Selectați editorul hexadecimal în rusă. Editori hexadecimal vs. malware: selectați un editor hexazecimal pentru a analiza fișierele binare. Asamblare și căutare asamblare

După încheierea seriei cu articolul „ Cele mai bune instrumente pentester", editorul a primit multe scrisori prin care cereau o selecție de editori hexadecimale. Interesul, desigur, nu este abilitatea de a edita date binare, ci caracteristici suplimentare, cum ar fi recunoașterea automată a structurilor de date și dezasamblarea codului. Pentru a face o imagine de ansamblu, am aflat părerile oamenilor care cel mai adesea trebuie să se chinuie cu astfel de instrumente - analiștii de viruși. Și asta ne-au spus.

Orice editor hex vă permite să examinați și să modificați un fișier la un nivel scăzut, operând cu biți și octeți. Conținutul fișierului este prezentat în format hexazecimal. Aceasta este funcționalitatea de bază. Cu toate acestea, unii editori oferă utilizatorilor mult mai mult, permițându-le să-și dea seama exact ce este ceea ce este în acel set de caractere de neînțeles care apare la deschiderea unui fișier. Pentru a face acest lucru, șirurile ASCII și Unicode sunt extrase automat, modelele cunoscute sunt căutate, structurile de date de bază sunt recunoscute și multe altele. Există destul de mulți editori hexazecimali, dar dacă am decis să le luăm în considerare în contextul studierii mostrelor de malware, este ușor să evidențiem pe unele dintre ele. Doar câteva se dovedesc a fi cu adevărat utile pentru analiza codului rău intenționat și examinarea documentelor infectate (de exemplu, PDF).

McAfee FileInsight

FileInsight este un editor hexadecimal gratuit pentru Windows de la McAfee Labs. Produsul, desigur, îndeplinește toate funcționalitățile standard care însoțesc un astfel de software, oferind o interfață convenabilă pentru vizualizarea și editarea fișierelor în moduri hexazecimal și text. Dar aceasta este doar o picătură în ocean dacă vă uitați la toată funcționalitatea acestuia. Merită să începem cu faptul că FileInsight este capabil să analizeze structura binarelor executabile pentru Windows (fișiere PE), precum și a obiectelor OLE Microsoft Office. Nu numai asta, dar utilizatorului i se oferă un dezasamblator x86 încorporat. Doar selectați partea fișierului pe care doriți să o vizualizați ca cod care poate fi citit și FileInsight va afișa acest fragment ca o listă de instrucțiuni de asamblare. Dezasamblatorul este util în special atunci când se caută shellcode în fișiere rău intenționate. Alte opțiuni pe care inversorii le vor aprecia includ posibilitatea de a importa declarații de structură. Pentru a face acest lucru, programul trebuie doar să specifice un fișier antet cu declarații precum:

struct ANIHeader(
DWORD cbSizeOf; // Număr octeți în AniHeader
DWORD cFrames; // Numărul de pictograme unice
DWORD cSteps; // Numărul de blits
};

În acest caz, programul în sine va analiza astfel de structuri. Cu toate acestea, mulți algoritmi intuitivi pentru procesarea codului sunt oferiți implicit. Vorbim, în primul rând, despre decodarea multor metode de ofuscare (xor, add, shift, Base64 etc.) - scripturile încorporate fac ca o astfel de protecție criptografică să fie un pumn unu-doi. Trebuie remarcat aici că obiectul cercetării nu trebuie neapărat să fie un binar; poate fi și o pagină web obișnuită care trezește suspiciuni. Programul vă permite să automatizați multe acțiuni folosind scripturi JavaScript simple sau module Python, dintre care multe au fost deja scrise. Din păcate, cu toate avantajele sale, FileInsight are și un dezavantaj serios, care este incapacitatea de a procesa fișiere mari. De exemplu, dacă încercați să alimentați un fișier cu dimensiunea de 400-500 MB în utilitar, apare eroarea „Eșec la deschiderea documentului”.

Hex Editor Neo

Există două versiuni ale acestui editor hexadecimal de la HDD Software - o versiune simplă gratuită și o versiune comercială avansată. Versiunea freeware este un editor HEX solid, dar neremarcabil, care are o interfață cool, personalizabilă, cu suport pentru diferite scheme de culori. Nu mai. Dar versiunea profesională a Hex Editor Neo oferă mai multe opțiuni utile care pot fi extrem de utile atunci când se analizează binare. De exemplu, utilizatorul are posibilitatea de a decoda codul criptat folosind cei mai comuni algoritmi. În plus, devine posibil să vizualizați și să editați resurse locale, cum ar fi fluxuri NTFS, discuri locale, memorie de proces și RAM. În cele mai multe versiunea completa Există, de asemenea, suport pentru un limbaj de scripting, permițându-vă să automatizați multe procese folosind scripturi în VBScript și JavaScript. Dar cea mai bună parte este că aveți la dispoziție un dezasamblator încorporat care funcționează cu binare x86, x64 și .NET! O altă caracteristică - creație rapidă patch-uri bazate pe o comparație a două binare. Sună impresionant, dar este mai bun decât FileInsight? Probabil ca nu. FileInsight pare mai funcțional în general. Pe de altă parte, orice, chiar și versiunea gratuită a Hex Editor Neo, funcționează excelent chiar și cu fișiere foarte mari și vă permite să căutați șiruri ASCII și Unicode. Dezasamblatorul de aici nu se limitează doar la platforma x86, iar editorul de resurse încorporat este foarte convenabil. Sunt multe de gândit.

