Acum va exista o mulțime de materiale pe tema în ce constau datele și cum pot fi editate. Mulți oameni știu că orice fișier de pe un computer (imagine, text sau multimedia) este un cod binar - zerouri și unu. Pentru a edita astfel de fișiere utilizați Editori HEX– o aplicație care editează date constând din cod octet. Octeții din editor sunt reprezentați în format hexazecimal.
Extensie de fișier
Problema este numărul mare de tipuri de fișiere și la început nu este clar modul în care sistemul de operare determină textul, multimedia sau arhiva și alte tipuri de date. După cum știți, sistemul identifică un fișier folosind o extensie adăugată după nume, de exemplu, „.exe”, „.txt” și altele.
Setările din sistemul de operare sunt flexibile, ceea ce înseamnă că extensia oricărui fișier poate fi ștearsă, dar atunci sistemul de operare nu o va putea deschide, nu va înțelege cu ce program să-l lanseze. În acest caz, structura logică a obiectului nu se va schimba. În imagine se vede un fișier text, iar lângă acesta este același, dar fără extensie și pictograma lui este albă.
Dacă un obiect fără extensie este în continuare același fișier cu un set de caractere logic, atunci extensia nu determină tipul său, dar apoi ce? Există așa ceva ca format- aceasta definește tipul, este și o specificare a structurii datelor. Expansiunea este un termen complet diferit. Ce să faceți dacă utilizatorul a întâlnit inițial un fișier fără extensie, dar trebuie să îl deschidă urgent și cu ceea ce este necunoscut?
Descriptori
Toate fișierele pot fi împărțite aproximativ în două componente - un antet, care conține date de identificare a obiectelor și diverse metadate. A doua componentă este „corpul” obiectului, cu ajutorul căruia se determină tipul obiectului și părțile antetului, care poartă numele descriptorului. Doi descriptori populari - ASCIIȘi HEX. A doua opțiune este analizată folosind editorii menționați la început.
Prima metodă ASCII este determinată folosind un editor de text, de exemplu, Notepad++, cu toate acestea, merită luat în considerare un punct - unele seturi de octeți nu pot fi convertite în format ASCII, ceea ce înseamnă că este recomandat să utilizați editori HEX. Lansând orice fișier folosind un astfel de utilitar, fereastra va afișa o vizualizare matrice cu o secvență de octeți, unde un octet este conținut într-una dintre celule. Informațiile despre descriptor se găsesc de obicei în primele 3 celule, rareori în mai multe cantități. Celulele sunt numărate pe orizontală. Datele afișate în celule sunt prezentate în cod hexazecimal.
Decriptarea descriptorului
Pentru a înțelege ce fel de date există, trebuie să descifrați codul. Pentru a face acest lucru, veți avea nevoie de un serviciu special care determină formatele de fișiere, de exemplu, open-file.ru. Dar există și alte resurse care sunt ușor de găsit pe Internet. După încărcarea fișierului pe site, datele vor fi analizate și apoi va fi afișat rezultatul. Un tabel cu tipul, formatul și descrierea fișierului va apărea mai jos.
Ceea ce am discutat mai sus este utilizarea editorilor HEX. Acum să înțelegem codul ASCII. Acest cod poate fi analizat folosind același open-file.ru. Cu alte cuvinte, ambele coduri sunt verificate pe resursă și nu trebuie introdus nimic.
Uneori formatul nu este atât de ușor de determinat. Acest lucru se aplică antetelor ASCII. Faptul este că primele caractere pot fi legate de extensii de fișiere și poate de mai multe formate.
Desigur, există o opțiune de definire a formatului. Pentru analiză vor fi utilizate mai multe rânduri, nu doar unul. Apoi oricare dintre elementele aflate acolo va indica, în orice caz, tipul obiectului.
Ce altceva poți face cu editorul HEX
Pe lângă faptul că editorii HEX ajută la analiza oricărui fișier, este posibil să:
- lucrul cu imagini de disc;
- Editeaza sectiunile;
- modificați conținutul memoriei RAM;
- modificați spațiul de adrese virtuale al procesului etc.
De exemplu, utilitățile de acest tip sunt utilizate în dezvoltarea de software. Când trebuie să introduceți date după compilarea programului, dar nu doriți să îl recompilați. Orice cod de program poate fi modificat folosind un editor HEX. Desigur, trebuie să puteți face acest lucru și să găsiți datele necesare. În acest fel, ei caută să corecteze erorile din cod sau să îl folosească pentru hacking și înșelăciune. Aceasta înseamnă că editorii HEX sunt folosiți pe scară largă.
Ce editori HEX să folosiți
Există multe programe pentru editarea datelor și aici sunt prezentate mai jos:
Utilitate populară pentru Windows. Folosind-o, utilizatorul nu va putea deschide niciun tip de fișier și îl va schimba. Dacă ceva este editat incorect, utilitarul are un istoric al modificărilor și puteți reveni oricând la starea inițială.
Instrumentul funcționează foarte repede, nu cântărește mult și este capabil să lucreze cu fișiere mari. Interfața este simplă și potrivită pentru începători, există o limbă rusă.
