Redaktør for 16-bits koder. Hex-redaktører vs. malware: Velge en heksadesimal editor for å analysere binærfiler

God dag alle sammen.

Av en eller annen grunn tror mange at det å jobbe med hex-editorer er fagfolks domene, og at nybegynnere ikke bør prøve dem. Men etter min mening, hvis du i det minste har grunnleggende PC-ferdigheter og en ide om hvorfor du trenger en hex-editor, hvorfor ikke?!

Ved å bruke et program av denne typen kan du endre hvilken som helst fil, uansett type (mange manualer og guider inneholder informasjon om hvordan du endrer en bestemt fil ved hjelp av en hex-editor)! Riktignok må brukeren ha minst en grunnleggende forståelse av det heksadesimale systemet (data i hex-editoren presenteres nøyaktig i det). Derimot, grunnleggende kunnskap det undervises i informatikktimer på skolen, og sikkert mange har hørt og har en idé om det (derfor vil jeg ikke kommentere det i denne artikkelen). Så her er de beste hex-editorene for nybegynnere (etter min ydmyke mening).

1) Gratis Hex Editor Neo

En av de enkleste og vanligste editorene for heksadesimale, desimal- og binære filer for Windows. Programmet lar deg åpne alle typer filer, gjøre endringer (endringers historikk er lagret), enkelt velge og redigere en fil, feilsøke og analysere.

Det er også verdt å merke seg at det er veldig bra nivå produktivitet kombinert med lav Systemkrav til maskinen (for eksempel lar programmet deg åpne og redigere ganske store filer, mens andre redaktører ganske enkelt fryser og nekter å jobbe).

Programmet støtter blant annet russisk språk og har et gjennomtenkt og intuitivt grensesnitt. Selv en nybegynner vil kunne finne ut av det og begynne å jobbe med verktøyet. Generelt anbefaler jeg det til alle som begynner å bli kjent med hex-editorer.

2) WinHex

Denne editoren er dessverre shareware, men den er en av de mest allsidige, og støtter en rekke forskjellige alternativer og funksjoner (hvorav noen er vanskelige å finne blant konkurrenter).

I diskredigeringsmodus lar den deg jobbe med: HDD-er, disketter, flash-stasjoner, DVD-er, ZIP-disker osv. Støtter filsystemer: NTFS, FAT16, FAT32, CDFS.

Jeg kan ikke unngå å legge merke til de praktiske verktøyene for analyse: i tillegg til hovedvinduet kan du koble flere til forskjellige kalkulatorer, verktøy for å søke og analysere filstrukturen. Generelt er det egnet for både nybegynnere og erfarne brukere. Programmet støtter russisk språk ( velg følgende meny: Hjelp / Oppsett / Russisk ).

WinHex, i tillegg til de vanligste funksjonene (som støtter lignende programmer), lar deg "klone" disker og slette informasjon fra dem slik at ingen noen gang kan gjenopprette den!

3) HxD Hex Editor

En gratis og ganske kraftig binær filredigerer. Støtter alle viktige kodinger (ANSI, DOS/IBM-ASCII og EBCDIC), filer av nesten alle størrelser (forresten, redaktøren tillater, i tillegg til filer, å redigere RAM og direkte skrive endringer til harddisken!).

Du kan også merke deg et gjennomtenkt grensesnitt, en praktisk og enkel funksjon for å søke og erstatte data, et trinnvis og flernivåsystem med sikkerhetskopiering og tilbakeføring.

Etter oppstart består programmet av to vinduer: til venstre er den heksadesimale koden, og til høyre vises tekstoversettelse og innholdet i filen.

Blant minusene vil jeg fremheve mangelen på russisk språk. Imidlertid vil mange funksjoner være klare selv for de som aldri har lært engelsk...

4) HexCmp

HexCmp - dette lille verktøyet kombinerer 2 programmer samtidig: det første lar deg sammenligne binære filer med hverandre, og det andre er en hex-editor. Dette er et veldig verdifullt alternativ når du trenger å finne forskjeller i forskjellige filer, det hjelper å utforske den forskjellige strukturen til de fleste forskjellige typer filer.