FlexHex

FlexHex este un editor hex comercial puternic de la Heaventools Software care include multe dintre aceleași caracteristici găsite în Hex Editor Neo. Singurul lucru care lipsește aici este, probabil, suportul pentru script. Dar acest editor cu funcții complete se ocupă de fișiere binare, fișiere OLE, discuri fiziceși fluxuri alternative NTFS. Acesta din urmă este deosebit de important deoarece FlexHex vă permite să editați date pe care alți editori nici măcar nu le văd. În plus, puteți simți imediat concentrarea asupra lucrului cu cantități mari de informații: indiferent de dimensiunea fișierului, navigarea prin acesta se efectuează fără întârzieri sau frâne. Pentru un confort și mai mare, există un sistem de marcaje convenabile. În același timp, FlexHex păstrează continuu un istoric al tuturor operațiunilor - puteți anula orice acțiune pur și simplu selectând-o din lista de modificări (lista de anulare nu este limitată)! FlexHex acceptă toate operațiunile necesare cu date binare, căutând șiruri ASCII și Unicode. Dacă trebuie să procesați o structură cu un format cunoscut anterior, setarea parametrilor acesteia nu este dificilă folosind instrumente speciale. Ca rezultat, obținem un editor hexadecimal excelent, dar cu mult inferior FileInsight. Singura opțiune notabilă este procesarea fișierelor OLE, dar există și probleme aici. De câteva ori când încerca să deschidă un OLE infectat, programul s-a blocat cu eroarea „Fișierul document a fost corupt”.

010 Editor

010 Editor este un produs comercial binecunoscut dezvoltat de SweetScape Software. Dacă îl comparăm cu cele trei instrumente anterioare, poate face totul: acceptă lucrul cu fișiere foarte mari, oferă capabilități interesante de operare cu date, vă permite să editați resurse locale și are un sistem de scripting pentru automatizarea acțiunilor de rutină (mai mult de 140 de funcții diferite la dispoziția dumneavoastră). Și 010 Editor are și o răsucire, o caracteristică unică. Editorul are grijă de toată lumea datorită capacității de a analiza diverse formate de fișiere folosind propria bibliotecă de șabloane (așa-numitele șabloane binare). Aici nu are egal. Mulți entuziaști din întreaga lume lucrează la șabloane, creând diverse forme și structuri de date. Ca rezultat, procesul de navigare prin diferite formate de fișier devine transparent și ușor de înțeles. Acest lucru se aplică și procesării fișierelor binare Windows (fișiere PE), fișiere de comandă rapidă Windows (LNK), arhive Zip, fișiere de clasă Java și multe altele. Mulți oameni au reușit să realizeze frumusețea acestei caracteristici atunci când celebrul specialist în securitate Didier Stevens a creat un șablon pentru analizarea fișierelor PDF pentru 010 Editor. Împreună cu alte utilitare, acest lucru a simplificat foarte mult analiza documentelor PDF infectate, care în ultimele șase luni nu au încetat să uimească prin numărul de locuri din care poate fi exploatat programul de citire. Adăugăm aici un instrument grozav pentru compararea binarelor, un calculator cu sintaxă asemănătoare C, conversia datelor între formatele ASCII, EBCDIC, Unicode și obținem un instrument foarte atractiv, cu caracteristici unice.

Hiew

Hiew, în ceea ce privește metoda de distribuție, nu este mult diferit de colegii săi - acesta este și un produs comercial dezvoltat de compatriotul nostru Evgeny Suslikov. Având o istorie lungă, programul este foarte îndrăgit de mulți specialiști în securitatea informatiei. Există motive destul de evidente pentru aceasta - oportunități puternice de cercetare și editare a structurii și conținutului fișiere executabile ambele binare Windows (PE) și Linux (ELF). O altă caracteristică foarte utilă pentru inginerie inversă este asamblarea și dezasamblarea x86-64 încorporate. Acesta din urmă acceptă chiar și instrucțiuni ARM. Inutil să spun că editorul digeră perfect fișierele mari și vă permite să editați unități logice și fizice. Multe sarcini sunt ușor automatizate printr-un sistem de macrocomenzi de la tastatură, scripturi și chiar un API pentru dezvoltarea extensiilor (Hiew Extrenal Modules). Dar înainte de a vă grăbi în luptă, rețineți că interfața Hiew este o fereastră asemănătoare DOS, cu care este destul de incomod să lucrați dacă nu sunteți obișnuit cu ea. Dar poți experimenta tot farmecul școlii vechi.

