تقييم الموضوع :
  • 2 أصوات - بمعدل 4
  • 1
  • 2
  • 3
  • 4
  • 5
PE-bear للكشف عن الضغط او التشفير او الحماية يستخدم في تحليل البرامج الضارة بشكل خاص
#1
PE-bear

هي اداة مجانية ومفتوحة المصدر لتحليل وتعديل ملفات PE هدفها تقديم أداء سريع ومرن ويستخدمها محللي البرمجيات الخبيثة لتقدم نظرة اولى على البرنامج الضار قبل القيام بتحليله، الأداة مستقرة وقادرة على التعامل مع الملفات PE التالفة.

الميزات والتفاصيل
  • تحليل وتعديل ملفات PE
  • التعامل مع PE32 و PE64
  • عرض ملفات متعددة في نفس الوقت
  • التعرف على برامج الضغط المعروفة (عن طريق استخدام التواقيع)
  • disassembler سريع - بدءاً من أي RVA او offset
  • عمل تصوير مرئي لأقسام المقاطع
  • مقارنة انتقائية لملفين PE المختارين
  • إضافة عناصر جديدة (sections, imports)
  • تعمل الاداة على ويندوز ولينكس
  • و غيرها…
تصوير مرئي للمقاطع واقسامها
[صورة مرفقة: pe-bear_linux-sections.png?w=640]
تأتي اداة PE-bear أيضًا مع disassembler بسيط وتفاعلي:
[صورة مرفقة: pe-bear_linux2.png?w=640]
[صورة مرفقة: 0-3-7.png?w=640&h=479]
يمكنها ان تتعامل حتى مع ملفات PE التالفة.
[صورة مرفقة: cost.png?w=640&h=479]
يمكنك اضافة اقسام جديدة
[صورة مرفقة: add_section.png?w=640]

---------------
الاداة تحتاج Visual Studio 2010 Redistributable package لكي تعمل، اذا لم تكن هذه الحزمة منصبة لديك يمكنك تحمليها & تنصيبها من هنا vcredist_x64..zip
http://download.microsoft.com/download/3/2/2/3224B87F-CFA0-4E70-BDA3-3DE650EFEBA5/vcredist_x64.exe
vcredist_x86.zip
http://download.microsoft.com/download/5/B/C/5BC5DBB3-652D-4DCE-B14A-475AB85EEF6E/vcredist_x86.exe

--------------
التواقيع: الاداة تستخدم محرك خاص للتواقيع مما يعني محرك مختلف عن تواقيع PEiD ، هنا سكربت يقوم بتحويل تواقيع PEiD الى تواقيع PE-bear كما تم تحويل قاعدة بيانات التواقيع الشهيرة userdb.txt عن طريق السكربت الى تواقيع خاصة بـPE-bear يمكنك تحميلها من هنا file-sig-txt

--------------
لتحميل الاداة
 
https://github.com/hasherezade/pe-bear-releases/releases
للإطلاع على الكود البرمجي
https://github.com/hasherezade/bearparser
سبحان الله وبحمده، سبحان الله العظيم
أعضاء أعجبوا بهذه المشاركة : AX302 , x-member , [email protected] , mribraqdbra , TeRcO , xdvb_dz , ala6a , rce3033 , TITANIUM


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم