網際論壇 - Powered by Discuz! Board

標題: [病毒分析] File Format Identifier V1.2 [打印本頁]

作者: yoyo007 時間: 2007-12-31 12:42 AM 標題: [病毒分析] File Format Identifier V1.2

[軟體名稱] File Format Identifier V1.2
[軟體語言] 繁體中文
[檔案大小] 888 KB、80.9 KB、64.2 KB
[官方站台] http://www.dswlab.com/
[存放空間] HTTP
[軟體簡介] 免安裝

  Quote:

  Quote:
2007-12-31 - Updated ...

‧測試外部殼簽名庫 ( userdb.txt ) 有問題，請下載 [userdb] 載點
　內的檔案取代 FFI 目錄下的 [userdb.txt]，否則無法掃瞄辨識。

FFI 整合了 PE 編輯、脫殼 (相當於 VMUnpacker V1.4 引擎) 和偵殼 ...等功能，推薦一下；中文化說明：

1. 中文化的非標準資源僅處理了 VA，其餘未多加檢視和調整；字串基本夠用。

2. 部分字串保留不譯，如：Original First Thunk、Forwarder Chain、First Thunk ...等等。

3. 程式的詳細功能請查閱 [軟體說明.txt]。

4. [圖 1.gif] 為預覽圖；按 [ 1 ] 按鈕可開啟 [區段編輯器]，如 [圖 2.gif]；按 [ 2 ] 按鈕可查閱編輯 PE 的詳細資訊和數值，如 [圖 3.gif]。

5. 相容 PEiD 外掛，用法如下：

(1). 將 PEiD 外掛放置於 [plugins] 目錄下。
(2). 開啟 FF1 → [選項] → 勾選 [載入外掛] 即可。

6. FFI 使用的 [userdb.txt] 跟 PEiD 使用的 [userdb.txt] 相容，如果您有製作或收集簽名的習慣，可以把 [userdb.txt] 整合一下，以增強對殼的偵測；若沒有製作或收集簽名的習慣，可以改用 FFI 的 [userdb.txt]。

7. 承上，建議整合其它 PE 相關工具 ( PEiD、DiE、Exeinfo PE、Stud_PE、LordPE、PE Tools ...等等 ) 和除錯器、反組譯工具 ( OllyDBG、IDA ...等等 )，方便呼叫使用且也補足 FFI 功能不足之處 ( 殼偵測工具可以將簽名分開來用 )。

‧按 [選項] → [管理工具] → 右鍵 [加入]。

8. FFI 執行後會檢查並自動更新目錄下的 [ffi.info]，這一部分已不讓它取代，因此目錄下會產生一個 [ffi.info_new] 檔案，沒什麼影響，如果您想查閱這些更新資訊，將 [ffi.info] 刪除即可。

  Quote:
如果常常按到 FFI 程式介面底下的廣告橫幅，覺得不方便，可以下載底下那個 [Patch] 載點，把 [delads.exe] 複製到 FFI 的目錄下執行 → 按 [修補] 即可使橫幅失去作用；若要恢復原來的介面，按 [還原] 即可。

基於尊重及感謝 DSW LABS 撰寫此程式的勞動，故將此 Patch 獨立出來，不封裝進壓縮檔，修補與否，交由使用者自行決定。

9. 檔案來源由 khiav 兄提供，特此致謝。

若有翻譯謬誤請不吝指正，謝謝；Enjoy !!

以下介紹引自 [軟體說明]：

  Quote:
一、偵殼功能：

支援檔案拖拽，目錄拖拽，可設定右鍵對檔案和目錄的偵殼功能，除了 FFI 自帶殼庫 unpack.avd 外，還可以使用外部殼庫 (必須命名為 userdb.txt，此殼庫格式相容 PEID 殼庫格式，可以把自己收集的 userdb.txt 放入增強殼偵測功能)。

註：如果是使用擴充殼庫裡的特徵所查出來的殼，在殼資訊後面會有 * 標誌。

二、脫殼功能：

如果在偵殼後，Unpack 按鈕可用，則表示可以對當前處理檔案進行脫殼處理，採用虛擬機脫殼技術，您不必擔心當前處理檔案可能危害系統。

三、PE 編輯功能：

本程式主介面可顯示被檢查的程式的入口點/入口點實體偏移，區段等資訊，並且提供強大的編輯功能。其中 PE Section 後按鈕可以編輯當前檔案的區段，按下後出現 Sections Editor 視窗。

　　主要功能有：

　　‧顯示詳細的區段資訊
　　‧可檢視編輯區段名稱、大小、執行屬性等相關資訊。
　　‧清除選定的區段名稱
　　‧對區段進行自動修復
　　‧從磁碟載入區段
　　‧儲存區段到磁碟
　　‧增加一個新的區段
　　‧從檔案中刪除區段
　　‧從 PE 頭部中刪除區段 (區段內容實質還在)
　　‧用指定的資料填充區段

SubSystem 後按鈕可以顯示 PE 檔案的詳細資訊，支援詳細編輯 PE 檔案的 Dos 頭部，NT 頭部等資訊，支援檢視 PE 檔案的輸出表、輸入表資訊，本項目功能太細緻具體請參考介面。

四、額外資料偵測：

可掃描應用程式是否包含附加資料，並提供了附加資料詳細的起始位置和大小，可以用 Del Overlay 按鈕和 Save Overlay 按鈕進行相應的處理。

五、支援 PEid 外掛：

按 Options 按鈕選擇 Load Plugins 就可以使用 PEid 的外掛功能，無需重啟 FFI，外掛必須放於 plugins 目錄下，然後按 Plugin>> 就可看到相應的外掛資訊。

六、ReBuild PE 功能：

本功能主要是用來對脫殼後的 PE 檔案進行修復，一般可用來解決脫殼後無法重新加殼等問題，使用 ReguildPE 按鈕即可完成此功能。

七、第三方工具支援：

在 Options 按鈕中，按 Manage Tools 按鈕，可以用右鍵功能表加入/刪除 IDA/OllyDBG 等第三方工具，這樣就可以直接在 FFI 裡啟動 OllyDBG、IDA 這些工具來開啟當前檔案進行反匯編。

註：加入第三方工具後，按 Plugin>> 按鈕就可以看到您所加入的工具資訊了，按下即可用此工具開啟當前處理檔案。

FFI 下載：

userdb 下載：

Patch 下載：

請按 [Copy to clipboard] 複製解壓碼：

CODE: [Copy to clipboard]

PS. 請注意：

如軟體需特殊文件，而您只下不回的話，那不好意思，即使您 PM 向我詢問，我也會學您當個潛水者，不予回應，請別怪我，這本是禮尚往來，大家互相，所以，敬請各位大大保持論壇的良好風氣，養成有下有回的網路禮儀，謝謝您的配合 !!

[ Last edited by yoyo007 on 2008-1-3 at 01:48 AM ]

作者: osk 時間: 2007-12-31 12:52 AM
怎麼標題寫著:標題: [病毒分析] File Format Identifier V1.2
而內容是中文化工具?
病毒分析應不與中文化工具畫上等號吧!
有點霧殺殺..
下載看看..
感謝版兄無私分享 ^^

作者: yoyo007 時間: 2007-12-31 01:09 AM

Quote:

Originally posted by osk at 2007-12-31 00:52:
怎麼標題寫著:標題: [病毒分析] File Format Identifier V1.2
而內容是中文化工具?
病毒分析應不與中文化工具畫上等號吧!
有點霧殺殺..
下載看看..
感謝版兄無私分享 ^^

偵殼、脫殼以及 PE 編輯，跟中文化和病毒分析都有關聯，但用於病毒分析的範圍較寬廣；這個軟體我推薦，因為它的管理工具功能實在太方便了。

作者: osk 時間: 2007-12-31 01:12 AM
喔...了解~
先下載保存.有空再慢慢分析.與了解~
乾溫 ^^

作者: xp20060726 時間: 2007-12-31 01:13 AM 標題: 感謝您提出的分享!

版兄很細心耶! 除了中文化軟體之外,還將中文化經驗傳授分享,
內容細節以圖示說明,讓後進感恩不已,也蒙利不少,
這款軟體能把病毒一一分析清楚,下載研究看看!!

感謝版兄的分享!!!

作者: yoyo007 時間: 2007-12-31 01:26 AM

Quote:

Originally posted by xp20060726 at 2007-12-31 01:13:

這款軟體能把病毒一一分析清楚,下載研究看看!!

嚴格來說，算是分析輔助，用於前置作業比較多，深入分析還是需要專業的除錯/分析工具才行；雖然功能上仍有不足，但已經很優秀了。

作者: yoyo007 時間: 2007-12-31 08:17 AM
2007-12-31 - Updated ...

‧測試外部殼簽名庫 ( userdb.txt ) 有問題，請下載 [userdb] 載點
　內的檔案取代 FFI 目錄下的 [userdb.txt]，否則無法掃瞄辨識。

khiav 兄大概是用 PEiD Signature Tool 整理的吧 !?

作者: a2213572 時間: 2007-12-31 08:38 AM
功能好強大.
感謝大大分享,下載研究!

作者: tsjking 時間: 2007-12-31 02:13 PM
到原創公司看了下說明,此工具是一款輔助進行病毒分析的工具，它包括各
種文件格式識別功能，使用超級巡警的格式識別引擎部分代碼，集查殼、PE
文件編輯、MD5計算以及快捷的第三方工具利用等功能，適合病毒分析中
對一些病毒木馬樣本進行系統處理。
看起來這個工具的功能還真是符合多工處理,先下來研究看看了,也許可以
對下載的檔案有預防作用,謝謝yoyo大中文化及分享

作者: kcl0801 時間: 2007-12-31 06:35 PM
感謝大大的用心分享

但是我有一個問題....
什麼叫做超級巡警全新"皮膚"閃亮豋場...= =?
是把他扒了一層皮之後再植皮嗎= =?
skin翻成外觀會比較好吧

作者: benleung 時間: 2007-12-31 08:59 PM
分析後也是看不明白,

我想真的需要自我增值了,
只好先下載收藏留待日後應用,謝過大大了

作者: e722146 時間: 2007-12-31 09:42 PM
還真的是很難喔！
不過可以試試看喔！
多謝愛心提共載點喔！

作者: tenhon 時間: 2008-1-1 10:07 AM
看介紹應該是好東西，但是限於程度，有點不知道從何用起..
先收下來試試看，感謝版大用心...

作者: 小傑；Jay 時間: 2008-1-1 11:27 AM

Quote:

Originally posted by yoyo007 at 2007-12-31 01:09 AM:

偵殼、脫殼以及 PE 編輯，跟中文化和病毒分析都有關聯，但用於病毒分析的範圍較寬廣；這個軟體我推薦，因為它的管理工具功能實在太方便了。

原來是這樣唷
剛開始我也跟osk也有同樣的疑問哩。
感謝YoYo兄的繁化

作者: BadDevil 時間: 2008-1-1 01:56 PM
哇看起來功能很強大耶
但是有點眼花說來去研究一下嚕~

作者: yoyo007 時間: 2008-1-3 12:39 AM

Quote:

Originally posted by kcl0801 at 2007-12-31 18:35:

但是我有一個問題....
什麼叫做超級巡警全新"皮膚"閃亮豋場...= =?
是把他扒了一層皮之後再植皮嗎= =?
skin翻成外觀會比較好吧

謝謝 kcl0801 大指正。

由於這部分只是 FFI 附加的廣告，且可選擇保留與否 (當然不能去除我也只好乖乖就範了)，因此僅簡單處理；另外，廣告字串位於 [ffi.info]，FFI 會自動更新其內容 (已禁止被取代)，這些更新回來的字串不若主程式是英文的，沒有 skin，只有亂碼的簡體文字，再請 kcl0801 大自己修正下 (如果要保留的話)，不好意思。

Quote:

Originally posted by benleung at 2007-12-31 20:59:
分析後也是看不明白,

我想真的需要自我增值了,
只好先下載收藏留待日後應用,謝過大大了

Quote:

Originally posted by tenhon at 2008-1-1 10:07:
看介紹應該是好東西，但是限於程度，有點不知道從何用起..
先收下來試試看，感謝版大用心...

暫且不管它的 PE 數值查閱及編輯功能，改著眼於偵殼、脫殼、計算 MD5 和管理其它相關工具 ...等，這樣應該能比較容易理解其使用。

Quote:

作者: 七彩琉璃雨 時間: 2008-2-26 08:06 PM
看來是非常棒的工具
下載收藏起來
具體功能及用法有空再試~~

歡迎光臨網際論壇 (http://centurys.net/)