Acest editor poate fi folosit în versiunea demo pentru o perioadă, apoi trebuie să-l achiziționați. Instrumentul este universal, unde se găsesc multe opțiuni interesante.
Este posibil să lucrați nu numai cu fișiere, ci și cu hard disk-uri, unități flash, discuri optice și chiar dischete. Toate sistemele de fișiere Windows sunt acceptate. Acceptă clonarea partițiilor și ștergerea permanentă a datelor fără recuperare
Dacă sunteți începător, atunci acest program vă va fi suficient, mai ales că în secțiunea Ajutor există o opțiune de a comuta la interfața în limba rusă.
Utilitarul este 2 în 1, deoarece are o funcție de comparare a fișierelor și un editor HEX încorporat. Uneori poate fi necesar să comparați aceste fișiere pentru a determina diferențele și asemănările și pentru a analiza structura obiectelor în diferite formate.
Dacă există o diferență între două fișiere, zonele de pe matrice vor fi vopsite într-o anumită culoare, iar comparația în sine are loc în câteva secunde. Cu toate acestea, fișierele nu mai mari de 4 GB sunt potrivite pentru analiză.
Utilitarul în sine are capacitatea de a schimba interfața. Ceea ce înseamnă că utilizatorul îl poate personaliza singur. Lucrarea se va face mai repede.
Acest lucru vine gratuit, dar poate funcționa cu date mari de orice format și codificări. Este posibil să schimbați RAM și hard disk.
Programul combină codul hexazecimal și textul ASCII. Interfața pentru interfața în limba engleză este destul de simplă, așa că lucrul cu ea nu va fi dificil, mai ales dacă ați lucrat deja în editori similari.
Dacă un fișier nu se deschide într-un editor, atunci se va deschide în acesta. De aceea am dat aici o listă cu mai multe utilități. Instrumentul specificat este responsabil pentru deschiderea fișierelor binare. Există multe setări, iar cerințele de sistem sunt disponibile pentru orice computer.
Lucrul în acest editor este la fel de simplu ca imprimarea în Word. Există opțiuni pentru compararea fișierelor, sumele lor de verificare și exportul analizei în diferite formate, de exemplu, html.
Dacă trebuie să convertiți un cod într-un alt sistem de numere, atunci Hex Workshop are un convertor. Programul este shareware, ceea ce poate fi considerat unul dintre dezavantaje.
Acum ați învățat ce sunt editorii HEX și de ce sunt utilizați. În viitor, voi încerca să scriu articole despre lucrul cu ei, de exemplu, când trebuie să editați un fișier.
Bună ziua tuturor.
Din anumite motive, mulți oameni cred că lucrul cu editori hex este domeniul profesioniștilor și că utilizatorii începători nu ar trebui să le încerce. Dar, după părerea mea, dacă aveți cel puțin cunoștințe de bază de PC și o idee despre motivul pentru care aveți nevoie de un editor hexadecimal, atunci de ce nu?!
Folosind un program de acest fel, puteți schimba orice fișier, indiferent de tipul acestuia (multe manuale și ghiduri conțin informații despre schimbarea unui anumit fișier folosind un editor hexadecimal)! Adevărat, utilizatorul trebuie să aibă cel puțin o înțelegere de bază a sistemului hexazecimal (datele din editorul hex sunt prezentate exact în acesta). Cu toate acestea, cunoștințele de bază despre ea sunt predate la orele de informatică de la școală și, probabil, mulți au auzit și au o idee despre ea (de aceea nu o voi comenta în acest articol). Așadar, iată cei mai buni editori hexadecimale pentru începători (după umila mea părere).
1) Free Hex Editor Neo
Unul dintre cele mai simple și mai comune editori pentru fișiere hexazecimale, zecimale și binare pentru Windows. Programul vă permite să deschideți orice tip de fișier, să faceți modificări (istoricul modificărilor este salvat), să selectați și să editați în mod convenabil un fișier, să depanați și să analizați.
De asemenea, merită remarcat un nivel foarte bun de performanță, împreună cu cerințe scăzute de sistem pentru mașină (de exemplu, programul vă permite să deschideți și să editați fișiere destul de mari, în timp ce alți editori pur și simplu îngheață și refuză să lucreze).
Printre altele, programul acceptă limba rusă și are o interfață bine gândită și intuitivă. Chiar și un utilizator începător va putea să-și dea seama și să înceapă să lucreze cu utilitarul. În general, îl recomand tuturor celor care încep să se cunoască cu editorii hexadecimale.
2) WinHex
Acest editor, din păcate, este shareware, dar este unul dintre cele mai versatile, care acceptă o mulțime de opțiuni și caracteristici diferite (dintre care unele sunt greu de găsit printre concurenți).
În modul editor de discuri, vă permite să lucrați cu: HDD-uri, dischete, unități flash, DVD-uri, discuri ZIP, etc. Acceptă sisteme de fișiere: NTFS, FAT16, FAT32, CDFS.