Steder etter sammenligning kan forresten males i forskjellige farger, avhengig av hvor alt stemmer og hvor dataene er forskjellige. Sammenligningen skjer raskt og raskt. Programmet støtter filer hvis størrelse ikke overstiger 4 GB (ganske nok for de fleste oppgaver).

I tillegg til den vanlige sammenligningen, kan du også sammenligne i tekstform (eller til og med begge deler samtidig!). Programmet er ganske fleksibelt, det lar deg tilpasse fargeskjemaet og spesifisere knapper rask samtale. Hvis du konfigurerer programmet riktig, kan du jobbe med det uten mus i det hele tatt! Generelt anbefaler jeg at alle begynnende "brikker" av hex-editorer og filstrukturer bør lese den.

Etter slutten av serien med artikkelen " De beste verktøyene pentester" mottok redaktøren mange brev der de ba om et utvalg hex-redaktører. Interessen er selvfølgelig ikke muligheten til å redigere binære data, men tilleggsfunksjoner som automatisk gjenkjenning av datastrukturer og kodedemontering. For å lage en oversikt, fant vi ut meningene til menneskene som oftest må fikle med slike verktøy - virusanalytikere. Og dette er hva de fortalte oss.

Enhver hex-editor lar deg undersøke og endre en fil på et lavt nivå, og operere med biter og byte. Innholdet i filen presenteres i heksadesimalt format. Dette er grunnleggende funksjonalitet. Noen redaktører tilbyr imidlertid brukerne mye mer, slik at de kan finne ut nøyaktig hva som er i det uforståelige settet med tegn som vises når en fil åpnes. For å gjøre dette trekkes ASCII- og Unicode-strenger ut automatisk, det søkes etter kjente mønstre, gjenkjennes grunnleggende datastrukturer og mye mer. Det er ganske mange heksadesimale redaktører, men hvis vi bestemte oss for å vurdere dem i sammenheng med å studere eksempler på skadelig programvare, er det lett å fremheve noen av dem. Bare noen få viser seg å være veldig nyttige for å analysere ondsinnet kode og undersøke infiserte dokumenter (f.eks. PDF).

McAfee FileInsight

FileInsight er en gratis hex-editor for Windows fra McAfee Labs. Produktet oppfyller selvfølgelig alt standard funksjonalitet, som følger med slik programvare, tilbyr brukervennlig grensesnitt for å vise og redigere filer i heksadesimal og tekstmoduser. Men dette er bare en dråpe i havet hvis du ser på all funksjonaliteten. Det er verdt å starte med det faktum at FileInsight er i stand til å analysere strukturen til kjørbare binære filer for Windows (PE-filer), så vel som OLE-objekter Microsoft Office. Ikke bare det, men brukeren tilbys en innebygd x86-demonter. Bare velg den delen av filen du vil vise som lesbar kode, og FileInsight vil vise dette fragmentet som en liste over monteringsinstruksjoner. Disassembleren er spesielt nyttig når du leter etter shellcode i ondsinnede filer. Andre alternativer som reversere vil sette pris på inkluderer muligheten til å importere strukturdeklarasjoner. For å gjøre dette trenger programmet bare å spesifisere en overskriftsfil med erklæringer som:

struktur ANIHeader (
DWORD cbSizeOf; // Antall byte i AniHeader
DWORD cFrames; // Antall unike ikoner
DWORD cSteps; // Antall blits
};

I dette tilfellet vil programmet selv analysere slike strukturer. Imidlertid tilbys mange intuitive algoritmer for kodebehandling som standard. Vi snakker først og fremst om å dekode mange obfuskeringsmetoder (xor, add, shift, Base64, etc.) - innebygde skript gjør slik kryptobeskyttelse til en en-to-punch. Det skal her bemerkes at gjenstanden for forskning ikke nødvendigvis trenger å være en binær, det kan også være en vanlig nettside som vekker mistanke. Programmet lar deg automatisere mange handlinger ved hjelp av enkle JavaScript-skript eller Python-moduler, hvorav mange allerede er skrevet. Akk, med alle sine fordeler har FileInsight også en alvorlig ulempe, som er manglende evne til å behandle store filer. For eksempel, hvis du prøver å mate en fil på 400-500 MB i størrelse til verktøyet, vises feilen "Kunne ikke åpne dokumentet".

