Hex-Editoren vs. Malware: Wählen Sie einen Hexadezimal-Editor zum Analysieren von Binärdateien. Hex Editor Neo auf Russisch Also, was soll man wählen?

Nachdem er die Serie mit dem Artikel „Die besten Pentester-Tools“ abgeschlossen hatte, erhielt der Herausgeber viele Briefe mit der Bitte um eine Auswahl an Hex-Editoren. Das Interesse liegt natürlich nicht in der Möglichkeit, Binärdaten zu bearbeiten, sondern in zusätzlichen Funktionen wie der automatischen Erkennung von Datenstrukturen und der Code-Disassemblierung. Um einen Überblick zu geben, haben wir die Meinungen der Leute herausgefunden, die am häufigsten mit solchen Tools herumbasteln müssen – Virenanalysten. Und das haben sie uns erzählt.

Mit jedem Hex-Editor können Sie eine Datei auf niedriger Ebene untersuchen und ändern und dabei mit Bits und Bytes arbeiten. Der Inhalt der Datei wird im Hexadezimalformat dargestellt. Dies ist eine Grundfunktionalität. Einige Editoren bieten den Benutzern jedoch noch viel mehr und ermöglichen es ihnen, genau herauszufinden, was sich in dem unverständlichen Zeichensatz befindet, der beim Öffnen einer Datei angezeigt wird. Dazu werden ASCII- und Unicode-Strings automatisch extrahiert, bekannte Muster durchsucht, grundlegende Datenstrukturen erkannt und vieles mehr. Es gibt eine ganze Reihe hexadezimaler Editoren, aber wenn wir sie im Zusammenhang mit der Untersuchung von Malware-Beispielen betrachten, fällt es uns leicht, einige davon hervorzuheben. Nur wenige erweisen sich als wirklich nützlich für die Analyse von Schadcode und die Untersuchung infizierter Dokumente (z. B. PDF).

McAfee FileInsight

FileInsight ist ein kostenloser Hex-Editor für Windows von McAfee Labs. Das Produkt bietet selbstverständlich alle Standardfunktionen, die mit dieser Software einhergehen Benutzerfreundliches Bedienfeld zum Anzeigen und Bearbeiten von Dateien im Hexadezimal- und Textmodus. Aber das ist nur ein Tropfen auf den heißen Stein, wenn man die gesamte Funktionalität betrachtet. Es lohnt sich, mit der Tatsache zu beginnen, dass FileInsight in der Lage ist, die Struktur von ausführbaren Binärdateien für Windows (PE-Dateien) sowie von OLE-Objekten zu analysieren Microsoft Office. Darüber hinaus wird dem Benutzer ein integrierter x86-Disassembler angeboten. Wählen Sie einfach den Teil der Datei aus, den Sie als lesbaren Code anzeigen möchten, und FileInsight zeigt dieses Fragment als Liste der Montageanweisungen an. Der Disassembler ist besonders nützlich, wenn Sie in schädlichen Dateien nach Shellcode suchen. Zu den weiteren Optionen, die Umkehrer zu schätzen wissen, gehört die Möglichkeit, Strukturdeklarationen zu importieren. Dazu muss das Programm lediglich eine Header-Datei mit Deklarationen wie den folgenden angeben:

struct ANIHeader (
DWORD cbSizeOf; // Anzahl Bytes im AniHeader
DWORD cFrames; // Anzahl einzigartiger Symbole
DWORD cSteps; // Anzahl der Blits
};

In diesem Fall analysiert das Programm selbst solche Strukturen. Allerdings werden viele intuitive Algorithmen zur Codeverarbeitung standardmäßig angeboten. Wir sprechen zunächst über die Dekodierung vieler Verschleierungsmethoden (XOR, Add, Shift, Base64 usw.) – integrierte Skripte machen einen solchen Kryptoschutz zu einem Doppelschlag. Hierbei ist zu beachten, dass es sich bei dem Rechercheobjekt nicht zwangsläufig um eine Binärdatei handeln muss, es kann sich auch um eine gewöhnliche Webseite handeln, die Verdacht erregt. Mit dem Programm können Sie viele Aktionen mithilfe einfacher JavaScript-Skripte oder Python-Module automatisieren, von denen viele bereits geschrieben wurden. Leider hat FileInsight trotz all seiner Vorteile auch einen gravierenden Nachteil, nämlich die Unfähigkeit, große Dateien zu verarbeiten. Wenn Sie beispielsweise versuchen, dem Dienstprogramm eine Datei mit einer Größe von 400–500 MB zuzuführen, wird die Fehlermeldung „Dokument konnte nicht geöffnet werden“ angezeigt.