Nu pot să nu remarc instrumentele convenabile pentru analiză: pe lângă fereastra principală, puteți conecta altele suplimentare cu diverse calculatoare, instrumente pentru căutarea și analiza structurii fișierelor. În general, este potrivit atât pentru începători, cât și pentru utilizatorii experimentați. Programul acceptă limba rusă ( selectați următorul meniu: Ajutor / Configurare / Rusă ).
WinHex, pe lângă cele mai comune funcții (care acceptă programe similare), vă permite să „clonați” discuri și să ștergeți informații de pe ele, astfel încât nimeni să nu le poată recupera vreodată!
3) Editor Hex HxD
Un editor de fișiere binare gratuit și destul de puternic. Suportă toate codificările majore (ANSI, DOS/IBM-ASCII și EBCDIC), fișiere de aproape orice dimensiune (apropo, editorul permite, pe lângă fișiere, să editeze RAM și să scrie direct modificări pe hard disk!).
De asemenea, puteți observa o interfață bine gândită, o funcție convenabilă și simplă pentru căutarea și înlocuirea datelor, un sistem treptat și pe mai multe niveluri de backup și rollback.
După lansare, programul este format din două ferestre: în stânga este codul hexazecimal, iar în dreapta este traducerea textului și conținutul fișierului.
Dintre minusuri, aș evidenția lipsa limbii ruse. Cu toate acestea, multe funcții vor fi clare chiar și pentru cei care nu au învățat niciodată engleza...
4) HexCmp
HexCmp - acest mic utilitar combină 2 programe simultan: primul vă permite să comparați fișiere binare între ele, iar al doilea este un editor hexadecimal. Aceasta este o opțiune foarte valoroasă atunci când trebuie să găsiți diferențe în diferite fișiere, ajutându-vă să explorați diferitele structuri ale unei game largi de tipuri de fișiere.
Apropo, locurile după comparație pot fi vopsite în culori diferite, în funcție de unde se potrivește totul și unde datele sunt diferite. Comparația se întâmplă din mers și foarte repede. Programul acceptă fișiere a căror dimensiune nu depășește 4 GB (suficient pentru majoritatea sarcinilor).
Pe lângă comparația obișnuită, puteți compara și sub formă de text (sau chiar ambele deodată!). Programul este destul de flexibil, vă permite să personalizați schema de culori și să specificați butoanele de comenzi rapide. Dacă configurați programul în mod corespunzător, puteți lucra cu el fără mouse! În general, recomand ca toți „verificatorii” începători ai editorilor hexadecimale și structurilor de fișiere să-l citească.
5) Atelier Hex
Uneori este nevoie de a face modificări unui fișier binar. Pentru aceasta, se folosesc așa-numitele editori hex. Scopul acestui ghid este de a descrie metodele de bază de lucru cu acestea și de a răspunde la cele mai frecvente întrebări.
Alegerea editorilor
Prima întrebare care apare de obicei este: ce editor să alegeți din varietatea celor existente. Pentru a schimba mai mulți octeți, puteți utiliza în siguranță pe oricare, dar cu utilizare frecventă sau pe termen lung, programul trebuie să suporte toate funcțiile necesare, să fie convenabil, rapid și de încredere. Pe baza acestui lucru, vă putem recomanda utilizarea, de exemplu, a QView. Pe lângă proprietățile enumerate mai sus, are următoarele:
- Funcționează în DOS și Windows
- Conține asamblare și dezasamblare încorporate
- Suportă DOS-866, Win-1251, KOI-8r și codificări text definite de utilizator
- Are opțiuni largi de personalizare
- Este gratuit și open source
Îl puteți descărca de pe pagina principală a proiectului: http://www.agcproduct.com/rus/products/qview/.
Fereastra QView principală constă dintr-un antet (în partea de sus), o zonă de lucru și o bară de taste funcționale (în partea de jos). O tastatură și un mouse sunt folosite pentru control. QView vă permite să lucrați cu date în modul text, modul dump hexazecimal și modul dezasamblare. Modurile sunt comutate secvenţial apăsând Enter sau F4 (sau făcând clic stânga pe titlu în zona în care sunt situate simbolurile AV/HV/00). Modurile de vizualizare și editare sunt comutate apăsând Alt-F3 (în modul text - doar F3). Modurile instalate după pornire depind de setările care sunt stocate în fișierele qview.ini, qview.fmg, qview.ehl și pentru schimbarea cărora există un program special în pachet - Q-Setup. Ajutorul contextual pentru tastele utilizate este apelat apăsând F1.
Puteți deschide fișierul în editor trecând numele acestuia ca parametru de linie de comandă: qview.exe
Editare simplă
Cea mai simplă sarcină atunci când editați fișiere binare este să înlocuiți valoarea octetului de la offset XXXXXXXX cu valoarea YY. Pentru a face acest lucru, după deschiderea fișierului în editor, apăsați Enter pentru a comuta vizualizarea în modul dump. În zona de lucru, valoarea offset-ului este indicată în coloana din stânga, valorile octeților în hexazecimal în partea centrală și aceleași valori în caractere ASCII în dreapta.
Pentru a poziționa cursorul la offset-ul dorit, apăsați tasta F5 (sau faceți clic pe rândul de numere evidențiate cu roșu în antet), introduceți valoarea offset-ului și apăsați Enter. Dacă modul de editare nu a fost activat, apăsați Alt-F3 (în acest caz, va apărea inscripția „Edit ON” în bara de taste). Apoi puteți face modificări fișierului tastând valorile octeților în hexazecimal sau deplasând cursorul în coloana din dreapta apăsând TAB, sub formă de caractere. Cursorul este poziționat folosind tastele de control obișnuite sau mouse-ul.
Pentru a anula modificările efectuate, plasați cursorul în locația erorii și apăsați F3 de mai multe ori. Puteți salva modificările când ieși apăsând W sau forțat apăsând Alt-F9.
Căutați și înlocuiți
QView acceptă căutarea unui fișier pentru anumiți octeți sau șiruri de caractere și căutarea după mască. Dialogul de căutare este apelat apăsând F7. În câmpul ASCII puteți introduce un șir sub formă de caractere, iar în câmpul HEX puteți introduce un șir în formă hexazecimală. Făcând clic cu mouse-ul, puteți specifica direcția de căutare ("Înainte/Înapoi"), puteți activa opțiunile care disting majuscule și minuscule pentru căutarea caracterelor ("Sensitiv") sau căutarea după mască ("Mascare"). În acest din urmă caz, simbolul „?” maschează octetul corespunzător din șir. De exemplu, când căutați „w?r?” Vor fi găsite cuvintele vierme, cald, au fost etc. Apăsând Shift-F7 caută următoarea potrivire.
Pentru a efectua o căutare și înlocuire, apăsați Ctrl-F7. Un șir de căutare sau un model este introdus în partea de sus a ferestrei, iar un șir de înlocuire este introdus în partea de jos.
Crearea și utilizarea fișierelor crack
Fișierele crack sunt cea mai comună modalitate de a înregistra modificările la fișierele binare. În formatul standard, acestea constau din trei coloane: offset-ul relativ la începutul fișierului editat, valoarea octetului înainte de modificare și valoarea acestuia după modificare:
00000150: 89 B8 00000151: 1E 03 00000152: F6 00 00000153: 10 CD 00000154: 83 10
Uneori este adăugat un comentariu la început, începând cu caracterul „#”.
În QView, pentru a salva modificările aduse unui fișier ca fișier crack, trebuie să apăsați Shift-F9, să introduceți numele fișierului în fereastra care se deschide și să apăsați Enter. Pentru a face modificări dintr-un fișier crack gata făcut, apăsați Ctrl-F8, omiteți fereastra care se deschide apăsând Enter (puteți seta un offset suplimentar în el, care este rar folosit), introduceți numele fișierului crack în următorul fereastra și apăsați Enter din nou. Notă importantă: imediat după aceasta, modificările vor fi scrise în fișier și acesta va fi salvat automat. Nu este necesar să comutați programul în modul de editare. Dacă este afișat un mesaj de eroare la efectuarea modificărilor, înseamnă că fie formatul fișierului nu corespunde cu cel standard, fie patch-ul nu se potrivește cu fișierul (octeții „înainte de modificare” nu se potrivesc).
Lucrul cu blocuri
Uneori este nevoie să salvați o parte a unui fișier binar, de exemplu, să copiați șiruri de text din acesta. Pentru a lucra cu blocuri, editorul trebuie să fie în modul dump sau dezasamblare. Pentru a selecta blocul dorit, plasați cursorul la începutul acestuia, apăsați tasta Insert, apoi plasați cursorul la sfârșitul blocului și apăsați din nou Insert. În acest caz, blocul este evidențiat cu galben.
Pentru a salva un bloc într-un fișier, trebuie să apăsați Shift-F2, în fereastra care apare, specificați numele și formatul fișierului salvat (sub formă de cod - „ca atare”, dump sau text assembler) și apăsați Enter .
Când inserați un bloc dintr-un fișier, selectați blocul în același mod, apăsați Shift-F3 și în fereastra care se deschide, specificați numele fișierului sursă. În acest caz, dimensiunea blocului alocat trebuie să fie egală sau mai mică decât dimensiunea fișierului. O opțiune alternativă: plasați cursorul în poziția din care ar trebui să se facă inserarea, apăsați Shift-F5 și în fereastra care se deschide, specificați numele fișierului sursă, offset-ul și lungimea blocului din interiorul acestuia din care doriți. pentru a lua datele.
Pentru a șterge un bloc, marcați-l și apăsați Shift-F4 sau plasați cursorul în poziția dorită, apăsați Ctrl-F5 și specificați numărul de octeți de șters. Pentru a insera un bloc plin cu zerouri în poziția curentă, apăsați Ctrl-F4 și specificați dimensiunea blocului. Puteți șterge un fișier până la sfârșit, începând din poziția curentă, apăsând Alt-F10.
La introducerea unui bloc, ca în cazul crack-Files, modificările sunt salvate imediat după efectuare.