Hex Editor Neo

Det er to versjoner av denne hex-editoren fra HDD Software - en enkel gratisversjon og en avansert kommersiell versjon. Freeware-alternativet er en solid, men umerkelig HEX-editor som har et kult, tilpassbart grensesnitt med støtte for forskjellige fargeskjemaer. Ikke mer. Men den profesjonelle versjonen av Hex Editor Neo gir flere nyttige alternativer som kan være ekstremt nyttige når du analyserer binærfiler. For eksempel får brukeren muligheten til å dekode kode kryptert ved hjelp av de vanligste algoritmene. I tillegg blir det mulig å vise og redigere lokale ressurser som NTFS-strømmer, lokale disker, prosessminne og RAM. I det meste fullversjon Det er også støtte for et skriptspråk, slik at du kan automatisere mange prosesser ved å bruke skript i VBScript og JavaScript. Men det beste er at du har en innebygd disassembler til tjeneste som fungerer med x86, x64 og .NET binærfiler! En annen funksjon - rask opprettelse patcher basert på en sammenligning av to binære filer. Høres imponerende ut, men er det bedre enn FileInsight? Sannsynligvis ikke. FileInsight ser generelt sett mer funksjonell ut. På den annen side, hvilken som helst, til og med gratisversjonen av Hex Editor Neo fungerer utmerket selv med veldig store filer og lar deg søke etter ASCII- og Unicode-strenger. Demonteringen her er ikke begrenset til bare x86-plattformen, og den innebygde ressursredigereren er veldig praktisk. Det er mye å tenke på.

FlexHex

FlexHex er en kraftig kommersiell hex-editor fra Heaventools Software som inkluderer mange av de samme funksjonene som finnes i Hex Editor Neo. Det eneste som mangler her er kanskje skriptstøtte. Men denne fullfunksjonsredigereren håndterer binærfiler, OLE-filer, fysiske disker og alternative NTFS-strømmer like godt. Det siste er spesielt viktig fordi FlexHex lar deg redigere data som andre redaktører kanskje ikke engang ser. I tillegg kan du umiddelbart føle fokus på å jobbe med store mengder informasjon: uansett størrelse på filen, navigering gjennom den utføres uten forsinkelser eller bremser. For enda større bekvemmelighet er det et system med praktiske bokmerker. Samtidig holder FlexHex kontinuerlig en historikk over alle operasjoner - du kan avbryte enhver handling ganske enkelt ved å velge den fra listen over endringer (angre-listen er ikke begrenset)! FlexHex støtter alle nødvendige operasjoner med binære data, søking etter ASCII- og Unicode-strenger. Hvis du trenger å behandle en struktur med et tidligere kjent format, er det ikke vanskelig å angi parameterne ved å bruke spesialverktøy. Som et resultat får vi en utmerket hex-editor, men fortsatt mye dårligere enn FileInsight. Det eneste bemerkelsesverdige alternativet er OLE-filbehandling, men det er problemer her også. Flere ganger når du prøver å åpne en infisert OLE, krasjet programmet med feilen "Dokumentfilen har blitt ødelagt."

010 Redaktør

010 Editor er et velkjent kommersielt produkt utviklet av SweetScape Software. Hvis vi sammenligner det med de tre foregående verktøyene, kan det gjøre alt: det støtter arbeid med veldig store filer, gir kule muligheter for å operere med data, lar deg redigere lokale ressurser og har et skriptsystem for å automatisere rutinehandlinger (mer enn 140 forskjellige funksjoner til din tjeneste). Og 010 Editor har også en vri, en unik funksjon. Redaktøren tar seg av alle takket være muligheten til å analysere ulike filformater ved å bruke sitt eget bibliotek med maler (de såkalte binære malene). Her har han ingen like. Mange entusiaster rundt om i verden jobber med maler, og hamrer ut ulike format- og datastrukturer. Som et resultat blir prosessen med å navigere gjennom forskjellige filformater gjennomsiktig og forståelig. Dette gjelder også for behandling av Windows-binærfiler (PE-filer), Windows-snarveisfiler (LNK), Zip-arkiver, Java-klassefiler og mye mer. Mange var i stand til å innse alt det fine med denne funksjonen da den berømte sikkerhetsspesialisten Didier Stevens laget en mal for å analysere PDF-filer for 010 Editor. Sammen med andre verktøy har dette i stor grad forenklet analysen av infiserte PDF-dokumenter, som de siste seks månedene ikke har sluttet å forbløffe over hvor mange steder leserprogrammet kan utnyttes fra. Vi legger her til et kult verktøy for å sammenligne binærfiler, en kalkulator med C-lignende syntaks, konvertering av data mellom ASCII, EBCDIC, Unicode-formater, og vi får et veldig attraktivt verktøy med unike funksjoner.