Radare

Radare este un set utilitati gratuite pentru platforma Unix, care oferă caracteristici interesante pentru editarea fișierelor în modul HEX. Include editorul hex în sine (radare) cu capacitatea de a deschide local și fișiere șterse. Programul analizează fișiere executabile de diferite formate, atât Linux (ELF) cât și Windows (PE). Pe lângă editare, pachetul Radare include un instrument pentru compararea fișierelor binare (radiff) și un asamblator/dezasamblator încorporat. Și personal, un instrument pentru generarea de coduri shell (rasc) a fost util de câteva ori. Orice operație poate fi automatizată și personalizată cu ușurință folosind un sistem de scripturi. Dintre minusuri, din nou, putem observa lipsa unei interfețe GUI - toate acțiunile sunt efectuate din Linie de comanda, dar puteți lucra pe deplin cu utilitățile numai după citirea documentației. Pe de altă parte, site-ul are screencast-uri vizuale care demonstrează atât punctele principale, cât și micile secrete (cum ar fi conectarea unui plugin Python).

Deci ce ar trebui să alegi?

Am analizat mai multe editori hexadecimale puternici care includ opțiuni utile pentru analiza fișierelor suspecte. Dintre toate produsele iese în evidență FileInsight, care, în ciuda tuturor funcționalităților sale (și este cu adevărat impresionant), rămâne gratuit. 010 Editor oferă un număr mare de șabloane pentru a gestiona cel mai mult fișiere diferite, inclusiv documente PDF. Aceasta este o mega caracteristică care nu trebuie neglijată. Folosesc acești doi editori tot timpul; Pentru munca unui analist, poate că sunt cele mai potrivite. Dacă vorbim despre lucrul sub platforma Unix, atunci, desigur, nu putem uita de Radare. Pachetul oferă funcții foarte puternice, deși este dificil de utilizat datorită faptului că rulează din linia de comandă. Hiew nu este, de asemenea, foarte prietenos, deși capabilitățile sale vă permit cu siguranță să efectuați o varietate de operațiuni cu binare. În plus, Hiew este alegerea unui număr mare de profesioniști reali, iar acest lucru valorează mult (și înseamnă mult). În ceea ce privește Hex Editor Neo, merită să o luați dacă sunteți interesat de capacitatea de a dezasambla codul x86, x64 și .NET.

Uneori este nevoie de a face modificări unui fișier binar. Pentru aceasta se folosesc așa-numitele editori hexadecimale. Scopul acestui ghid este de a descrie metodele de bază de lucru cu acestea și de a răspunde la cele mai frecvente întrebări.

Alegerea editorilor

Prima întrebare care apare de obicei este: ce editor să alegeți din varietatea celor existente. Pentru a schimba mai mulți octeți, puteți utiliza în siguranță oricare, dar cu utilizare frecventă sau pe termen lung, programul trebuie să suporte toate funcțiile necesare, să fie convenabil, rapid și de încredere. Pe baza acestui lucru, vă putem recomanda utilizarea, de exemplu, a QView. Pe lângă proprietățile enumerate mai sus, are următoarele:

• Funcționează în DOS și Windows
• Conține asamblare și dezasamblare încorporate
• Suportă DOS-866, Win-1251, KOI-8r și codificări text definite de utilizator
• Are oportunități ample setări
• Este gratuit și open source

Îl poți descărca de la pagina principala proiect: http://www.agcproduct.com/rus/products/qview/.

Fereastra principală QView constă dintr-un antet (în partea de sus), o zonă de lucru și un panou tastele funcționale(în partea de jos). Pentru control se folosesc o tastatură și un mouse. QView vă permite să lucrați cu date în modul text, modul dump hexazecimal și modul dezasamblare. Modurile sunt comutate secvenţial apăsând Enter sau F4 (sau făcând clic stânga pe titlu în zona în care sunt situate simbolurile AV/HV/00). Modurile de vizualizare și editare sunt comutate apăsând Alt-F3 (în modul text - doar F3). Modurile instalate după pornire depind de setările care sunt stocate în fișierele qview.ini, qview.fmg, qview.ehl și de modificarea pe care le conține pachetul program special- Q-Setup. Ajutorul contextual pentru tastele utilizate este apelat apăsând F1.

Puteți deschide fișierul în editor pasând numele acestuia ca parametru de linie de comandă: qview.exe (pe Windows nume lungi fișierele trebuie incluse în ghilimele duble) sau prin panoul de fișiere, care este apelat apăsând Alt-F6 sau făcând clic pe numele fișierului din antet. Pentru a ieși din editor, apăsați Escape.

Editare simplă

Cea mai ușoară sarcină de editare fișiere binare: Înlocuiți valoarea octetului de la offset XXXXXXXX cu valoarea YY. Pentru a face acest lucru, după deschiderea fișierului în editor, apăsați Enter pentru a comuta vizualizarea în modul dump. În zona de lucru, valoarea offset este indicată în coloana din stânga, valorile octeților în hexazecimal în partea centrală și aceleași valori în caractere ASCII în dreapta.

Pentru a poziționa cursorul la offset-ul dorit, apăsați tasta F5 (sau faceți clic pe rândul de numere evidențiate cu roșu în antet), introduceți valoarea offset-ului și apăsați Enter. Dacă modul de editare nu a fost activat, apăsați Alt-F3 (în acest caz, va apărea inscripția „Edit ON” în bara de taste). Apoi puteți face modificări fișierului tastând valorile octeților în hexazecimal sau deplasând cursorul în coloana din dreapta apăsând TAB, sub formă de caractere. Cursorul este poziționat folosind tastele de control obișnuite sau mouse-ul.

Pentru a anula modificările efectuate, plasați cursorul în locația erorii și apăsați F3 de mai multe ori. Puteți salva modificările când ieși apăsând W sau forțat apăsând Alt-F9.

Căutați și înlocuiți

QView acceptă căutarea unui fișier pentru anumiți octeți sau șiruri de caractere și căutarea după mască. Dialogul de căutare este apelat apăsând F7. În câmpul ASCII puteți introduce un șir sub formă de caractere, iar în câmpul HEX puteți introduce un șir în formă hexazecimală. Făcând clic cu mouse-ul, puteți specifica direcția de căutare ("Înainte/Înapoi"), puteți activa opțiunile care disting majuscule și minuscule pentru căutarea caracterelor ("Sensitiv") sau căutarea după mască ("Mascare"). În acest din urmă caz, simbolul „?” maschează octetul corespunzător din șir. De exemplu, când căutați „w?r?” Vor fi găsite cuvintele vierme, cald, au fost etc. Apăsând Shift-F7 caută următoarea potrivire.

Pentru a efectua o căutare și înlocuire, apăsați Ctrl-F7. Un șir de căutare sau un model este introdus în partea de sus a ferestrei, iar un șir de înlocuire este introdus în partea de jos.

Crearea și utilizarea fișierelor crack

Fișierele crack sunt cea mai comună modalitate de a înregistra modificările la fișierele binare. În formatul standard, acestea constau din trei coloane: offset-ul relativ la începutul fișierului editat, valoarea octetului înainte de modificare și valoarea acestuia după modificare:

00000150: 89 B8 00000151: 1E 03 00000152: F6 00 00000153: 10 CD 00000154: 83 10

Uneori este adăugat un comentariu la început, începând cu caracterul „#”.

În QView, pentru a salva modificările aduse unui fișier ca fișier crack, trebuie să apăsați Shift-F9, să introduceți numele fișierului în fereastra care se deschide și să apăsați Enter. Pentru a face modificări dintr-un fișier crack gata făcut, apăsați Ctrl-F8, omiteți fereastra care se deschide apăsând Enter (puteți seta un offset suplimentar în el, care este rar folosit), introduceți numele fișierului crack în următorul fereastra și apăsați din nou pe Enter. Notă importantă: Imediat după aceasta, modificările vor fi scrise în fișier și acesta va fi salvat automat. Nu este necesar să comutați programul în modul de editare. Dacă este afișat un mesaj de eroare la efectuarea modificărilor, înseamnă că fie formatul fișierului nu corespunde cu cel standard, fie patch-ul nu se potrivește cu fișierul (octeții „înainte de modificare” nu se potrivesc).

Lucrul cu blocuri

Uneori este nevoie să salvați o parte a unui fișier binar, de exemplu, să copiați de pe acesta șiruri de text. Pentru a lucra cu blocuri, editorul trebuie să fie în modul de descărcare sau dezasamblare. Pentru a selecta blocul dorit, plasați cursorul la începutul acestuia, apăsați tasta Insert, apoi plasați cursorul la sfârșitul blocului și apăsați din nou Insert. În acest caz, blocul este evidențiat cu galben.

Pentru a salva un bloc într-un fișier, trebuie să apăsați Shift-F2, în fereastra care apare, specificați numele și formatul fișierului salvat (sub formă de cod - „ca atare”, dump sau text assembler) și apăsați Enter .

Când inserați un bloc dintr-un fișier, selectați blocul în același mod, apăsați Shift-F3 și în fereastra care se deschide, specificați numele fișierului sursă. În acest caz, dimensiunea blocului alocat trebuie să fie egală sau mai mică decât dimensiunea fișierului. O optiune alternativa: plasati cursorul in pozitia din care trebuie facuta inserarea, apasati Shift-F5 si in fereastra care se deschide, specificati numele fisierului sursa, offset-ul si lungimea blocului din interiorul acestuia din care doriti. pentru a lua datele.