Hex-Editor Neo

Es gibt zwei Versionen dieses Hex-Editors von HDD Software – eine einfache kostenlose Version und eine erweiterte kommerzielle Version. Die Freeware-Option ist ein solider, aber unauffälliger HEX-Editor, der über eine coole, anpassbare Benutzeroberfläche mit Unterstützung für verschiedene Farbschemata verfügt. Nicht mehr. Aber die professionelle Version von Hex Editor Neo bietet mehrere nützliche Optionen, die bei der Analyse von Binärdateien äußerst nützlich sein können. Beispielsweise erhält der Benutzer die Möglichkeit, mit den gängigsten Algorithmen verschlüsselte Codes zu entschlüsseln. Darüber hinaus ist es möglich, lokale Ressourcen wie NTFS-Streams, lokale Festplatten, Prozessspeicher und RAM anzuzeigen und zu bearbeiten. In den meisten Vollversion Es gibt auch Unterstützung für eine Skriptsprache, sodass Sie viele Prozesse mithilfe von Skripten in VBScript und JavaScript automatisieren können. Aber das Beste daran ist, dass Ihnen ein integrierter Disassembler zur Verfügung steht, der mit x86-, x64- und .NET-Binärdateien funktioniert! Ein weiteres Merkmal - schnelle Erstellung Patches basierend auf einem Vergleich zweier Binärdateien. Klingt beeindruckend, aber ist es besser als FileInsight? Wahrscheinlich nicht. FileInsight sieht insgesamt funktionaler aus. Andererseits funktioniert jede, sogar die kostenlose Version von Hex Editor Neo auch mit sehr großen Dateien hervorragend und ermöglicht die Suche nach ASCII- und Unicode-Strings. Der Disassembler ist hier nicht nur auf die x86-Plattform beschränkt, und der integrierte Ressourceneditor ist sehr praktisch. Es gibt viel zu bedenken.

FlexHex

FlexHex ist ein leistungsstarker kommerzieller Hex-Editor von Heaventools Software, der viele der gleichen Funktionen wie Hex Editor Neo enthält. Das Einzige, was hier fehlt, ist vielleicht die Skriptunterstützung. Aber dieser Editor mit vollem Funktionsumfang verarbeitet Binärdateien, OLE-Dateien, physische Festplatten und alternative NTFS-Streams gleichermaßen gut. Letzteres ist besonders wichtig, da Sie mit FlexHex Daten bearbeiten können, die andere Redakteure möglicherweise nicht einmal sehen. Darüber hinaus spürt man sofort die Konzentration auf die Arbeit mit großen Informationsmengen: Unabhängig von der Größe der Datei erfolgt die Navigation durch die Datei ohne Verzögerungen oder Bremsen. Für noch mehr Komfort sorgt das System praktische Lesezeichen. Gleichzeitig führt FlexHex kontinuierlich einen Verlauf aller Vorgänge – Sie können jede Aktion abbrechen, indem Sie sie einfach aus der Änderungsliste auswählen (die Rückgängig-Liste ist nicht beschränkt)! FlexHex unterstützt alle notwendigen Operationen mit Binärdaten und sucht nach ASCII- und Unicode-Strings. Wenn Sie die Struktur im Voraus bearbeiten müssen bekanntes Format Das Einstellen der Parameter ist mit Spezialwerkzeugen nicht schwierig. Als Ergebnis erhalten wir einen hervorragenden Hex-Editor, der jedoch FileInsight immer noch deutlich unterlegen ist. Die einzige nennenswerte Möglichkeit ist die OLE-Dateiverarbeitung, allerdings gibt es auch hier Probleme. Beim Versuch, ein infiziertes OLE zu öffnen, stürzte das Programm mehrmals mit der Fehlermeldung „Die Dokumentdatei ist gewesen beschädigt".

010 Herausgeber

010 Editor ist ein bekanntes kommerzielles Produkt, das von SweetScape Software entwickelt wurde. Wenn wir es mit den vorherigen drei Tools vergleichen, kann es alles: Es unterstützt die Arbeit mit sehr großen Dateien, bietet coole Funktionen für die Arbeit mit Daten, ermöglicht die Bearbeitung lokaler Ressourcen und verfügt über ein Skriptsystem zur Automatisierung von Routineaktionen (mehr als 140). verschiedene Funktionen zu Ihren Diensten). Und 010 Editor hat auch eine Besonderheit, eine einzigartige Funktion. Der Editor kümmert sich um alles, dank der Möglichkeit, verschiedene Dateiformate mithilfe seiner eigenen Vorlagenbibliothek (den sogenannten Binärvorlagen) zu analysieren. Hier sucht er seinesgleichen. Viele Enthusiasten auf der ganzen Welt arbeiten an Vorlagen und erarbeiten verschiedene Formate und Datenstrukturen. Dadurch wird die Navigation durch verschiedene Dateiformate transparent und verständlich. Dies gilt auch für die Verarbeitung von Windows-Binärdateien (PE-Dateien), Windows-Verknüpfungsdateien (LNK), Zip-Archiven, Java-Klassendateien und vielem mehr. Viele Menschen konnten die Schönheit dieser Funktion erkennen, als der berühmte Sicherheitsspezialist Didier Stevens eine Vorlage zum Parsen von PDF-Dateien für den 010 Editor erstellte. Zusammen mit anderen Dienstprogrammen hat dies die Analyse infizierter PDF-Dokumente erheblich vereinfacht, die seit sechs Monaten immer wieder verblüffen, wie viele Orte das Leseprogramm ausnutzen kann. Wir fügen hier ein cooles Tool zum Vergleichen von Binärdateien, einen Rechner mit C-ähnlicher Syntax, zum Konvertieren von Daten zwischen ASCII-, EBCDIC- und Unicode-Formaten hinzu und erhalten ein sehr attraktives Tool mit einzigartigen Funktionen.

Ansicht

Hiew unterscheidet sich hinsichtlich der Vertriebsmethode nicht wesentlich von seinen Kollegen – es handelt sich ebenfalls um ein kommerzielles Produkt, das von unserem Landsmann Evgeny Suslikov entwickelt wurde. Das Programm hat eine lange Geschichte und ist bei vielen Spezialisten sehr beliebt Informationssicherheit. Dafür gibt es ganz offensichtliche Gründe – leistungsstarke Funktionen zum Recherchieren und Bearbeiten der Struktur und des Inhalts von ausführbaren Dateien sowohl von Windows (PE) als auch von Binärdateien für Linux (ELF). Eine weitere sehr nützliche Funktion für Reverse Engineering ist der integrierte x86-64-Assembler und -Disassembler. Letzterer unterstützt sogar ARM-Anweisungen. Selbstverständlich verarbeitet der Editor große Dateien perfekt und ermöglicht Ihnen die Bearbeitung logischer und physischer Laufwerke. Viele Aufgaben lassen sich leicht über ein System aus Tastaturmakros, Skripten und sogar einer API zur Entwicklung von Erweiterungen (Hiew Extrenal Modules) automatisieren. Aber bevor Sie sich in die Schlacht stürzen, bedenken Sie, dass es sich bei der Hiew-Oberfläche um ein DOS-ähnliches Fenster handelt, mit dem Sie ziemlich unpraktisch arbeiten können, wenn Sie nicht daran gewöhnt sind. Aber Sie können den ganzen Charme der alten Schule erleben.

Radar

Radare ist ein Set kostenlose Dienstprogramme für die Unix-Plattform, die coole Funktionen zum Bearbeiten von Dateien im HEX-Modus bieten. Es enthält den Hex-Editor selbst (Radare) mit der Möglichkeit, lokale und zu öffnen gelöschte Dateien. Das Programm analysiert ausführbare Dateien verschiedener Formate, sowohl Linux (ELF) als auch Windows (PE). Zusätzlich zur Bearbeitung enthält das Radare-Paket ein Tool zum Vergleichen von Binärdateien (Radiff) und einen integrierten Assembler/Disassembler. Und mir persönlich hat sich ein Tool zum Generieren von Shellcodes (rasc) ein paar Mal als nützlich erwiesen. Alle Vorgänge können mithilfe eines Skriptsystems einfach automatisiert und angepasst werden. Von den Minuspunkten können wir wiederum das Fehlen einer GUI-Schnittstelle feststellen – alle Aktionen werden von dort aus ausgeführt Befehlszeile, aber Sie können mit den Dienstprogrammen erst dann vollständig arbeiten, wenn Sie die Dokumentation gelesen haben. Andererseits verfügt die Website über visuelle Screencasts, die sowohl die Hauptpunkte als auch kleine Geheimnisse (wie das Anschließen eines Python-Plugins) demonstrieren.

Was sollten Sie also wählen?

Wir haben mehrere leistungsstarke Hex-Editoren getestet, die nützliche Analyseoptionen enthalten verdächtige Dateien. Von allen Produkten sticht FileInsight hervor, das trotz aller Funktionalität (und die wirklich beeindruckend ist) kostenlos bleibt. Der 010 Editor bietet eine große Anzahl an Vorlagen für die Bearbeitung verschiedenster Dateien, darunter auch PDF-Dokumente. Dies ist ein Mega-Feature, das nicht vernachlässigt werden sollte. Ich verwende diese beiden Editoren ständig; Für die Arbeit eines Analytikers sind sie vielleicht am besten geeignet. Wenn wir über die Arbeit unter der Unix-Plattform sprechen, dürfen wir Radare natürlich nicht vergessen. Das Paket bietet sehr leistungsstarke Funktionen, ist jedoch aufgrund der Tatsache, dass es über die Befehlszeile ausgeführt wird, schwierig zu verwenden. Hiew ist auch nicht sehr benutzerfreundlich, obwohl seine Fähigkeiten es Ihnen sicherlich ermöglichen, eine Vielzahl von Operationen mit Binärdateien durchzuführen. Darüber hinaus ist Hiew die Wahl vieler echter Profis, und das ist viel wert (und bedeutet viel). Der Hex Editor Neo lohnt sich, wenn Sie an der Möglichkeit interessiert sind, x86-, x64- und .NET-Code zu zerlegen.

Hex Editor Neo ist eine kostenlose Version eines Hexadezimal- und Binärdateieditors, mit dem große Objekte bearbeitet werden können. Ermöglicht das mehrfache Rückgängigmachen/Wiederholen nach der Bearbeitung. Darüber hinaus eingebaut praktische Werkzeuge Suchen und Ersetzen von Daten.

Hex Editor Neo verfügt über Funktionen zum Hervorheben, Anzeigen, Bearbeiten, Ersetzen, Debuggen und Analysieren von Daten. Eine wichtige Eigenschaft des Programms ist die Möglichkeit, mehrere Dateien gleichzeitig zu öffnen (Tab-Unterstützung). Mit dem Editor können Sie beispielsweise mit zwei Klicks Patches an einer Datei vornehmen.

Manipulieren Sie Ihre EXE-, DLL-, DAT-, AVI-, MP3-, JPG-Dateien mit unbegrenzten Rückgängig-/Wiederherstellen-Funktionen (Undo/Redo). Der Verlauf der geleisteten Arbeit wird in Baumform angezeigt; Sie können jederzeit problemlos zum gewünschten oder ursprünglichen Datentyp zurückkehren.

Funktionen von Hex Editor Neo

• Bearbeiten Sie Binärdateien jeder Größe mit höchster Geschwindigkeit
• Suchen und ersetzen Sie Daten in Binärdateien
• Schreiben von Mikrocode-Programmen
• Studieren Funktionalität jede ausführbare Datei

Wie Windows Notepad. Darüber hinaus, wenn Sie die Binärdatei öffnen Texteditor und auf der Festplatte speichern, ist eine solche Datei in den meisten Fällen beschädigt und kann nicht ausgeführt werden. Um korrekte Bearbeitungen vorzunehmen, müssen Sie Hexadezimaleditoren (Hex) verwenden, die manchmal auch als Binäreditoren bezeichnet werden.

Am meisten normale Benutzer, ist es unwahrscheinlich, dass es irgendwelche Aufgaben oder Notwendigkeiten gibt, Hexadezimaleditoren zu verwenden. Für technisch versierte Benutzer können solche Editoren jedoch unverzichtbare Werkzeuge sein.

Notiz: Fakt ist, aber früher musste man den Binärcode anpassen, um Standardinstallationsprogramme für asp.net 1.1 zu bearbeiten. Zum Beispiel, um eines der Steuerelemente zu einem Passwort-Eingabefeld zu machen.

IN diese Rezension Wir haben einige der besten kostenlosen Hex-Editoren für unterschiedliche Anforderungen zusammengestellt.

Rezension der kostenlosen Hex-Editoren

Es gibt mehrere hervorragende kostenlose Hex-Editoren, von kleinen und einfachen bis hin zu komplexen Produkten, die mit kommerziellen Lösungen vergleichbar sind. Allerdings gehört die Kategorie Hex-Editor zu den Kategorien, in denen persönliche Bedürfnisse und Vorlieben so wichtig sind, dass ein Produktvergleich nicht nur schwierig, sondern auch sinnlos ist. Daher sollten Sie nicht davon ausgehen, dass die Produkte in absteigender Reihenfolge angeordnet sind.

HxD ist ein ausgezeichneter Hexadezimal-Hex-Editor

Einer von beste Dienstprogramme zum Bearbeiten Binärcode Ist . Erstens ist das Programm portabel und erfordert keine Installation, was besonders wichtig ist, wenn Sie häufig ausführbare Dateien bearbeiten müssen. Zweitens hat es eine schöne Benutzeroberfläche. Drittens verarbeitet HxD große Dateien ohne Verzögerungen oder Einfrieren des Bildschirms. Hinzu kommt die Möglichkeit eines unbegrenzten Bearbeitungsverlaufs. schnelle Suche und Ersetzungen, Vergleich von Binärdateien, volle Unterstützung für ANSI, DOS/IBM-ASCII und EBCDIC. Und noch ein Dutzend weitere Möglichkeiten, von denen einige im Folgenden aufgeführt werden. Mit HxD können Sie auch nicht nur die Disc bearbeiten, sondern auch RAM. Tatsächlich machen diese Fähigkeiten das Programm zu einem gefährlichen Spielzeug für unerfahrene Benutzer. Darüber hinaus reagieren Sicherheitsanwendungen möglicherweise auf die gleiche Weise auf ihre Aktionen. Erfahrene Benutzer verstehen jedoch, dass dies aufgrund der Besonderheiten des Datenzugriffs und der Verwendung potenziell gefährlicher Funktionen geschieht.