Hei

Hiew, når det gjelder distribusjonsmetode, er ikke mye forskjellig fra sine kolleger - dette er også et kommersielt produkt utviklet av vår landsmann Evgeny Suslikov. Å ha lang historie, var programmet høyt elsket av mange spesialister innen informasjonssikkerhet. Det er ganske åpenbare årsaker til dette – kraftige muligheter for research og redigering av struktur og innhold kjørbare filer både Windows (PE) og Linux-binærfiler (ELF). En annen veldig nyttig funksjon for omvendt engineering er den innebygde x86-64-monterings- og demonteringsmaskinen. Sistnevnte støtter til og med ARM-instruksjoner. Unødvendig å si, redaktøren fordøyer store filer perfekt og lar deg redigere logiske og fysiske stasjoner. Mange oppgaver automatiseres enkelt gjennom et system med tastaturmakroer, skript og til og med et API for å utvikle utvidelser (Hieew Extrenal Modules). Men før du skynder deg inn i kamp, ​​husk at Hiew-grensesnittet er et DOS-lignende vindu, som er ganske upraktisk å jobbe med hvis du ikke er vant til det. Men du kan oppleve all sjarmen til old school.

Radare

Radare er et sett gratis verktøy for Unix-plattformen, som gir kule funksjoner for redigering av filer i HEX-modus. Den inkluderer selve hex-editoren (radare) med muligheten til å åpne lokale og slettede filer. Programmet analyserer kjørbare filer i ulike formater, både Linux (ELF) og Windows (PE). I tillegg til redigering inkluderer Radare-pakken et verktøy for å sammenligne binære filer (radiff) og en innebygd assembler/disassembler. Og personlig kom et verktøy for å generere skallkoder (rasc) godt med et par ganger. Alle operasjoner kan enkelt automatiseres og tilpasses ved hjelp av et skriptsystem. Av minusene, igjen, kan vi merke oss mangelen på et GUI-grensesnitt - alle handlinger utføres fra kommandolinje, men du kan jobbe fullt ut med verktøyene først etter å ha lest dokumentasjonen. På den annen side har nettstedet visuelle screencasts som viser både hovedpoengene og små hemmeligheter (som å koble til en Python-plugin).

Så hva bør du velge?

Vi har gjennomgått flere kraftige hex-redigeringsprogrammer som inkluderer nyttige alternativer for å analysere mistenkelige filer. Av alle produktene skiller FileInsight seg ut, som til tross for all funksjonaliteten (og den er virkelig imponerende), forblir gratis. 010 Editor tilbyr et stort antall maler for behandling av et bredt utvalg av filer, inkludert PDF-dokumenter. Dette er en megafunksjon som ikke bør neglisjeres. Jeg bruker disse to redaktørene hele tiden; For arbeidet til en analytiker er de kanskje best egnet. Hvis vi snakker om å jobbe under Unix-plattformen, så kan vi selvfølgelig ikke glemme Radare. Pakken tilbyr svært kraftige funksjoner, selv om den er vanskelig å bruke på grunn av at den kjører fra kommandolinjen. Hiew er heller ikke veldig vennlig, selv om dens evner absolutt lar deg utføre en rekke operasjoner med binærfiler. I tillegg er Hiew valget av et stort antall ekte proffer, og dette er verdt mye (og betyr mye). Når det gjelder Hex Editor Neo, er det verdt å plukke opp hvis du er interessert i muligheten til å demontere x86-, x64- og .NET-kode.

Hvordan Windows notisblokk. Dessuten, hvis du åpner den binære filen tekstredigerer og lagre den på disk, da vil i de fleste tilfeller en slik fil bli skadet og vil ikke kjøre. For å gjøre korrekte redigeringer må du bruke heksadesimale editorer (hex), som noen ganger også kalles binære editorer.