Pentru a șterge un bloc, marcați-l și apăsați Shift-F4 sau plasați cursorul în poziția dorită, apăsați Ctrl-F5 și specificați numărul de octeți de șters. Pentru a insera un bloc plin cu zerouri în poziția curentă, apăsați Ctrl-F4 și specificați dimensiunea blocului. Puteți șterge un fișier până la sfârșit, începând din poziția curentă, apăsând Alt-F10.

La introducerea unui bloc, ca în cazul crack-Files, modificările sunt salvate imediat după efectuare.

Asamblare și căutare asamblare

Asamblarea este folosită pentru a face modificări la algoritmul fișierelor executabile. QView acceptă toate comenzile procesoare Intel 486 și 487. În modul de asamblare și dezasamblare în spațiul de lucru al editorului, prima coloană indică decalajul relativ la începutul fișierului, a doua coloană indică octeții de instrucțiune, iar a treia coloană indică desemnarea mnemonică. Pentru a activa modul de asamblare, comutați editorul în modul de dezasamblare apăsând Enter de mai multe ori, activați modul de editare apăsând Alt-F3 și apăsați TAB pentru a muta cursorul pe a treia coloană. Apoi puteți introduce instrucțiuni, încheind fiecare intrare apăsând Enter.

Dacă este necesar, puteți, ca și în modul dump, să schimbați direct octeții din a doua coloană. Lățimea codului 16/32 este comutată apăsând F2. Puteți anula modificările plasând cursorul pe linia cu eroarea și apăsând F3 de mai multe ori.

Pentru a căuta instrucțiuni specifice de asamblare, apăsați F6, tastați instrucțiunea și apăsați Enter. Căutați următoarea potrivire apăsând Shift-F6. Pentru a căuta după model, puteți folosi următoarele Simboluri speciale:

"?" - orice personaj
"*" - orice subșir la virgulă sau la sfârșitul rândului
„$” - căutați constante numerice (plasate înaintea numărului)
„%” - săriți peste un cuvânt
„@” - orice subșir

De exemplu, „sub bx,*” - caută toate instrucțiunile de scădere din registrul BX.

Funcții suplimentare

Printre funcțiile suplimentare utile ale QView, putem remarca prezența unui calculator încorporat, care este apelat prin apăsarea Ctrl-F6. Suportă operații aritmetice și logice de bază pe biți, paranteze pentru a indica precedența operațiilor, introducerea argumentelor și obținerea rezultatelor în sistemele numerice de bază 2, 8, 10, 16.

Puteți vizualiza informații din antetul fișierului executabil apăsând F8 în modul de descărcare sau dezasamblare. Formatele de fișier acceptate sunt MZ, PE, NE, LX, LE.

Ca Windows Notepad. Mai mult, dacă deschideți fișierul binar editor de textși salvați-l pe disc, apoi, în majoritatea cazurilor, un astfel de fișier va fi deteriorat și nu va rula. Pentru a face editări corecte, trebuie să utilizați editori hexazecimali (hex), care sunt uneori numiți și editori binari.

Cel mai utilizatorii obișnuiți, este puțin probabil să existe sarcini sau necesități de a utiliza editori hexazecimali. Cu toate acestea, pentru utilizatorii cunoscători de tehnologie, astfel de editori pot fi instrumente indispensabile.

Notă: De fapt, dar la un moment dat, pentru a edita instalatorii standard de asp.net 1.1, a trebuit să ajustați codul binar. De exemplu, pentru a face unul dintre controale un câmp de introducere a parolei.

ÎN această recenzie Am colectat unele dintre cele mai bune editoare hexadecimale gratuite pentru diferite nevoi.

Revizuirea editorilor gratuiti Hex

Există câteva editoare hexadecimale gratuite excelente, variind de la produse mici și simple până la produse complexe care sunt comparabile cu soluțiile comerciale. Cu toate acestea, categoria editor hex este una dintre acele categorii în care nevoile și preferințele personale sunt atât de importante încât compararea produselor este nu numai dificilă, ci și inutilă. Prin urmare, nu trebuie să presupuneți că produsele sunt aranjate în ordine descrescătoare.

HxD este un excelent editor hexazecimal hexazecimal

Unul dintre cele mai bune utilitati pentru editarea codului binar este . În primul rând, programul este portabil și nu necesită instalare, ceea ce este deosebit de important dacă deseori trebuie să editați fișiere executabile. În al doilea rând, are o interfață plăcută. În al treilea rând, HxD procesează fișiere mari fără întârzieri sau înghețarea ecranului. În plus, adăugați la aceasta posibilitatea de a avea un istoric de editare nelimitat, cautare rapidași înlocuiri, compararea fișierelor binare, suport complet pentru ANSI, DOS/IBM-ASCII și EBCDIC. Și încă o duzină de posibilități, dintre care unele vor fi enumerate mai jos. HxD vă permite, de asemenea, să editați nu numai discul, ci și memoria RAM. De fapt, un astfel de set de capabilități face din program o jucărie periculoasă în mâinile utilizatorilor începători. În plus, aplicațiile de securitate pot răspunde la acțiunile sale în același mod, dar utilizatori experimentațiînțelegeți că acest lucru se întâmplă din cauza specificului accesului la date și a utilizării funcțiilor potențial periculoase.