Insgesamt eignet sich HxD hervorragend für diejenigen, die häufig mit verschiedenen Binärcodes arbeiten.

Weitere Merkmale und Eigenschaften:

• Sicherer Zugriff auf Dateien, die andere Programme verwenden
• Prüfsummengenerator: Prüfsumme, CRCs, benutzerdefinierter CRC, SHA-1, SHA-512, MD5, ...
• Exportieren Sie Daten in verschiedene Formate
• Codevorlagen einfügen
• Möglichkeit zum sicheren Löschen von Dateien.
• Dateien aufteilen oder zusammenführen
• Verschiedene Arten von Gruppierungen in Spalten (1,2,4,8,16 Byte)
• Geänderte Daten hervorheben
• Springen Sie schnell zu einer Adresse
• Unterstützung für das Kopieren von Zwischenablagedaten aus anderen Programmen: Visual Studio/Visual C++, WinHex, HexWorkshop, ...
• Lesezeichen
• Und vieles mehr...

Der Hex-Editor Hexplorer ist ein Analogon von HxD mit der Möglichkeit, Bilder bei der Analyse der Steganographie anzuzeigen

Ein weiterer großartiger Hex-Editor ist Open Source Quellcode. Das Programm verfügt über eine Reihe einzigartiger Funktionen, die es auch zu einem leistungsstarken binären Bildeditor machen. Das bedeutet, dass Sie alle Grafikdateien nicht nur unter dem Gesichtspunkt ihrer visuellen Darstellung, sondern auch unter dem Gesichtspunkt ihres Binärcodes betrachten können. Natürlich ist es schwer vorstellbar, Bilder im Hexadezimalformat zu bearbeiten Alltagsleben. Es kann jedoch für Zwecke wie die Steganographie verwendet werden.

Insgesamt eignet sich Hexplorer nicht nur für diejenigen, die häufig Binärcode bearbeiten, sondern auch für diejenigen, die nicht standardmäßige Methoden zur Verwendung von Binärcode verwenden.

Hauptmerkmale und Eigenschaften:

• Sechs Farbschemata der Benutzeroberfläche für verschiedene Aufgaben.
• Unbegrenzter Befehlsverlauf
• x86-Disassembler
• Import und Export in 20 verschiedene Binärdateiformate, darunter Intel Hex, Motorola S-Record, Atmel-Standard usw.
• Fähigkeit, wiederkehrende Muster in Daten zu finden
• Bilder ansehen
• Text aus Binärdaten filtern
• Boyer-Moore-Suchalgorithmus
• Schnelle Navigation zu Adressen
• Ermöglicht das Erstellen von Strukturen einfache Typen Daten wie Ganzzahlen oder Gleitkommazahlen
• Pseudozufallszahlengenerator
• Ermöglicht die Aufzeichnung von Makros (Skripten) zur Automatisierung von Aufgaben

Andere Hex-Editoren

Es gibt andere Hex-Editoren, die ebenfalls Beachtung verdienen und möglicherweise nützlich sind.

Hexadezimal-Editor XVI32 einfach und bequem

XVI32 ist ein kostenloser Hexadezimaleditor, dessen Name von der römischen Zahl XVI (16) abgeleitet ist.

• Unterstützt Skripte zur Automatisierung von Aufgaben.
• Suche nach Muster
• ASCII/ANSI
• Zeichenkonvertierung basierend auf Benutzerdefinitionen
• Einzelne Blöcke in eine Datei schreiben
• Und andere Möglichkeiten...

• Shops Datei öffnen im Speicher, so dass es bei großen Dateien zu Problemen kommen wird.
• Daher gibt es keinen Befehlsverlauf. Das bedeutet, dass alle von Ihnen vorgenommenen Änderungen „so wie sie sind“ vorgenommen werden und Sie sie aufschreiben oder sich daran erinnern müssen.

Unterstützt Windows 9x/NT/2000/XP/Vista/7

Hex-Editor HexEdit mit einem speziellen Rechner

HexEdit ist ein weiterer kostenloser Binäreditor von MiTeC.

• Keine Installation erforderlich (tragbar)
• RAM- und Festplatteneditor
• Spezialrechner
• Kann Dateien vergleichen
• Kann Daten vom RAM auf die Festplatte sichern (Dump erstellen)
• Und andere...