Asamblare și căutare asamblare
Asamblarea este folosită pentru a face modificări la algoritmul fișierelor executabile. QView acceptă toate comenzile procesoarelor Intel 486 și 487 În modul de asamblare și dezasamblare în spațiul de lucru al editorului, prima coloană indică decalajul față de începutul fișierului, a doua coloană indică octeții instrucțiunii, iar a treia coloană indică. desemnarea mnemonică. Pentru a activa modul de asamblare, comutați editorul în modul de dezasamblare apăsând Enter de mai multe ori, activați modul de editare apăsând Alt-F3 și apăsați TAB pentru a muta cursorul pe a treia coloană. Apoi puteți introduce instrucțiuni, încheind fiecare intrare apăsând Enter.
Dacă este necesar, puteți, ca și în modul dump, să schimbați direct octeții din a doua coloană. Lățimea codului 16/32 este comutată apăsând F2. Puteți anula modificările plasând cursorul pe linia cu eroarea și apăsând F3 de mai multe ori.
Pentru a căuta instrucțiuni specifice de asamblare, apăsați F6, tastați instrucțiunea și apăsați Enter. Căutați următoarea potrivire apăsând Shift-F6. Puteți utiliza următoarele caractere speciale pentru a căuta un model:
"?" - orice personaj
"*" - orice subșir la virgulă sau la sfârșitul rândului
„$” - căutați constante numerice (plasate înaintea numărului)
„%” - săriți peste un cuvânt
„@” – orice subșir
De exemplu, „sub bx,*” - caută toate instrucțiunile de scădere din registrul BX.
Funcții suplimentare
Printre funcțiile suplimentare utile ale QView, putem remarca prezența unui calculator încorporat, care este apelat prin apăsarea Ctrl-F6. Suportă operații aritmetice și logice de bază pe biți, paranteze pentru a indica precedența operațiilor, introducerea argumentelor și obținerea rezultatelor în sistemele numerice de bază 2, 8, 10, 16.
Puteți vizualiza informații din antetul fișierului executabil apăsând F8 în modul dump sau dezasamblare. Formatele de fișier acceptate sunt MZ, PE, NE, LX, LE.
Instrucțiuni Hex Editor
- Programul este foarte util, mai ales pentru cei cărora le place să își însușească proprietatea altcuiva) Link de descărcare (în partea de jos a subiectului).
- Hex - editor (engleză hex - editor), editor hexazecimal - o aplicație pentru editarea datelor în care datele sunt prezentate în „raw.
- Acest articol va vorbi despre lucrul în editorul hexadecimal gratuit Free Hex Editor Neo, folosind exemplul de editare a fișierului BkEnd.dll din.
- În prima parte a seriei de articole, am analizat un exemplu de examinare a unui fișier într-un editor hexadecimal (cu analize minime) și.
- Pentru aceasta se folosesc așa-numitele editori hexadecimale. Prima întrebare care apare de obicei este: care editor dintre toate? fișier, în al doilea - octeții de instrucțiuni, în al treilea - desemnarea sa mnemonică.
Publicat la 03/09/2013 de Vitaly Onyanov 1. Câteva despre editorii și fișierele hexadecimale După cum știți, orice fișier stocat pe hard diskul unui computer este o secvență de cuvinte mașină - octeți. Un octet, la rândul său, este format din 8 biți, fiecare dintre care poate lua valoarea „0” sau „1”, ceea ce înseamnă că un octet poate lua 28 = 256 de valori în intervalul de la 0 la 255. numărul 25610 scris în sistem hexazecimal, este un număr rotund de trei cifre - 10016, adică, pentru a reprezenta orice număr din intervalul 0-255, nu vor fi necesare mai mult de 2 cifre. Aceasta înseamnă că este foarte convenabil să scrieți valoarea fiecărui octet ca un număr de două cifre în sistemul numeric hexazecimal. Editorul hex ne arată fișierul așa cum îl „vede” mașina, și anume, ca o secvență de octeți. De exemplu, deschizând un fișier în editor, vom vedea o matrice formată din 16 coloane și numărul de rânduri în funcție de dimensiunea fișierului. Fiecare valoare de matrice corespunde unui octet, scris ca un număr hexazecimal de două cifre. Schimbând valoarea octetului dorit, putem, în consecință, să schimbăm fișierul în sine. În plus, lângă tabel putem vedea: În stânga matricei este o linie de numere: fiecare linie corespunde unui număr care indică adresa/offset-ul primului octet al acestei linii. Pasul de adresă este egal cu numărul de coloane. O altă riglă este afișată în partea de sus a matricei: deasupra fiecărei coloane este afișat offset-ul octetului din această coloană în raport cu primul octet al liniei corespunzătoare. Suma numărului corespunzător rândului i și numărului