În general, HxD este grozav pentru cei care se confruntă frecvent cu diverse coduri binare.

Alte caracteristici și caracteristici:

• Acces securizat la fișierele pe care le folosesc alte programe
• Generator de sumă de control: Sumă de control, CRC, CRC personalizat, SHA-1, SHA-512, MD5, ...
• Exportați date în diferite formate
• Inserarea șabloanelor de cod
• Oportunitate îndepărtare în siguranță fișiere.
• Împărțirea sau îmbinarea fișierelor
• Diverse tipuri de grupări în coloane (1,2,4,8,16 octeți)
• Evidențierea datelor modificate
• Salt rapid la o adresă
• Suport pentru copierea datelor clipboard din alte programe: Visual Studio/Visual C++, WinHex, HexWorkshop, ...
• Marcaje
• Și mult mai mult...

Editor Hex Hexplorer este un analog al HxD cu capacitatea de a vizualiza imagini atunci când se analizează steganografia

Un alt editor hexadecimal este open source cod sursa. Programul are o serie de caracteristici unice care îl fac și un puternic editor de imagini binare. Asta înseamnă că poți privi totul fisiere grafice nu numai în ceea ce privește reprezentarea lor vizuală, ci și codul lor binar. Desigur, este greu de imaginat editarea imaginilor în hexazecimal în viața de zi cu zi. Cu toate acestea, poate fi utilizat în scopuri precum steganografia.

În general, Hexplorer este potrivit nu numai pentru cei care editează frecvent codul binar, ci și pentru cei care folosesc metode non-standard utilizați codul binar.

Principalele caracteristici și caracteristici:

• Șase scheme de culori ale interfeței pentru diverse sarcini.
• Istoricul comenzilor nelimitat
• dezasamblator x86
• Importați și exportați în 20 de formate de fișiere binare diferite, inclusiv Intel Hex, Motorola S-Record, standard Atmel etc.
• Abilitatea de a găsi modele recurente în date
• Vizualizarea imaginilor
• Filtrarea textului din datele binare
• Algoritmul de căutare Boyer-Moore
• Navigare rapidă către adrese
• Vă permite să creați structuri de tipuri de date simple, cum ar fi numere întregi sau numere în virgulă mobilă
• Generator de numere pseudo-aleatoare
• Vă permite să înregistrați macrocomenzi (scripturi) pentru a automatiza sarcinile

Alți editori hexadecimale

Există și alți editori hexadecimale care merită atenție și care pot fi utile.

Editor hexazecimal XVI32 simplu și convenabil

XVI32 este un editor hexazecimal gratuit al cărui nume provine de la cifra romană XVI (16).

• Suportă scripturi pentru automatizarea sarcinilor.
• Căutați după model
• ASCII/ANSI
• Conversie de caractere pe baza definițiilor utilizatorului
• Scrierea blocurilor individuale într-un fișier
• Si alte posibilitati...

• Magazine deschide fișierulîn memorie, deci vor apărea probleme cu fișierele mari.
• Ca atare, nu există un istoric al comenzilor. Aceasta înseamnă că orice modificări pe care le faci sunt făcute „ca atare” și va trebui să le notezi sau să le ții minte.

Suporta Windows 9x/NT/2000/XP/Vista/7

Editor Hex HexEdit cu un calculator specializat

HexEdit este un alt editor binar gratuit de la MiTeC.

• Nu este nevoie de instalare (portabil)
• Editor memorie cu acces aleatorși disc
• Calculator specializat
• Poate compara fișiere
• Poate descărca datele de pe RAM pe disc (creați un dump)
• Si altii...

• Stochează fișierele deschise în memorie

Suporta Windows 2000 - Windows 7

Cygnus Editor simplu hex gratuit

Cygnus Free este un editor hexadecimal gratuit, care este una dintre versiunile mai vechi ale editorului comercial. Prin urmare, funcționalitatea este limitată.

• Rapid și ușor de utilizat
• Căutare rapidă și înlocuire
• Trage si lasa
• Si alte posibilitati...