• Speichert geöffnete Dateien im Speicher

Unterstützt Windows 2000 – Windows 7

Cygnus Kostenloser einfacher Hex-Editor

Cygnus Free ist ein kostenloser Hex-Editor, der eine der älteren Versionen des kommerziellen Editors ist. Daher ist die Funktionalität eingeschränkt.

• Schnell und einfach zu bedienen
• Schnelles Suchen und Ersetzen
• Ziehen und loslassen
• Und andere Möglichkeiten...

• Speichert eine geöffnete Datei im RAM mit allen daraus resultierenden Problemen
• Technischer Support von Freie Version Nein
• Auf Funktionalität getrimmt

Unterstützt Windows

Kurzanleitung zur Auswahl (Links zum Herunterladen kostenloser Hex-Editoren)

HxD

Hexplorer

Ein HEX-Editor ist ein Programm, das Informationen so anzeigen kann, wie der Computer sie „sieht“, sie jedoch in Hexadezimalzahlen umwandelt. Beim Öffnen einer beliebigen Datei in einer solchen Anwendung sieht der Benutzer eine Matrix bestehend aus Spalten und Zeilen, deren Anzahl von der Größe der betreffenden Datei abhängt. Wenn Sie also die Bytewerte im Editor ändern, ändert sich auch der Inhalt des geöffneten Dokuments.

Eine kleine Theorie

Alle Daten werden im PC-Speicher in Form von Maschinenwörtern, andernfalls in Bytes, abgelegt. Jedes enthält 8 Bits (Binärziffern, die entweder den Wert „0“ oder „1“ annehmen). Durch mathematische Berechnungen können Sie verstehen, dass ein Byte eine Zahl im Bereich von 0 bis 255 enthalten kann. Wenn Sie 255 in Hexadezimal umwandeln, wird es in FF umgewandelt. Das heißt, um jedes Maschinenwort anzuzeigen, ist es sehr praktisch, die hexadezimale Darstellung zu verwenden. Daher der Name der Programmgruppe – Hexadezimaleditor.

Grundelemente von Programmen

Zusätzlich zu der oben beschriebenen Matrix kann die Schnittstelle der vorgestellten Anwendungsgruppe weitere Tools enthalten:

• Zeilennummerierung. Befindet sich normalerweise auf der linken Seite der Anwendung. Zeigt den Offset des ersten Bytes der Zeile relativ zum Anfang der Datei an.
• Oben befindet sich häufig ein ähnlicher Zahlenstreifen, der den Byte-Offset des relativen linken Werts in der Zeile angibt. Durch Addieren der Werte der Zeichenfolgen erhalten Sie die Anzahl jedes Bytes.
• Im rechten Bereich können dieselben Daten wie in der Tabelle angezeigt werden, jedoch als Text für den Benutzer.

McAfee FileInsight

Dieser HEX-Editor ist völlig kostenlos. Funktioniert nur in Betriebssysteme Windows-Familie. Das Produkt erfüllt alle Anforderungen eines Gentlemans, wie z. B. das Anzeigen und Bearbeiten einer Datei. Gleichzeitig verfügt das Programm über eine angenehme und benutzerfreundliche Oberfläche.

Die Standardfunktionen sind jedoch das Minimum, für das FileInsight verwendet werden kann. Was ist das Maximum? Wir müssen mit der Fähigkeit beginnen, die Strukturen ausführbarer Dateien zu analysieren. Das ist wenig? Jedes ausgewählte Fragment kann im Handumdrehen zerlegt werden. Ein Klick – und aus unverständlichen Zahlen wird eine lesbare Auflistung.

Dieser HEX-Editor bietet unter anderem viele Codeverarbeitungsalgorithmen, um den von Entwicklern eingebauten Schutz zu umgehen. Zunächst müssen Sie auf die Dekodierung von Verschleierungsmethoden wie Add, Xor, Base64 und Shift achten. Die Skripte, mit denen die Anwendung geliefert wird, durchbrechen diesen kryptografischen Schutz problemlos. Die meisten Aktionen können durch das Schreiben einfacher Skripte in JS oder Python automatisiert werden. Manchmal besteht keine Notwendigkeit, etwas Neues zu schaffen, da die Basis davon beeindruckend gesammelt wurde.

Obwohl FileInsight als eines der gilt die besten Werkzeuge Für das Reverse Engineering hat das Programm auch einen großen Nachteil – die Unfähigkeit, Dateien mit mehr als 400 MB zu verarbeiten.