corespunzător coloanei j este adresa/offset-ul octetului (i; j) situat la intersecția rândului luat și coloanei luate. În dreapta matricei sunt afișate aceleași date, dar într-o interpretare diferită. Cea mai comună alternativă este afișarea datelor ca text ASCII, cu octeți ale căror valori corespund caracterelor neprintabile afișate ca puncte (·). De asemenea, puteți edita valori în această zonă. 2. Instalarea Free Hex Editor Neo Descărcați Free Hex Editor Neo de pe site-ul oficial. Programul este gratuit, la momentul scrierii, cea mai recentă versiune era 5.14. Instalăm urmând instrucțiunile instalatorului fără a modifica setările implicite. Când lansați pentru prima dată programul, vi se va solicita să selectați un mod de interfață. Selectați „Utilizator începător”, acest lucru este mai mult decât suficient. 3. Lucrul cu un fișier într-un editor hexadecimal Acum să deschidem fișierul pe care trebuie să-l „corectăm” selectând „Fișier” - „Deschidere” - „Deschidere fișier” în meniul Free Hex Editor Neo. În cazul meu, acesta este fișierul BkEnd.dll aflat în folderul cu 1C:Enterprise 7.7 instalat (implicit „C:\Program Files\1Cv77\BIN”) pentru articolul Instalarea 1C:Enterprise 7.7 pe Microsoft SQL Server 2008 R2. De exemplu, trebuie să scriu valoarea eb pe octet la offset 000d9cca. Pentru a face acest lucru, găsesc rândul „000d9cco” și coloana „0a”, dau dublu clic pe celula dorită și introdu o nouă valoare. Procedând în mod similar, fac următoarele modificări: Pentru a remedia eroarea „Este necesar MS SQL Server 6.5 + Service Pack 5a sau o versiune superioară!” modificați câmpurile: la offset 000d9cca valoarea 83 este schimbată în eb la offset 000d9ccb valoarea e8 este schimbată la 15 la offset 000db130 valoarea 83 este schimbată în eb la offset 000db131 valoarea e8 este schimbată la 10 Pentru a corecta eroarea „Ordinea de sortare setată baza de date este diferită de cea de sistem ": la offset 0018a79d valoarea 75 este schimbată în eb Pentru a corecta eroarea "Sintaxă incorectă lângă cuvântul cheie "TRANSACTION" Expresia DUMP TRANSACTION %s WITH TRUNCATE_ONLY, care se află la offset 002856B0, este înlocuită cu expresia ALTER DATABASE %s SET RECOVERY SIMPLE Pentru a corecta eroarea „Datele de bază nu pot fi deschise în modul monoutilizator”, modificați câmpurile: la offset 0028549c modificați valoarea 64 la 6b la offset 0028549d modificați valoarea 62 la 70
Puteți nu numai să selectați, ci și să vizualizați, editați, înlocuiți și analizați datele, puteți descărca Free Hex Editor Neo de mai jos.
Utilizarea Hex Editor pentru clientul RO. Fișierele exe pot fi editate manual pentru a obține anumite beneficii. Daca tu.
Video pentru programul Free Hex Editor Neo. Iată câteva videoclipuri legate de Free Hex Editor Neo. Cum se folosește gratuit.
HxD pentru editarea fișierelor în cod hexazecimal. Începând să scriem o recenzie a editorului hexadecimal cu numele scurt HxD, noi...
| Creată 04 iulie 2015 | |||||||||
După ce a terminat seria cu articolul „Cele mai bune instrumente de pentester”, editorul a primit multe scrisori prin care cereau o selecție de editori hexadecimale. Interesul, desigur, nu este abilitatea de a edita date binare, ci caracteristici suplimentare, cum ar fi recunoașterea automată a structurilor de date și dezasamblarea codului. Pentru a face o imagine de ansamblu, am aflat părerile oamenilor care cel mai adesea trebuie să se chinuie cu astfel de instrumente - analiștii de viruși. Și asta ne-au spus.
Orice editor hexadecimal vă permite să examinați și să modificați un fișier la un nivel scăzut, operând cu biți și octeți. Conținutul fișierului este prezentat în format hexazecimal. Aceasta este funcționalitatea de bază. Cu toate acestea, unii editori oferă utilizatorilor mult mai mult, permițându-le să-și dea seama exact ce este ceea ce este în acel set de caractere de neînțeles care apare la deschiderea unui fișier. Pentru a face acest lucru, șirurile ASCII și Unicode sunt extrase automat, modelele cunoscute sunt căutate, structurile de date de bază sunt recunoscute și multe altele. Există destul de mulți editori hexazecimali, dar dacă am decis să le luăm în considerare în contextul studierii mostrelor de malware, este ușor să evidențiem pe unele dintre ele. Doar câteva se dovedesc a fi cu adevărat utile pentru analiza codului rău intenționat și examinarea documentelor infectate (de exemplu, PDF).
