DLest

DLEST專門設計用於協助開發人員和惡意軟件分析師對便攜式可執行文件（PE）文件（尤其是DLL）中導出功能的分析和操縱。使用DLEST，您可以使用多種方法輕鬆地列舉導出的功能，包括拖放，打開文件夾或遞歸掃描具有正則表達式過濾的文件夾，以僅包含具有特定導出功能名稱的PE文件。

除了解析存儲在磁盤上的PE文件外，DLEST還支持對內存加載模塊的分析，從而使您可以實時分析和操縱導出的功能。這使DLEST成為反向工程或事件響應期間惡意軟件分析師的寶貴工具。您甚至可以將任何模塊的重建版本轉換為進一步分析或重複使用。

該應用程序已完全多線程，可確保大量PE文件的高效和快速處理。無論您是希望分析和操縱導出功能的開發人員還是需要可靠工具來協助您工作的惡意軟件分析師，DLEST肯定是您工具包的寶貴補充。它的名稱DLEST反映了其從挑剔的工作中“掌握”您的能力，簡化和簡化了您的任務。

• 支持X86-32（PE）和X86-64（PE+）位便攜式可執行文件。
• 命名 /未命名出口的支持。
• 支持com屬性和枚舉。
• 高級過濾（通過導出名稱，導出類型）。
• 從拖放n滴（支持UAC）加載PE文件。
• 從打開對話框加載PE文件。
• 從整個文件夾加載PE文件。
• 掃描具有高級控件的PE文件（遞歸和導出功能通過文本/正則濾波）。
• 從運行過程中掃描和解析內存映射模塊。
• 調試過程並捕獲DLL加載事件（可選的逐步用戶控制）
• 集成文件哈希工具（MD5，SHA1，SHA2家族）
• Google搜索。
• 未保護搜索。
• 多標籤。

還有更多！

DLEST中的掃描文件夾模式使您可以對文件夾或目錄結構進行更高級，更全面的掃描，並找到提供導出功能的任何有效的DLL文件。此模式使您可以遞歸地掃描文件夾及其子文件夾，從而尋找提供導出功能的兼容且有效的PE文件。

掃描文件夾模式的關鍵功能之一是它可以根據導出功能的名稱使用高級正則表達式（REGEX）查詢來過濾某些文件。如果您正在尋找特定功能或需要從掃描中排除某些文件，這可能特別有用。

除DLL文件外，掃描文件夾模式還包括掃描任何兼容和有效的PE文件的選項，而不僅僅是將搜索限制為DLL。這使其成為一種多功能且功能強大的工具，用於定位和分析各種不同類型的PE文件中的導出功能。

無論您是需要在單個文件夾中快速定位導出的功能，還是對較大的目錄結構進行更全面，更高級的掃描，DLEST中的掃描文件夾模式已覆蓋。

DLEST中運行過程模式的負載使您可以直接從內存模塊中直接從存儲在磁盤上的文件中解析可攜帶可執行文件（PE）標頭的導出功能。對於需要實時分析導出功能或使用未存儲在磁盤上的內存模塊的開發人員和惡意軟件分析師來說，這可能是有用的功能。

要使用運行過程模式的負載，您需要從系統上當前運行過程的列表中選擇所需的過程。然後，DLEST將在所選過程中解析PE標頭，並確定其中的任何導出功能。

此模式對於實時分析和操縱導出功能特別有用，因為它允許您直接訪問運行過程的內存模塊。無論您是希望優化代碼性能的開發人員還是試圖了解惡意程序行為的惡意軟件分析師，DLEST運行過程模式的負載都是可供您使用的有價值的工具。

DLEST中的“轉儲重建PE映像”功能使您可以保存從目標過程到文件的任何內存映射模塊的副本，以進行進一步分析或使用。對於想要更詳細地檢查模塊的內部工作或需要重用模塊的特定版本進行測試或其他目的的開發人員和惡意軟件分析師來說，這可能是一個有用的功能。

要使用此功能，您將需要從當前正在運行的進程及其內存映射模塊的列表中選擇所需的過程和模塊。然後，DLEST將創建所選模塊的副本，並以PE分析儀或其他工具可以讀取的格式重建它。

重建的PE映像可以保存到系統上的文件中，以供以後使用。這使您可以更詳細地檢查模塊，理解其行為或重用該模塊以進行測試或其他目的。無論您是希望優化代碼性能的開發人員還是試圖了解惡意程序行為的惡意軟件分析師，DLEST中的“轉儲重建PE Image”功能都是可供您使用的寶貴工具。

