Board logo

標題: [病毒分析] File Format Identifier V1.4 [打印本頁]
作者: yoyo007     時間: 2008-2-16 07:27 PM    標題: [病毒分析] File Format Identifier V1.4

[軟體名稱] File Format Identifier V1.4
[軟體語言] 繁體中文
[檔案大小] 1.15 MB (1,210,605 位元組)
[官方站台] http://www.dswlab.com/
[存放空間] HTTP
[軟體簡介] 免安裝

  Quote:


FFI 整合了 PE 編輯、脫殼 (相當於 VMUnpacker V1.4 引擎) 和偵殼 ...等功能,推薦一下;中文化說明:

1. 中文化的非標準資源僅處理了 VA,其餘未多加檢視和調整;字串基本夠用。

2. 部分字串保留不譯,如:Original First Thunk、Forwarder Chain、First Thunk ...等等。

3. 程式的詳細功能請查閱 [軟體說明.txt]

4. 相容 PEiD 外掛,用法如下:

(1). 將 PEiD 外掛放置於 [plugins] 目錄下。
(2). 開啟 FF1 → [選項] → 勾選 [載入外掛] 即可。

5. FFI 使用的 [userdb.txt] 跟 PEiD 使用的 [userdb.txt] 相容,如果您有製作或收集簽名的習慣,可以把 [userdb.txt] 整合一下,以增強對殼的偵測;若沒有製作或收集簽名的習慣,可以改用 FFI 的 [userdb.txt]

6. 承上,建議整合其它 PE 相關工具 ( PEiD、DiE、Exeinfo PE、Stud_PE、LordPE、PE Tools ...等等 ) 和除錯器、反組譯工具 ( OllyDBG、IDA ...等等 ),方便呼叫使用且也補足 FFI 功能不足之處 ( 殼偵測工具可以將簽名分開來用 )。

•按 [選項][管理工具] → 右鍵 [加入]

7. kcl0801 大提報 VUnpackSDK.dll 中遺漏的 [錯誤碼] 已於此版中補上,特此致謝。

8. 外部的殼簽名使用 FFI 自身提供的殼簽名;原 khiav 兄在 V1.2 版提供的殼簽名亦略為重新整理過,如底下的 [2008.02.16.userdb] 載點,請自行選用整合。

若有翻譯謬誤請不吝指正,謝謝;以下介紹引自 [軟體說明]:

  Quote:
V1.4 新增功能:
   
★ 新增自動擷取輸入表功能,該功能使用虛擬機虛擬執行技術來進行輸入表的擷取,具備自動解密功能,可以輕鬆擷取 ImportREC 無法正確擷取的輸入表。(詳見下面節九) 對該功能有更多想法的人歡迎聯繫我們。
★ 增加的更多的細節描述,對 PE 檔案進行更細緻的解析,對錯誤檔案/無效的 PE 檔案/無法執行的 PE 檔案報告錯誤原因。感謝 Pedro Lopez 建議此功能。
★ 新增面版功能,使得介面更漂亮,可在設定中切換自己喜歡的外觀樣式。感謝 fly (unpack.cn) 建議此功能。   
★ 擴充簽名庫整合 Fly 蒐集的簽名庫。感謝 fly (unpack.cn) 授權。
★ 其它幾個 BUG 修正。



  Quote:
一、偵殼功能:

支援檔案拖曳,目錄拖曳,可設定右鍵對檔案和目錄的偵殼功能,除了 FFI 自帶殼庫 unpack.avd 外,還可以使用外部殼庫 (必須命名為 userdb.txt,此殼庫格式相容 PEID 殼庫格式,可以把自己收集的 userdb.txt 放入增強殼偵測功能)。
   
註:如果是使用外部殼庫裡的特徵所查出來的殼,在殼資訊後面會有 * 標示。
   
二、脫殼功能:

如果在偵殼後,[脫殼] 按鈕可用,則表示可以對當前處理檔案進行脫殼處理,採用虛擬機脫殼技術,您不必擔心當前處理檔案可能危害系統。

三、PE 編輯功能:

本程式主介面可顯示被檢查的程式的入口點/入口點實體偏移,區段等資訊,並且提供強大的編輯功能。

其中 [EP 區段] 後的 [ > ] 按鈕可以編輯現用的檔案區段,按下後會出現 [區段編輯器] 視窗。
   
主要功能有:
   
   •顯示詳細的區段資訊
   •可檢視編輯區段名稱、大小、執行屬性等相關資訊。
   •清除選定的區段名稱
   •對區段進行自動修復
   •從磁碟載入區段
   •儲存區段到磁碟
   •增加一個新的區段
   •從檔案中刪除區段
   •從 PE 頭部中刪除區段 (區段內容實質還在)
   •用指定的資料填充區段
      
[子系統] 後的 [ > ] 按鈕可以顯示 PE 檔案的詳細資訊,支援詳細編輯 PE 檔案的 Dos 頭部,NT 頭部等資訊,支援檢視 PE 檔案的輸出表、輸入表資訊,本項目功能太細緻具體請參考介面。
   
四、額外資料偵測:

可掃瞄應用程式是否包含額外資料,並提供了額外資料詳細的起始位置和大小,可以用 [清除 Ovl] 按鈕和 [轉存 Ovl] 按鈕進行相應的處理。

五、支援 PEid 外掛:

按 [選項] 按鈕選擇 [載入外掛] 就可以使用 PEid 的外掛功能,無需重啟 FFI,外掛必須放在 [plugins] 目錄下,然後按 [外掛 >>  就可看到相應的外掛資訊。

六、重建 PE 功能:

本功能主要是用來對脫殼後的 PE 檔案進行修復,一般可用來解決脫殼後無法重新加殼等問題,使用 [重建 PE] 按鈕即可完成此功能。   
   
七、第三方工具支援:

在 [選項] 按鈕中,按 [管理工具] 按鈕,可以用右鍵功能表加入/刪除 IDA/OllyDBG 等第三方工具,這樣就可以直接在 FFI 裡啟動 OllyDBG、IDA 這些工具來開啟現用的檔案進行反組譯。
   
註:加入第三方工具後,按 [外掛 >>] 按鈕就可以看到您所加入的工具資訊了,按下即可用此工具開啟現用的檔案進行處理。
      
八、處理序轉存:

按 [工作檢視] 按鈕後,可以進行處理序的中止,處理序中模組記憶體的轉存,目前支援三種轉存方式:完整轉存、部分轉存和區域轉存,還支援自動修正主模組記憶體映像大小。

九、輸入表擷取:

按 [擷取 IAT] 按鈕後,選擇處理序即可擷取輸入表,在 [修復轉存檔案] 前,請填上正確的 OEP 資訊;如果出現不可識別的函數訊息,您可以設定虛擬機解密步驟,在輸入表訊息方塊中用右鍵按 [VM 解碼] 嘗試解密這個函數。

如果您發現擷取的輸入表資訊有些不是您想要的,可以在輸入表訊息方塊中用右鍵按 [刪除 Thunk] 或者 [剪下 Thunk] 讓其消失;如果您要對處理序的非主模組擷取輸入表,請在 [作業記錄] 視窗中,對相應的模組資訊按右鍵 [載入選定模組],這樣擷取的輸入表就是這個模組的了。




FFI V1.4 下載:


MD5:

CODE:  [Copy to clipboard]
F571D6B1A7948449D655CAC5386B07D7



2008.02.16.userdb 下載:


請按 [Copy to clipboard] 複製解壓碼:

CODE:  [Copy to clipboard]

PS. 請注意:

如軟體需特殊文件,而您只下不回的話,那不好意思,即使您 PM 向我詢問,我也會學您當個潛水者,不予回應,請別怪我,這本是禮尚往來,大家互相,所以,敬請各位大大保持論壇的良好風氣,養成有下有回的網路禮儀,謝謝您的配合 !!

[ Last edited by 澄澄 on 2009-5-20 at 07:44 PM ]
作者: xp20060726     時間: 2008-2-16 08:49 PM    標題: 感謝您提供的分享!!

感謝您持續的更新版本,
這一版也增添了一些解密及擷取的功能!!
作者: e722146     時間: 2008-2-16 08:58 PM
功能極強的病毒分析軟件喔!
多謝愛心大大版主熱心提共喔!
趕緊熱心公益載點喔!
作者: hong01     時間: 2008-2-16 09:06 PM
真是好東西File Format Identifier V1.4
感謝版大的說明與分享
下載來玩玩看!
作者: a2213572     時間: 2008-2-16 10:11 PM
中文化輔助工具,必備的收藏軟體感謝 yoyo 大大分享.
作者: osk     時間: 2008-2-17 01:10 AM
目前我已將 PEiD 放置一旁..因為我現在都使用這個 File Format Identifier來偵殼...
感謝 版兄 持續更新...下載替換...甘溫  ^^
作者: tenhon     時間: 2008-2-17 10:43 PM
更新版本囉!下載來收藏。
本來想利用過年找幾個軟體來開刀,但實在太冷了....
到現在還提不起興致,只好收集好軟體為樂...
作者: tsjking     時間: 2008-2-18 04:35 PM


  Quote:
Originally posted by osk at 2008-2-17 01:10 AM:
目前我已將 PEiD 放置一旁..因為我現在都使用這個 File Format Identifier來偵殼...
感謝 版兄 持續更新...下載替換...甘溫  ^^

原來這個也可以偵殼,記得好像有下過yoyo大的另一個分享,這是更新的版本
能偵殼的話當然要用它了,因為PEiD有一個檔老是會被當做病毒移除,雖然
不知道會不影響運行,改用這個工具,可以偵殼又能分析病毒,當然好
謝謝yoyo大的中文化及分享
作者: yoyo007     時間: 2008-2-21 01:16 AM


  Quote:
Originally posted by tsjking at 2008-2-18 16:35:

原來這個也可以偵殼,記得好像有下過yoyo大的另一個分享,這是更新的版本
能偵殼的話當然要用它了,因為PEiD有一個檔老是會被當做病毒移除,雖然
不知道會不影響運行,改用這個工具,可以偵殼又能分析病毒,當然好 ...

應該是外掛,移除不要緊;防毒軟體更新後,我也移除了幾個被誤報的外掛。
作者: ic2266     時間: 2008-2-22 10:46 AM
原來這工具軟體有整合這樣多的功能
下載收藏與使用之, 既然已開始學習中文化,這類好用工具軟體不嫌多,
感謝 yoyo版大的繁中化與分享,謝謝您~
作者: 七彩琉璃雨     時間: 2008-2-29 01:54 PM
超強的工具
持續更新中
下載收藏起來~~
作者: pcc0921     時間: 2008-3-11 09:31 PM
感謝大大無私分享!!
下載來收藏!!
作者: wellsss     時間: 2008-9-22 06:31 PM
這個無疑是重量級的偵殼/脫殼兩用工具,
還可以自行整合呼叫功能,真的很強大。
不過我說明一下,外殼庫 userdb.txt 載點
已經失連了,不能下了,感謝YOYO板主熱
枕的詳細說明跟分享。
作者: ic2266     時間: 2008-9-24 08:30 PM


  Quote:
Originally posted by wellsss at 2008-9-22 06:31 PM:
這個無疑是重量級的偵殼/脫殼兩用工具,
還可以自行整合呼叫功能,真的很強大。
不過我說明一下,外殼庫 userdb.txt 載點
已經失連了,不能下了,感謝YOYO板主熱
枕的詳細說明跟分享。

謝謝 wellsss大提報 外殼庫 userdb.txt 載點失連,

小弟已補檔完畢,請 wellsss大重新下載:

原主題 2008.02.16.userdb載點已修復或按以下連結都可以:

解壓縮碼同主題

2008.02.16.userdb(殼簽名)
http://tf9rpq.bay.livefilestore. ... userdb.rar?download

[ Last edited by ic2266 on 2008-12-2 at 02:46 PM ]
作者: wellsss     時間: 2008-9-24 09:13 PM


  Quote:
Originally posted by ic2266 at 2008-9-24 08:30 PM:
43~
原主題 2008.02.16.userdb載點已修復或按以下連結都可以:
解壓縮碼同主題[/c ...