McAfee FileInsight
FileInsight este un editor hexadecimal gratuit pentru Windows de la McAfee Labs. Produsul, desigur, îndeplinește toate funcționalitățile standard care însoțesc un astfel de software, oferind o interfață convenabilă pentru vizualizarea și editarea fișierelor în moduri hexazecimal și text. Dar aceasta este doar o picătură în ocean dacă vă uitați la toată funcționalitatea acestuia. Merită să începem cu faptul că FileInsight este capabil să parseze structura binarelor executabile pentru Windows (fișiere PE), precum și obiectele OLE ale Microsoft Office. Nu numai asta, dar utilizatorului i se oferă un dezasamblator x86 încorporat. Doar selectați partea fișierului pe care doriți să o vizualizați ca cod care poate fi citit și FileInsight va afișa acest fragment ca o listă de instrucțiuni de asamblare. Dezasamblatorul este util în special atunci când se caută shellcode în fișiere rău intenționate. Alte opțiuni pe care inversorii le vor aprecia includ posibilitatea de a importa declarații de structură. Pentru a face acest lucru, programul trebuie doar să specifice un fișier antet cu declarații precum:
struct ANIHeader (
DWORD cbSizeOf; // Număr octeți în AniHeader
DWORD cFrames; // Numărul de pictograme unice
DWORD cSteps; // Numărul de blits
};
În acest caz, programul în sine va analiza astfel de structuri. Cu toate acestea, mulți algoritmi intuitivi pentru procesarea codului sunt oferiți implicit. Vorbim, în primul rând, despre decodarea multor metode de ofuscare (xor, add, shift, Base64 etc.) - scripturile încorporate fac ca o astfel de protecție criptografică să fie un pumn unu-doi. De remarcat aici că obiectul cercetării nu trebuie să fie neapărat un binar, poate fi și o pagină web obișnuită care trezește suspiciuni. Programul vă permite să automatizați multe acțiuni folosind scripturi JavaScript simple sau module Python, dintre care multe au fost deja scrise. Din păcate, cu toate avantajele sale, FileInsight are și un dezavantaj serios, care este incapacitatea de a procesa fișiere mari. De exemplu, dacă încercați să alimentați un fișier cu dimensiunea de 400-500 MB în utilitar, apare eroarea „Eșuat la deschiderea documentului”.
Hex Editor Neo
Există două versiuni ale acestui editor hexadecimal de la HDD Software - o versiune simplă gratuită și o versiune comercială avansată. Opțiunea freeware este un editor HEX solid, dar neremarcabil, care are o interfață cool, personalizabilă, cu suport pentru diferite scheme de culori. Nu mai. Dar versiunea profesională a Hex Editor Neo oferă mai multe opțiuni utile care pot fi extrem de utile atunci când se analizează binare. De exemplu, utilizatorul are posibilitatea de a decoda codul criptat folosind cei mai comuni algoritmi. În plus, devine posibil să vizualizați și să editați resurse locale, cum ar fi fluxuri NTFS, discuri locale, memorie de proces și RAM. Cea mai completă versiune include și suport pentru un limbaj de scripting, care vă permite să automatizați multe procese folosind scripturi în VBScript și JavaScript. Dar cea mai bună parte este că aveți la dispoziție un dezasamblator încorporat care funcționează cu binare x86, x64 și .NET! O altă caracteristică este crearea rapidă a patch-urilor bazată pe compararea a două binare. Sună impresionant, dar este mai bun decât FileInsight? Probabil ca nu. FileInsight pare mai funcțional în general. Pe de altă parte, orice, chiar și versiunea gratuită a Hex Editor Neo, funcționează excelent chiar și cu fișiere foarte mari și vă permite să căutați șiruri ASCII și Unicode. Dezasamblatorul de aici nu se limitează doar la platforma x86, iar editorul de resurse încorporat este foarte convenabil. Sunt multe de gândit.
FlexHex
FlexHex este un editor hex comercial puternic de la Heaventools Software care include multe dintre aceleași caracteristici găsite în Hex Editor Neo. Singurul lucru care lipsește aici este, probabil, suportul pentru script. Dar acest editor cu funcții complete se ocupă de fișiere binare, fișiere OLE, discuri fizice și fluxuri alternative NTFS la fel de bine. Acesta din urmă este deosebit de important deoarece FlexHex vă permite să editați date pe care alți editori nici măcar nu le văd. În plus, puteți simți imediat concentrarea asupra lucrului cu cantități mari de informații: indiferent de dimensiunea fișierului, navigarea prin acesta se efectuează fără întârzieri sau frâne. Pentru un confort și mai mare, există un sistem de marcaje convenabile. În același timp, FlexHex păstrează continuu un istoric al tuturor operațiunilor - puteți anula orice acțiune pur și simplu selectând-o din lista de modificări (lista de anulare nu este limitată)! FlexHex acceptă toate operațiunile necesare cu date binare, căutând șiruri ASCII și Unicode. Dacă trebuie să procesați o structură cu un format cunoscut anterior, setarea parametrilor acesteia nu este dificilă folosind instrumente speciale. Rezultatul este un editor hexadecimal excelent, dar cu mult inferior FileInsight. Singura opțiune notabilă este procesarea fișierelor OLE, dar există și probleme aici. De câteva ori când încerca să deschidă un OLE infectat, programul s-a blocat cu eroarea „Fișierul document a fost corupt”.