DLEST中的實時導出過濾功能使您可以使用正則表達式實時過濾工具中顯示的導出功能。對於需要快速找到特定導出功能或希望將某些功能排除在列表中的開發人員和惡意軟件分析師來說，這可能是有用的功能。

要使用此功能，只需在指定字段中輸入正則表達式，然後單擊“應用”按鈕。然後，DLEST將使用正則表達式來過濾導出功能的列表，僅顯示匹配模式的功能。

儘管此功能非常有用，但值得注意的是，將其應用於大量導出功能時可能會較慢。在這種情況下，DLEST應用過濾器並更新顯示可能需要更長的時間。但是，在大多數情況下，實時導出過濾功能是快速有效的，使其成為快速找到特定導出功能或排除不需要的功能的寶貴工具。

從DLEST的版本3開始，您現在可以按其類型過濾枚舉的導出：導出函數，轉發函數，com方法，com屬性等。

DLEST中的擴展庫信息窗口是一項功能，該功能從當前的選項卡上下文中顯示了分析的便攜式可執行文件（PE）文件的列表，以及有關每個文件的各種詳細信息。對於需要快速訪問與之合作的庫的信息的開發人員和惡意軟件分析師，這可能是一個有用的功能。

擴展的庫信息窗口顯示了分析的PE文件列表，以及每個文件的以下信息：

庫名稱：庫的名稱，如文件的標題出現。

出口計數：庫中導出功能的總數。

文件大小：文件的大小，字節。

文件屬性：與文件關聯的屬性列表，例如它是只讀還是隱藏。

通過使用擴展的庫信息窗口，您可以快速訪問有關與您正在合作的庫的大量信息，從而更容易理解其內容和行為。無論您是希望優化代碼性能的開發人員還是試圖了解惡意程序行為的惡意軟件分析師，擴展的庫信息窗口都是可供您使用的寶貴資源。

Process Spy是一個動態分析功能，可讓您從目標應用程序中以調試模式創建一個新過程，並收聽DLL加載調試事件，以捕獲由用戶控制的逐步捕獲加載模塊。如果您不想逐步進行，則可以單擊“播放”按鈕以使所有事件自動進行。您決定何時停止調試以列舉捕獲的庫圖像文件的導出功能。

建議使用分步方法（通過繼續按鈕）用於完成任務後可能退出的過程。

此功能是過程模塊枚舉的寶貴替代方法，因為某些模塊可能會暫時出現然後消失。使用此功能，您可以實時跟踪哪些DLL。

從DLEST的3.0版開始，用戶使用文件哈希工具按需計算文件哈希。此工具允許您將任何庫（從“導出列表”，“進程列表”，“模塊列表”，“進程間諜捕獲事件”等發送到哈希列表，併計算MD5，SHA-1和SHA-2家族的文件哈希。它還通過哈希比較突出顯示了潛在的重複文件。請注意，您還可以將此工具用作獨立功能；它支持打開任何文件或從桌面上拖動和刪除文件。

• 第一版

• 枚舉com對象（方法和屬性） - 僅文件（尚未內存）
• 選擇用戶想要枚舉哪些項目的可能性（導出功能，com屬性或方法）
• 很少有應用程序圖標更新以獲得更多融合。
• 虛擬TreeView組件已更新為7.6.4版。
• 用Delphi 11.3編譯。

• 用Delphi 12版本29.0.51961.7529編譯
• 虛擬TreeView組件已更新為8.0.3版本
• 改進的設計，圖標和結構
• 非保護搜索集成（模塊 / API名稱）
• 取消文件夾掃描現在按預期工作
• 現在可以取消“導出列表”枚舉任務
• 為了大大提高速度，圖書館哈希（MD5，SHA1，SHA2）已從出口枚舉任務中刪除
• 更好的線程同步/隊列實踐實施以限制開銷並提高速度
• 已經添加了一種新的實時濾波器機制，以通過其類型來過濾出口。該過濾器與導出搜索輸入結合使用，可以進行無縫過濾，而無需刷新。
• 顯示到新狀態欄的出口統計信息
• 文件夾搜索“深掃描”被用戶定義的通配符文件過濾器替換。
• 擴展的庫信息功能現在默認提供以顯示庫作為樹
• 匿名導出的功能 /轉發功能現在被列舉（孤獨的序數）
• 過程間諜功能：調試一個過程並監視DLL負載信號以進行枚舉。
• 添加了文件哈希計算工具功能。
• 其他代碼質量改進

• Thomas Roccia（@fr0gger_）
• Mudpak（Mudsor Masood）提供了寶貴的支持和測試。
• 果醬軟件：TVIRTUALSTRINGTREE組件
• onryldz：xsuperobject lib