• Stochează un fișier deschis în RAM cu toate problemele care decurg
• Suport tehnic de la versiune gratuită Nu
• Decupat pentru funcționalitate

Suporta Windows

Ghid de selecție rapidă (Link-uri pentru a descărca editori hexadecimal gratuit)

HxD

Hexplorer

Instrucțiuni Hex Editor

• Programul este foarte util, mai ales pentru cei cărora le place să își însușească proprietatea altcuiva) Link de descărcare (în partea de jos a subiectului).
• Hex - editor (engleză hex - editor), editor hexazecimal - o aplicație pentru editarea datelor în care datele sunt prezentate în „raw.
• Acest articol va vorbi despre lucrul în editorul hexadecimal gratuit Free Hex Editor Neo, folosind exemplul de editare a fișierului BkEnd.dll din.
• În prima parte a seriei de articole, am analizat un exemplu de examinare a unui fișier într-un editor hexadecimal (cu analize foarte minime) și...
• Pentru aceasta se folosesc așa-numitele editori hexadecimale. Prima întrebare care apare de obicei este: care editor dintre toate? fișier, în al doilea - octeții de instrucțiuni, în al treilea - desemnarea sa mnemonică.

Publicat la 03/09/2013 de Vitaly Onyanov 1. Câteva despre editorii și fișierele hexadecimale După cum știți, orice fișier stocat pe hard diskul unui computer este o secvență de cuvinte mașină - octeți. Un octet, la rândul său, este format din 8 biți, fiecare dintre care poate lua valoarea „0” sau „1”, ceea ce înseamnă că un octet poate lua 28 = 256 de valori în intervalul de la 0 la 255. numarul 25610 scris in sistem hexazecimal, este un număr rotund de trei cifre - 10016, adică, pentru a reprezenta orice număr din intervalul 0-255, nu vor fi necesare mai mult de 2 cifre. Aceasta înseamnă că este foarte convenabil să scrieți valoarea fiecărui octet ca un număr de două cifre în sistemul numeric hexazecimal. Editorul hex ne arată fișierul așa cum îl „vede” mașina, și anume, ca o secvență de octeți. De exemplu, deschizând un fișier în editor, vom vedea o matrice formată din 16 coloane și numărul de rânduri în funcție de dimensiunea fișierului. Fiecare valoare de matrice corespunde unui octet, scris ca un număr hexazecimal de două cifre. Schimbând valoarea octetului dorit, putem, în consecință, să schimbăm fișierul în sine. În plus, lângă tabel putem vedea: În stânga matricei este o linie de numere: fiecare linie corespunde unui număr care indică adresa/offset-ul primului octet al acestei linii. Pasul de adresă este egal cu numărul de coloane. O altă riglă este afișată în partea de sus a matricei: deasupra fiecărei coloane este afișat offset-ul octetului din această coloană în raport cu primul octet al liniei corespunzătoare. Suma numărului corespunzător rândului i și numărului corespunzător coloanei j este adresa/offset-ul octetului (i; j) situat la intersecția rândului luat și coloanei luate. În dreapta matricei sunt afișate aceleași date, dar într-o interpretare diferită. Cea mai comună alternativă este afișarea datelor ca text ASCII, cu octeți ale căror valori corespund caracterelor neprintabile afișate ca puncte (·). De asemenea, puteți edita valori în această zonă. 2. Instalare gratuită Hex Editor Neo Descărcați gratuit Hex Editor Neo de pe site-ul oficial. Programul este gratuit, la momentul scrierii, cea mai recentă versiune era 5.14. Instalăm urmând instrucțiunile instalatorului fără a modifica setările implicite. Când lansați pentru prima dată programul, vi se va solicita să selectați un mod de interfață. Selectați „Utilizator începător”, acest lucru este mai mult decât suficient. 3. Lucrul cu un fișier într-un editor hex Acum să deschidem fișierul pe care trebuie să-l „corectăm” selectând „Fișier” - „Deschidere” - „Deschidere fișier” în meniul Free Hex Editor Neo. În cazul meu, acesta este fișierul BkEnd.dll aflat în folderul cu 1C:Enterprise 7.7 instalat („C:\Program Files\1Cv77\BIN”) pentru articolul Instalarea 1C:Enterprise 7.7 pe Microsoft SQL Server 2008 R2. De exemplu, trebuie să scriu valoarea eb pe octet la offset 000d9cca. Pentru a face acest lucru, găsesc rândul „000d9cco” și coloana „0a”, dau dublu clic pe celula dorită și introdu o nouă valoare. Procedând în mod similar, fac următoarele modificări: Pentru a remedia eroarea „Este necesar MS SQL Server 6.5 + Service Pack 5a sau o versiune superioară!” modificați câmpurile: la offset 000d9cca valoarea 83 este schimbată în eb la offset 000d9ccb valoarea e8 este schimbată la 15 la offset 000db130 valoarea 83 este schimbată în eb la offset 000db131 valoarea e8 este schimbată la 10 Pentru a corecta eroarea „Ordinea de sortare setată baza de date este diferită de cea de sistem!": la offset 0018a79d valoarea 75 este schimbată în eb Pentru a corecta eroarea "Sintaxă incorectă despre cuvânt cheie„TRANZACȚIE” Expresia DUMP TRANSACTION %s WITH TRUNCATE_ONLY, care se află la offset-ul 002856B0, este înlocuită cu expresia ALTER DATABASE %s SET RECOVERY SIMPLE Pentru a corecta eroarea „Baza de date nu poate fi deschisă în modul single-user”, schimbăm câmpurile: la offset 0028549c valoarea 64 se schimbă la 6b la offset 0028549d valoarea 62 se schimbă la 70

Puteți nu numai să selectați, ci și să vizualizați, editați, înlocuiți și analizați datele; puteți descărca Free Hex Editor Neo de mai jos.