010 Editor
010 Editor este un produs comercial binecunoscut dezvoltat de SweetScape Software. Dacă îl comparăm cu cele trei instrumente anterioare, poate face totul: acceptă lucrul cu fișiere foarte mari, oferă capabilități interesante de operare cu date, vă permite să editați resurse locale și are un sistem de scripting pentru automatizarea acțiunilor de rutină (mai mult de 140 de funcții diferite la dispoziția dumneavoastră). Și 010 Editor are și o răsucire, o caracteristică unică. Editorul are grijă de toată lumea datorită capacității de a analiza diverse formate de fișiere folosind propria bibliotecă de șabloane (așa-numitele șabloane binare). Aici nu are egal. Mulți entuziaști din întreaga lume lucrează la șabloane, creând diverse forme și structuri de date. Ca rezultat, procesul de navigare prin diferite formate de fișier devine transparent și ușor de înțeles. Acest lucru este valabil și pentru procesarea fișierelor binare Windows (fișiere PE), fișiere de comandă rapidă Windows (LNK), arhive Zip, fișiere de clasă Java și multe altele. Mulți oameni au reușit să realizeze frumusețea acestei caracteristici atunci când celebrul specialist în securitate Didier Stevens a creat un șablon pentru analizarea fișierelor PDF pentru 010 Editor. Împreună cu alte utilitare, acest lucru a simplificat foarte mult analiza documentelor PDF infectate, care în ultimele șase luni nu au încetat să uimească prin numărul de locuri din care poate fi exploatat programul de citire. Adăugăm aici un instrument grozav pentru compararea binarelor, un calculator cu sintaxă asemănătoare C, conversia datelor între formatele ASCII, EBCDIC, Unicode și obținem un instrument foarte atractiv, cu caracteristici unice.
Hiew
Hiew, în ceea ce privește metoda de distribuție, nu este mult diferit de colegii săi - acesta este și un produs comercial dezvoltat de compatriotul nostru Evgeny Suslikov. Având o istorie lungă, programul este foarte iubit de mulți specialiști în securitatea informațiilor. Există motive destul de evidente pentru acest lucru - capabilități puternice pentru cercetarea și editarea structurii și conținutului fișierelor executabile atât din Windows (PE), cât și ale binarelor pentru Linux (ELF). O altă caracteristică foarte utilă pentru inginerie inversă este asamblarea și dezasamblarea x86-64 încorporate. Acesta din urmă acceptă chiar și instrucțiuni ARM. Inutil să spun că editorul digeră perfect fișierele mari și vă permite să editați unități logice și fizice. Multe sarcini sunt ușor automatizate printr-un sistem de macrocomenzi de la tastatură, scripturi și chiar un API pentru dezvoltarea extensiilor (Hiew Extrenal Modules). Dar înainte de a vă grăbi în luptă, rețineți că interfața Hiew este o fereastră asemănătoare DOS, cu care este destul de incomod să lucrați dacă nu sunteți obișnuit cu ea. Dar poți experimenta tot farmecul școlii vechi.
Radare
Radare este un set de utilitare gratuite pentru platforma Unix care oferă capabilități interesante de editare a fișierelor în modul HEX. Include editorul hex în sine (radare) cu capacitatea de a deschide fișiere locale și de la distanță. Programul analizează fișiere executabile de diferite formate, atât Linux (ELF) cât și Windows (PE). Pe lângă editare, pachetul Radare include un instrument pentru compararea fișierelor binare (radiff) și un asamblator/dezasamblator încorporat. Și personal, un instrument pentru generarea de coduri shell (rasc) a fost util de câteva ori. Orice operațiune poate fi automatizată și personalizată cu ușurință folosind un sistem de scripturi. Dintre minusuri, din nou, putem observa lipsa unei interfețe GUI - toate acțiunile sunt efectuate din linia de comandă și puteți lucra pe deplin cu utilitățile numai după citirea documentației. Pe de altă parte, site-ul are screencast-uri vizuale care demonstrează atât punctele principale, cât și micile secrete (cum ar fi conectarea unui plugin Python).
Deci ce ar trebui să alegi?
Am analizat mai multe editoare hexadecimale puternice care includ opțiuni utile pentru analiza fișierelor suspecte. Dintre toate produsele iese în evidență FileInsight, care, în ciuda tuturor funcționalităților sale (și este cu adevărat impresionant), rămâne gratuit. 010 Editor oferă un număr mare de șabloane pentru procesarea unei game largi de fișiere, inclusiv documente PDF. Aceasta este o caracteristică mega care nu trebuie neglijată. Folosesc acești doi editori tot timpul; Pentru munca unui analist, poate că sunt cele mai potrivite. Dacă vorbim despre lucrul sub platforma Unix, atunci, desigur, nu putem uita de Radare. Pachetul oferă funcții foarte puternice, deși este dificil de utilizat datorită faptului că rulează din linia de comandă. De asemenea, Hiew nu este foarte prietenos, deși capabilitățile sale vă permit cu siguranță să efectuați o varietate de operațiuni cu binare. În plus, Hiew este alegerea unui număr mare de profesioniști reali, iar acest lucru valorează mult (și înseamnă mult). În ceea ce privește Hex Editor Neo, merită să o luați dacă sunteți interesat de capacitatea de a dezasambla codul x86, x64 și .NET.