从出口枚举任务中删除
• 更好的线程同步/队列实践实施以限制开销并提高速度
• 已经添加了一种新的实时滤波器机制，以通过其类型来过滤出口。该过滤器与导出搜索输入结合使用，可以进行无缝过滤，而无需刷新。
• 显示到新状态栏的出口统计信息
• 文件夹搜索“深扫描”被用户定义的通配符文件过滤器替换。
• 扩展的库信息功能现在默认提供以显示库作为树
• 匿名导出的功能 /转发功能现在被列举（孤独的序数）
• 过程间谍功能：调试一个过程并监视DLL负载信号以进行枚举。
• 添加了文件哈希计算工具功能。
• 其他代码质量改进

• Thomas Roccia（@fr0gger_）
• Mudpak（Mudsor Masood）提供了宝贵的支持和测试。
• 果酱软件：TVIRTUALSTRINGTREE组件
• onryldz：xsuperobject lib