感謝ic2266大告知,該檔案已下載並收入儲存,
並取代舊的檔案,謝謝~ ^^ 感恩。
作者: sun678     時間: 2008-10-18 10:32 PM
下載檔案來學習使用........謝謝
作者: bravery24tw     時間: 2008-10-20 11:51 AM
能夠偵測病毒的軟體,自然不能放過它。
感謝大大的分享,現在馬上去下載。
作者: logic40     時間: 2008-11-27 08:11 PM
個人感覺好像Peid...........................!
作者: gumption     時間: 2008-12-13 03:16 PM
有這軟體就安心多了 謝謝大大為大家把關
作者: 達人奇兵     時間: 2008-12-14 10:26 AM
有別於PEiD的偵殼工具功能又這麼的多當然是要下載收藏囉
謝謝樓主分享
作者: cat16888     時間: 2009-1-5 02:21 PM
從另一個討論木馬(木馬氾濫..看得真是怵目驚心)的帖子連結過來
看見這個"偵殼又能分析病毒"的好東西
真是驚艷啊
幸好有這麼多熱心的大大共同維護論壇的園地
這麼好的地方如果讓少數的害群之馬破壞了
相信會讓許多人傷心失望
真心感謝這裡的高手大大提供討論分享
尤其最貼心的YOYO大大
您的盡心盡力
我們都看見了
辛苦您了
給您一個真心的擁抱
感謝您喲
作者: virtual     時間: 2009-1-8 10:38 PM
感謝大大無私奉獻
                  但是解壓密碼無法成功假壓縮
                                      是否有其他解壓密碼   謝謝您
作者: vvvvvvvv     時間: 2009-1-21 01:39 AM
感謝  YOYO 007 區版主!我又增長見識了!!感恩!!!
作者: ic2266     時間: 2009-1-24 03:04 AM


  Quote:
Originally posted by virtual at 2009-1-8 10:38 PM:
感謝大大無私奉獻
                  但是解壓密碼無法成功假壓縮
                                      是否有其他解壓密碼   謝謝您

解壓密碼:CENTURYS 網際論壇 中文化開發團隊

不要複製到空白的地方~

[ Last edited by ic2266 on 2009-1-24 at 03:05 AM ]
作者: 熾峰     時間: 2009-4-1 04:11 PM
File Format Identifier V1.4
外殼庫 userdb.txt
檔案已失去連結,請有相關檔案的人補一下檔案。感謝
作者: 澄澄     時間: 2009-4-1 09:16 PM


  Quote:
Originally posted by 熾峰 at 2009-4-1 16:11:
File Format Identifier V1.4
外殼庫 userdb.txt
檔案已失去連結,請有相關檔案的人補一下檔案。感謝

已更新載點 !!
作者: lady5566520     時間: 2009-4-1 09:41 PM
感謝!!YOYO007大發的金典軟體!!
我還有超多要像你學習的地方@@!!
作者: deepknow     時間: 2009-4-4 03:53 PM
看了以上的討論,終於知道這是一款"偵殼軟體"。
一切對我都是有趣又無知.......
還是不能免俗的感謝 yoyo007 的中文化。
作者: Rainbow888     時間: 2009-4-24 10:14 AM
so cool Thank very much
作者: junson     時間: 2009-10-22 06:34 PM
第一次發現有這套軟體可以幫助我看檔案是否有問題
~~真是感謝~~
作者: homepary     時間: 2009-11-13 08:30 PM
匆匆下了
卻忘了回文
因為趕時間
心裡一直掛念著
有時間上網後趕快補回
作者: chuanwey     時間: 2009-12-19 01:22 AM
不知道這是不是大大在
http://www.centurys.net/viewthre ... ight=&page=1###
教學中必備的軟體??  下載來試試......
謝謝大大的分享
作者: mu0801     時間: 2010-4-30 01:11 PM
非常好奇,這樣的小程式能夠抵抗鋪天蓋地的木馬嗎?
但....
還是下來試試看~
作者: sky88     時間: 2010-5-15 10:14 PM
最近病毒太猖獗了,不得不更注意,感謝分享
作者: allen891     時間: 2010-6-16 10:41 AM
真是好東西感謝版大的說明與分享
下載來玩玩看!
作者: yeong7766     時間: 2010-7-16 05:34 AM
感謝你的說明與分享
下載來玩玩看   感恩喔
作者: xp20060726     時間: 2010-12-18 01:06 PM
請注意這軟體與#32所說的不同款喔!~
這款軟體並無加SFX殼!~
作者: pan6699     時間: 2012-12-4 12:36 PM
感謝大大這麼詳細的說明~~~



歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5