Utilizarea Hex Editor pentru clientul RO. Fișierele exe pot fi editate manual pentru a obține anumite beneficii. Daca tu.

Video pentru programul Free Hex Editor Neo. Iată câteva videoclipuri legate de Free Hex Editor Neo. Cum se folosește gratuit.

HxD pentru editarea fișierelor în cod hexazecimal. Începând să scriem o recenzie a editorului hexadecimal cu numele scurt HxD, noi...

Acest articol va vorbi despre lucrul în editorul hexadecimal gratuit Free Hex Editor Neo, folosind exemplul de editare a unui fișier BkEnd.dll de la livrare pentru funcționarea corectă a acestui sistem cu .

1. Câteva despre editorii și fișierele hexadecimale

După cum știți, orice fișier stocat pe hard diskul unui computer este o secvență de cuvinte mașină - octeți. Un octet, la rândul său, este format din 8 biți, fiecare dintre care poate lua valoarea „0” sau „1”, ceea ce înseamnă că un octet poate lua 2 8 = 256 de valori în intervalul de la 0 la 255. Numărul este 256 10. scris în sistem hexazecimal, este un număr rotund de trei cifre - 100 16, adică, pentru a reprezenta orice număr din intervalul 0-255, nu vor fi necesare mai mult de 2 cifre. Aceasta înseamnă că este foarte convenabil să scrieți valoarea fiecărui octet ca un număr de două cifre în sistemul numeric hexazecimal.

Editorul hex ne arată fișierul așa cum îl „vede” mașina, și anume, ca o secvență de octeți. De exemplu, deschizând un fișier în editor, vom vedea o matrice formată din 16 coloane și numărul de rânduri în funcție de dimensiunea fișierului. Fiecare valoare de matrice corespunde unui octet, scris ca un număr hexazecimal de două cifre. Schimbând valoarea octetului dorit, putem, în consecință, să schimbăm fișierul în sine.

În plus, lângă tabel putem vedea:

• În stânga matricei este afișată o linie de numere: fiecare linie corespunde unui număr care indică adresa/offset-ul primului octet al acestei linii. Pasul de adresă este egal cu numărul de coloane.
• O altă riglă este afișată în partea de sus a matricei: deasupra fiecărei coloane este afișat offset-ul octetului din această coloană în raport cu primul octet al liniei corespunzătoare. Suma numărului corespunzător rândului i și a numărului corespunzător coloanei j -a este adresa/offset-ul octetului (i;j) situat la intersecția rândului luat și coloanei luate.
• În dreapta matricei sunt afișate aceleași date, dar într-o interpretare diferită. Cea mai comună alternativă este afișarea datelor ca text ASCII, cu octeți ale căror valori corespund caracterelor neprintabile afișate ca puncte (·). De asemenea, puteți edita valori în această zonă.

2. Instalați Free Hex Editor Neo

De exemplu, am nevoie de un octet cu un offset 000d9cca scrie valoarea eb. Pentru a face acest lucru, găsesc rândul „000d9cco” și coloana „0a”, dau dublu clic pe celula dorită și introdu o nouă valoare.

Procedând în mod similar, fac următoarele modificări:

1. Pentru a remedia eroarea " Necesită MS SQL Server 6.5 + Service Pack 5a sau mai mare!» modificați câmpurile:
   prin offset 000d9cca sens 83 schimba in eb
   prin offset 000d9ccb sens e8 schimba in 15
   prin offset 000db130 sens 83 schimba in eb
   prin offset 000db131 sens e8 schimba in 10
2. Pentru a remedia eroarea " Ordinea de sortare setată pentru baza de date diferă de cea de sistem!»:
   prin offset 0018a79d sens 75 schimba in eb
3. Pentru a remedia eroarea " Sintaxă incorectă lângă cuvântul cheie „TRANSACȚIE”»
   Fraza DUMP TRANZACȚIA %s CU TRUNCATE_ONLY, care se află la offset 002856B0înlocuiți cu o frază ALTERĂ BAZĂ DE DATE %s SETĂ RECUPERAREA SIMPLU
4. Pentru a remedia eroarea " Baza de date nu poate fi deschisă în modul utilizator unic", modificați câmpurile:
   prin offset 0028549c sens 64 schimba in 6b
   prin offset 0028549d sens 62 schimba in 70

După ce au fost făcute toate modificările, salvați fișierul făcând clic pe „ Fişier» — « Salvați» .

Te-a ajutat acest articol?