Hex-Editor Neo

Dieser HEX-Editor ist in zwei Versionen erhältlich: kostenlos und erweitert. Ein Produkt mit einer Freeware-Lizenz ist hochwertig, aber unauffällig. Zu den Funktionen gehören umfangreiche Schnittstelleneinstellungen und Farbschemata. Die professionelle Version bietet weitere nützliche Funktionen, die besonders bei der Analyse relevant sind

So erhält der Nutzer beispielsweise die Möglichkeit, Programme verschlüsselt zu entschlüsseln Allgemeine Algorithmen. Darüber hinaus gibt es Funktionen, mit denen Sie lokale Ressourcen (RAM, NTFS-Streams, Festplatten). Die Prozessautomatisierung wird mithilfe von VBS- und JS-Skripten implementiert.

Das wichtigste Feature des Programms ist jedoch sein Disassembler, der mit x64-, x86- und .NET-Dateien arbeiten kann. Eine weitere Funktion, die von Mitbewerbern nicht bereitgestellt wird, ist die Erstellung eines Patches, der auf einem Vergleich zweier ausführbarer Binärdateien basiert. Es ist sicherlich beeindruckend, aber im Vergleich zu FileInsight bleibt Neo immer noch hinter den Erwartungen zurück. Allerdings kann NEO große Dateien verarbeiten.

Ansicht

Für den HEX-Editor von Hiew gibt es keine kostenlose Version. Die Entwicklung übernimmt ein Team aus Russland. Die Geschichte des Produkts reicht bis in die Zeit der 16-Bit-Anwendungen für DOS und Windows 3.1 zurück. Hiew wird häufig von Fachleuten verwendet, die sich mit Fragen der Computer- und Informationssicherheit befassen. Die Gründe liegen auf der Hand: die volle Bandbreite an Möglichkeiten zum Bearbeiten und Anzeigen ausführbarer Binärdateien Windows-Dateien, sowie zusammengestellt Linux-Programme(ELF).

Eine weitere bemerkenswerte Funktion, die beim Reverse Engineering hilft, ist der integrierte Disassembler und Assembler von Hiew. Darüber hinaus funktionieren sie sowohl mit x86- als auch mit x86_64-Anwendungen, Prozessoranweisungen werden ebenfalls unterstützt. Der Editor kommt problemlos mit großen Dateien zurecht und ermöglicht die Durchführung von Datenänderungen auf niedriger Ebene auf physischen Festplatten.

Eine Vielzahl von Aktionen kann automatisiert werden. Zu diesem Zweck haben Programmierer die Möglichkeit eingebaut, Skripte, Tastaturmakros und API-Funktionen zu erstellen, die zum Aufrufen interner Prozeduren verwendet werden Externe Anwendungen. Einen bedingungslosen Sieg auf dem Gebiet der Hexadezimaleditoren konnte Hiew jedoch noch nicht erringen. Die Benutzeroberfläche ist vollständig im DOS-Stil gestaltet und die Fenster werden gerendert (oder die Konsole, wenn wir über Linux-Systeme sprechen).

Guten Tag allerseits.

Aus irgendeinem Grund glauben viele Leute, dass die Arbeit mit Hex-Editoren die Domäne von Profis ist und dass Anfänger sie nicht ausprobieren sollten. Aber meiner Meinung nach, wenn Sie zumindest über grundlegende PC-Kenntnisse verfügen und eine Vorstellung davon haben, warum Sie einen Hex-Editor benötigen, warum dann nicht?!

Mit einem solchen Programm können Sie jede Datei unabhängig von ihrem Typ ändern (viele Handbücher und Anleitungen enthalten Informationen zum Ändern einer bestimmten Datei mit einem Hex-Editor)! Zwar muss der Benutzer zumindest über grundlegende Kenntnisse des Hexadezimalsystems verfügen (Daten im Hex-Editor werden darin präzise dargestellt). Grundkenntnisse dazu werden jedoch im Informatikunterricht in der Schule vermittelt, und wahrscheinlich haben viele davon gehört und haben eine Idee davon (daher werde ich in diesem Artikel nicht darauf eingehen). Hier sind die besten Hex-Editoren für Anfänger (meiner bescheidenen Meinung nach).

1) Kostenloser Hex-Editor Neo

Einer der einfachsten und gebräuchlichsten Editoren für Hexadezimal-, Dezimal- und Binärdateien für Windows. Mit dem Programm können Sie jede Art von Datei öffnen, Änderungen vornehmen (der Änderungsverlauf wird gespeichert), eine Datei bequem auswählen und bearbeiten sowie debuggen und analysieren.

Erwähnenswert ist auch ein sehr gutes Leistungsniveau bei gleichzeitig geringem System Anforderungen an die Maschine (mit dem Programm können Sie beispielsweise ziemlich große Dateien öffnen und bearbeiten, während andere Editoren einfach einfrieren und die Arbeit verweigern).

Das Programm unterstützt unter anderem die russische Sprache und verfügt über eine durchdachte und intuitive Benutzeroberfläche. Selbst ein unerfahrener Benutzer kann es herausfinden und mit dem Dienstprogramm arbeiten. Im Allgemeinen empfehle ich es jedem, der sich mit Hex-Editoren vertraut macht.

