Справедливо. Да и мой инструмент никогда не заменят Ghidra и IDA (я писал в конце, что лучше комбинировать - и я не писал, что это замена), но как инструмент быстрой разведки может подойти. Перевод из ассемблера в си синтаксис нужен для понимания логики. Пока что он не всё парсит - но будет добавляться больше функционала.
Просто я решил статью сильно не перегружать, так как если бы я в статье написал всё содержимое PE заголовка, то это заняло бы очень много строк.
bin-файлы (я так понял вы про Dumps/sections), которые извлекаются из exe-файла - это разделение программы на секции. То есть, как "главы в книге". Например: .text - исполняемый код. То, что извлекает Capstone (дизассемблер). .data - глобальные переменные программы .rsrc - ресурсы и сжатые данные
Связка в виде DeNuitkanizator и HxD - это чисто статический анализ. DeNuitkanizator как раз помогает извлечь полезные данные, которые помогают в реверсе. Однако рекомендуется использовать как минимум отладчики (x64dbg в пример).
В любом случае спасибо вам за комментарий :). Но согласен, хедерам стоило уделить больше внимания.
Насчёт NtEnumerateKey интересно. os.listdir и os.path.isfile ищут вообще всё (нет фильтров). Идеи хорошие и действительно программу сделают лучше. Думаю реализовать это в v1.3 и v1.4.
zstd (то есть zstandard) это основной алгоритм сжатия в Nuitka (если речь идёт именно про onefile режим). То есть именно тогда, когда отправляется только один exe (portable).
Справедливо. Да и мой инструмент никогда не заменят Ghidra и IDA (я писал в конце, что лучше комбинировать - и я не писал, что это замена), но как инструмент быстрой разведки может подойти.
Перевод из ассемблера в си синтаксис нужен для понимания логики. Пока что он не всё парсит - но будет добавляться больше функционала.
Просто я решил статью сильно не перегружать, так как если бы я в статье написал всё содержимое PE заголовка, то это заняло бы очень много строк.
bin-файлы (я так понял вы про Dumps/sections), которые извлекаются из exe-файла - это разделение программы на секции. То есть, как "главы в книге".
Например:
.text - исполняемый код. То, что извлекает Capstone (дизассемблер).
.data - глобальные переменные программы
.rsrc - ресурсы и сжатые данные
Связка в виде DeNuitkanizator и HxD - это чисто статический анализ. DeNuitkanizator как раз помогает извлечь полезные данные, которые помогают в реверсе. Однако рекомендуется использовать как минимум отладчики (x64dbg в пример).
В любом случае спасибо вам за комментарий :). Но согласен, хедерам стоило уделить больше внимания.
Довольно интересно!
Готово, спасибо!
Я вас ещё добавил в ACKNOWLEDGEMENTS, https://github.com/2M12/ThreatbitSimpleScanner/blob/main/ACKNOWLEDGEMENTS.md если не против конечно
И спасибо большое за плюс в карму и статье :)
Я вас ещё добавил в ACKNOWLEDGEMENTS, https://github.com/2M12/ThreatbitSimpleScanner/blob/main/ACKNOWLEDGEMENTS.md если не против конечно
Спасибо за отзыв :)
Хоть я и в README.md предупреждал насчёт бэкапа (и то что изменения в реестре не опасны). Но пока что нет авто-бэкапа.
Идея с авто-бэкапом и RegBack интересная. Я попробую добавить это в v1.3 и v1.4!
Спасибо за отзыв :)
Насчёт NtEnumerateKey интересно.
os.listdir и os.path.isfile ищут вообще всё (нет фильтров).
Идеи хорошие и действительно программу сделают лучше. Думаю реализовать это в v1.3 и v1.4.
Спасибо за отзыв :)
Нет, статью писал сам. Просто стиль такой )
Я буду очень рад если вы протестируете мой софт!
zstd (то есть zstandard) это основной алгоритм сжатия в Nuitka (если речь идёт именно про onefile режим). То есть именно тогда, когда отправляется только один exe (portable).