【PEtools】Adlice PEViewer
更新日期
2020年7月15日
工具介绍
官网:https://www.adlice.com/download/roguekillerpe/
其它名称:RogueKillerPE
官方描述:Adlice PEViewer(RogueKillerPE)是一款PE分析器软件,可在进行恶意软件分析时提供帮助。PEViewer能够检查磁盘上的文件或(正在运行的)过程存储器,并使用基于人工智能,第三方服务和内置启发式规则的各种模块对样本进行分类。
下载
安装版本32位劫持补丁密码:i8gumd5:0D5B6CB5D63B433A8FBB1CAE0CD8859B
安装版本64位劫持补丁密码:i8gumd5:E31609BE1A93F1E06F0B498FB541E497
用法案例
扫描文件
有几种不同的方法可以开始文件分析:
A. 将文件拖到 “加载”面板中。
B. (在第一次分析之后)在“结果”面板上拖动文件。
C. 使用“ -scan_target C:\ myfile.bin”命令启动软件。
D. 点击 “结果”面板中的“刷新”按钮(重新扫描文件)。
扫描文件并显示数据时,可以导航到“结果”面板并跟踪解析的进度。收集的数据在“ PE结构”部分中进行了说明。
扫描处理模块
要开始过程模块分析,您需要首先在“加载”面板中加载过程列表。
完成后,只需从列表中选择任何进程,然后从右侧面板中选择一个已加载的模块(DLL / EXE)。使用“加载”按钮确认您的选择。
对于文件分析,分析开始,PE数据显示在“结果”视图中。与经典文件分析相比,内存(过程)扫描具有多个附加层:
A. 内存选项卡:显示模块使用的所有内存页面。可以将其丢弃或检查。
B. RunPE比较:将内存中的PE结构与其在磁盘上的映像进行比较。结果以颜色语法显示(红色:不匹配,绿色:相等),因此很容易看到差异。
C. 常规选项卡显示过程信息。
D. 导入/导出选项卡显示可能的钩子,并允许检查代码的反汇编。
PE结构
当Adlice PEViewer打开文件(或处理模块)时,它将开始解析PE结构数据并将其显示在几个选项卡中。大多数选项卡如下所述:
常规选项卡显示有关文件/过程,哈希和分数的信息。
图像选项卡显示Bin2Img表示形式,可以快速查看数据表示形式和多样性。
指标选项卡显示在信息解析期间发现的所有异常(或强烈提示)。它们会提示文件是恶意文件还是合法文件。
内存选项卡显示进程的页面。
十六进制选项卡显示数据的十六进制视图,并允许在其中搜索字符串。
MZ / PE标头视图显示原始PE数据
资源选项卡显示文件中的资源
版本信息/数字标签选项卡显示版本信息以及文件是否经过数字签名。
对比
对比是高级功能。它有助于根据需要比较相似的样本(同一家族)以找到常见的模式或差异。
在搜索通用模式时,可以使用它来制作可捕获两个文件的防病毒签名。
搜索差异时,可用于查找补丁位置。