2) WinHex

Dieser Editor ist leider Shareware, aber er ist einer der vielseitigsten und unterstützt eine Reihe verschiedener Optionen und Funktionen (von denen einige bei der Konkurrenz schwer zu finden sind).

Im Disk-Editor-Modus können Sie mit Festplatten, Disketten, Flash-Laufwerken, DVDs, ZIP-Disketten usw. arbeiten. Unterstützt Dateisysteme: NTFS, FAT16, FAT32, CDFS.

Ich kann nicht umhin, die praktischen Tools zur Analyse zu erwähnen: Neben dem Hauptfenster können Sie weitere mit verschiedenen Rechnern, Tools zum Durchsuchen und Analysieren der Dateistruktur verbinden. Im Allgemeinen ist es sowohl für Anfänger als auch für erfahrene Benutzer geeignet. Das Programm unterstützt die russische Sprache ( Wählen Sie das folgende Menü: Hilfe / Setup / Russisch ).

WinHex bietet zusätzlich zu seinen gebräuchlichsten Funktionen (die Folgendes unterstützen). ähnliche Programme), ermöglicht es Ihnen, Festplatten zu „klonen“ und Informationen von ihnen zu löschen, sodass niemand sie jemals wiederherstellen kann!

3) HxD-Hex-Editor

Ein kostenloser und recht leistungsstarker Editor für Binärdateien. Unterstützt alle gängigen Kodierungen (ANSI, DOS/IBM-ASCII und EBCDIC), Dateien nahezu jeder Größe (übrigens ermöglicht der Editor neben Dateien auch die Bearbeitung von RAM und das direkte Schreiben von Änderungen auf die Festplatte!).

Beachten Sie auch die durchdachte, komfortable und komfortable Benutzeroberfläche einfache Funktion Datensuche und -ersetzung, schrittweises und mehrstufiges System Sicherungskopien und Rückschläge.

Nach dem Start besteht das Programm aus zwei Fenstern: links Hexadezimalcode und rechts werden die Textübersetzung und der Inhalt der Datei angezeigt.

Unter den Minuspunkten möchte ich das Fehlen der russischen Sprache hervorheben. Allerdings werden viele Funktionen auch für diejenigen klar sein, die noch nie Englisch gelernt haben ...

4) HexCmp

HexCmp – dieses kleine Dienstprogramm kombiniert zwei Programme gleichzeitig: Das erste ermöglicht den Vergleich von Binärdateien miteinander und das zweite ist ein Hex-Editor. Dies ist eine sehr wertvolle Option, wenn Sie Unterschiede finden müssen verschiedene Dateien, hilft am meisten, die verschiedenen Strukturen zu erkunden verschiedene Typen Dateien.

Übrigens können Orte nach dem Vergleich in unterschiedlichen Farben eingefärbt werden, je nachdem, wo alles übereinstimmt und wo die Daten unterschiedlich sind. Der Vergleich erfolgt spontan und sehr schnell. Das Programm unterstützt Dateien, deren Größe 4 GB nicht überschreitet (genug für die meisten Aufgaben).

Neben dem üblichen Vergleich können Sie auch in Textform vergleichen (oder sogar beides gleichzeitig!). Das Programm ist sehr flexibel, es ermöglicht Ihnen, das Farbschema anzupassen und Verknüpfungsschaltflächen festzulegen. Wenn Sie das Programm entsprechend konfigurieren, können Sie damit ganz ohne Maus arbeiten! Im Allgemeinen empfehle ich allen unerfahrenen „Prüfern“ von Hex-Editoren und Dateistrukturen, es zu lesen.

5) Hex-Workshop

Hex Workshop ist ein einfacher und komfortabler Binärdatei-Editor, der sich vor allem durch flexible Einstellungen und geringe Systemanforderungen auszeichnet. Dank dessen kann es problemlos zum Bearbeiten verwendet werden große Dateien, die sich einfach nicht in anderen Editoren öffnen lassen oder einfrieren.

Das Arsenal des Herausgebers hat das meiste benötigte Funktionen: Bearbeiten, Suchen und Ersetzen, Kopieren, Einfügen usw. Im Programm können Sie Folgendes ausführen logische Operationen, einen binären Vergleich von Dateien durchführen, verschiedene Dateiprüfsummen anzeigen und generieren, Daten exportieren Beliebte Formate: RTF und HTML.

Der Editor verfügt außerdem über einen Konverter zwischen binären, binären und hexadezimalen Systemen. Im Allgemeinen ein gutes Arsenal für einen Hex-Editor. Der einzige Nachteil ist vielleicht, dass es sich bei dem Programm um Shareware handelt ...