Mest vanlige brukere, er det lite sannsynlig at det vil være noen oppgaver eller behov for å bruke heksadesimale editorer. For teknisk kunnskapsrike brukere kan imidlertid slike redaktører være uunnværlige verktøy.

Merk: Som et faktum, men på en gang, for å redigere standard asp.net 1.1-installatører, måtte du justere binærkoden. For eksempel, for å gjøre en av kontrollene til et passordfelt.

I denne anmeldelsen Vi har samlet noen av de beste gratis hex-editorene for ulike behov.

Anmeldelse av Free Hex Editors

Det finnes flere utmerkede gratis hex-redigerere, alt fra små og enkle til komplekse produkter som kan sammenlignes med kommersielle løsninger. Imidlertid er hex editor-kategorien en av de kategoriene der personlige behov og preferanser er så viktige at det ikke bare er vanskelig, men også meningsløst å sammenligne produkter. Derfor bør du ikke anta at produktene er ordnet i synkende rekkefølge.

HxD er en utmerket heksadesimal hex-editor

En av beste verktøy for redigering binær kode er . For det første er programmet bærbart og krever ikke installasjon, noe som er spesielt viktig hvis du ofte trenger å redigere kjørbare filer. For det andre har den et fint grensesnitt. For det tredje behandler HxD store filer uten forsinkelser eller frysing av skjermen. I tillegg kan du legge til muligheten til å ha en ubegrenset redigeringshistorikk, raskt søk og erstatninger, sammenligning av binære filer, full støtte for ANSI, DOS/IBM-ASCII og EBCDIC. Og et dusin flere muligheter, noen av dem vil bli listet opp nedenfor. HxD lar deg også redigere ikke bare disken, men også RAM. Som et faktum gjør et slikt sett med funksjoner programmet til et farlig leketøy i hendene på nybegynnere. I tillegg kan sikkerhetsapplikasjoner reagere på handlingene på samme måte, men erfarne brukere forstår at dette skjer på grunn av spesifikasjonene ved tilgang til data og bruk av potensielt farlige funksjoner.

Totalt sett er HxD flott for de som ofte arbeider med forskjellige binære koder.

Andre funksjoner og egenskaper:

  • Sikker tilgang til filer som andre programmer bruker
  • Sjekksumgenerator: Sjekksum, CRC, Custom CRC, SHA-1, SHA-512, MD5, ...
  • Eksporter data til ulike formater
  • Sette inn kodemaler
  • Evne til å slette filer på en sikker måte.
  • Dele eller slå sammen filer
  • Ulike typer grupperinger i kolonner (1,2,4,8,16 byte)
  • Utheving av endrede data
  • Hopp raskt til en adresse
  • Støtte for kopiering av utklippstavledata fra andre programmer: Visual Studio/Visual C++, WinHex, HexWorkshop, ...
  • Bokmerker
  • Og mye mer...

Hex editor Hexplorer er en analog av HxD med muligheten til å se bilder når man analyserer steganografi

En annen stor hex-editor er åpen kildekode kildekode. Programmet har en rekke unike funksjoner som gjør det også til en kraftig binær bilderedigerer. Dette betyr at du kan se på alt grafiske filer ikke bare når det gjelder deres visuelle representasjon, men også deres binære kode. Selvfølgelig er det vanskelig å se for seg å redigere bilder i heksadesimal i hverdagen. Imidlertid kan den brukes til formål som steganografi.

Totalt sett passer Hexplorer ikke bare for de som ofte redigerer binær kode, men også for de som bruker ikke-standardiserte måter å bruke binær kode på.

Hovedtrekk og egenskaper:

  • Seks grensesnittfargeskjemaer for ulike oppgaver.
  • Ubegrenset kommandohistorie
  • x86 demonter
  • Importer og eksporter i 20 forskjellige formater binære filer, inkludert Intel Hex, Motorola S-Record, Atmel-standard, etc.
  • Evne til å finne tilbakevendende mønstre i data
  • Viser bilder
  • Filtrering av tekst fra binære data
  • Boyer-Moore søkealgoritme
  • Rask navigering til adresser
  • Lar deg lage strukturer enkle typer data, for eksempel heltall eller flyttall
  • Pseudo-tilfeldig tallgenerator
  • Lar deg spille inn makroer (skript) for å automatisere oppgaver

Andre hex-redigerere

Det er andre hex-editorer som også er verdt oppmerksomhet og kan komme godt med.

