更新日期
- 2020年7月15日
工具介绍
- 官网:https://www.adlice.com/download/roguekillerpe/
- 其它名称:RogueKillerPE
- 官方描述:Adlice PEViewer(RogueKillerPE)是一款PE分析器软件,可在进行恶意软件分析时提供帮助。PEViewer能够检查磁盘上的文件或(正在运行的)过程存储器,并使用基于人工智能,第三方服务和内置启发式规则的各种模块对样本进行分类。
下载
setup.exe(安装程序32/64位)
APEV.exe(32位)
APEV.exe(64位)
APEV.bin(Linux-32位)
APEV.bin(Linux-64位)
安装版本32位劫持补丁密码:i8gumd5:0D5B6CB5D63B433A8FBB1CAE0CD8859B
安装版本64位劫持补丁密码:i8gumd5:E31609BE1A93F1E06F0B498FB541E497
用法案例
- 扫描文件
有几种不同的方法可以开始文件分析:
A. 将文件拖到 “加载”面板中。
B. (在第一次分析之后)在“结果”面板上拖动文件。
C. 使用“ -scan_target C: myfile.bin”命令启动软件。
D. 点击 “结果”面板中的“刷新”按钮(重新扫描文件)。![【PEtools】Adlice PEViewer]()
扫描文件并显示数据时,可以导航到“结果”面板并跟踪解析的进度。收集的数据在“ PE结构”部分中进行了说明。![【PEtools】Adlice PEViewer]()
- 扫描处理模块
要开始过程模块分析,您需要首先在“加载”面板中加载过程列表。![【PEtools】Adlice PEViewer]()
完成后,只需从列表中选择任何进程,然后从右侧面板中选择一个已加载的模块(DLL / EXE)。使用“加载”按钮确认您的选择。![【PEtools】Adlice PEViewer]()
对于文件分析,分析开始,PE数据显示在“结果”视图中。与经典文件分析相比,内存(过程)扫描具有多个附加层:
A. 内存选项卡:显示模块使用的所有内存页面。可以将其丢弃或检查。![【PEtools】Adlice PEViewer]()
B. RunPE比较:将内存中的PE结构与其在磁盘上的映像进行比较。结果以颜色语法显示(红色:不匹配,绿色:相等),因此很容易看到差异。![【PEtools】Adlice PEViewer]()
C. 常规选项卡显示过程信息。
D. 导入/导出选项卡显示可能的钩子,并允许检查代码的反汇编。 - PE结构
当Adlice PEViewer打开文件(或处理模块)时,它将开始解析PE结构数据并将其显示在几个选项卡中。大多数选项卡如下所述:
常规选项卡显示有关文件/过程,哈希和分数的信息。![【PEtools】Adlice PEViewer]()
图像选项卡显示Bin2Img表示形式,可以快速查看数据表示形式和多样性。![【PEtools】Adlice PEViewer]()
指标选项卡显示在信息解析期间发现的所有异常(或强烈提示)。它们会提示文件是恶意文件还是合法文件。![【PEtools】Adlice PEViewer]()
内存选项卡显示进程的页面。![【PEtools】Adlice PEViewer]()
十六进制选项卡显示数据的十六进制视图,并允许在其中搜索字符串。![【PEtools】Adlice PEViewer]()
MZ / PE标头视图显示原始PE数据![【PEtools】Adlice PEViewer]()
资源选项卡显示文件中的资源![【PEtools】Adlice PEViewer]()
版本信息/数字标签选项卡显示版本信息以及文件是否经过数字签名。![【PEtools】Adlice PEViewer]()
- 对比
对比是高级功能。它有助于根据需要比较相似的样本(同一家族)以找到常见的模式或差异。
在搜索通用模式时,可以使用它来制作可捕获两个文件的防病毒签名。
搜索差异时,可用于查找补丁位置。![【PEtools】Adlice PEViewer]()
靓图
关于Order By: 在SQL语言中,Order By语句主要用于对结果集进行排序。既然跟数据库交互有关,自然而然就会想到SQL注入的防护问题,第一时间想到的方案就是预编译了。但是采用预编译执行SQL语句传入的参数不能作为SQL语句的一部分,那么Order …
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论