Heksadesimal editor XVI32 enkel og praktisk

XVI32 er en gratis heksadesimal editor hvis navn kommer fra romertallet XVI (16).

  • Støtter skript for å automatisere oppgaver.
  • Søk etter mønster
  • ASCII/ANSI
  • Tegnkonvertering basert på brukerdefinisjoner
  • Skrive individuelle blokker til en fil
  • Og andre muligheter...
  • Butikker åpen fil i minnet, så det vil være problemer med store filer.
  • Som sådan er det ingen kommandohistorikk. Dette betyr at alle endringer du gjør gjøres "som de er", og du må skrive dem ned eller huske dem.

Støtter Windows 9x/NT/2000/XP/Vista/7

Hex editor HexEdit med en spesialisert kalkulator

HexEdit er en annen gratis binær editor fra MiTeC.

  • Ikke nødvendig å installere (bærbar)
  • Redaktør tilfeldig tilgang minne og disk
  • Spesialisert kalkulator
  • Kan sammenligne filer
  • Kan dumpe data fra RAM til disk (opprette en dump)
  • Og andre...
  • Lagrer åpne filer i minnet

Støtter Windows 2000 - Windows 7

Cygnus Gratis enkel hex-editor

Cygnus Free er en gratis hex-editor som er en av de eldre versjonene av den kommersielle editoren. Derfor er funksjonaliteten begrenset.

  • Rask og enkel å bruke
  • Rask søk ​​og erstatt
  • Dra slipp
  • Og andre muligheter...
  • Lagrer en åpen fil i RAM med alle påfølgende problemer
  • Teknisk støtte fra gratis versjon Nei
  • Trimmet for funksjonalitet

Støtter Windows

Hurtigvalgsveiledning (lenker for å laste ned gratis hex-editorer)

HxD

Støtter mange språk, inkludert russisk. Disk- og RAM-editor. Redigerer raskt store filer. Lar deg generere kontrollsummer. Kan sammenligne filer. Kan trygt slette, slå sammen og dele filer.
Alle endringer lagres umiddelbart på disken. Derfor, før du redigerer, må du alltid opprette sikkerhetskopier filer.
http://mh-nexus.de/en/hxd/
http://mh-nexus.de/en/downloads.php?product=HxD
850 KB 1.7.7.0 Ubegrenset freeware Windows 95 - 7

Hexplorer

RAM og diskredigerer. Ekstra funksjoner, slik som Fourier-transformasjonen. Se bilder. Kan gjenkjenne NTFS/FAT, BMP-overskrifter og så videre. Støtter makroer for å automatisere oppgaver
Holder den åpne filen helt i minnet, noe som gjør store filer vanskelige å redigere. Som standard er font- og skjerminnstillingene ikke særlig godt valgt.

HxD Hex Editor er en dataredigerer med støtte for ANCI-koding. Applikasjonen bruker heksadesimal representasjon for alle åpne filer, kan arbeide med elementer av RAM og lagre endringer på harddisken. Lar deg søke og erstatte verdier automatisk eller manuell innstilling. Inkluderer verktøy for å eksportere data, lage sjekksummer og slette kodefragmenter.

Programmet kan dele opp filer i deler av ønsket størrelse og støtter behandling av en stor mengde informasjon. Bruker et modulært grensesnitt med mulighet til å se standard og heksadesimal kode. Lar deg avbryte eventuelle endringer som er gjort, inneholder navigasjonsverktøy etter kontekst og linjeadresse.

HEX-editoren er i stand til å samhandle med alle typer filer og kan brukes til å søke og erstatte kjørbare verdier for kjørende prosesser.

Last ned den fullstendige russiske versjonen av HxD Hex Editor gratis fra den offisielle nettsiden uten registrering og SMS.

Systemkrav

  • Støttet operativsystem: Windows 8.1, Vista, 10, 8, 7, XP
  • Bitdybde: 64 bit, x86, 32 bit