【PEtools】Adlice PEViewer

更新日期

2020年7月15日

工具介绍

官网:https://www.adlice.com/download/roguekillerpe/ 其它名称:RogueKillerPE 官方描述:Adlice PEViewer(RogueKillerPE)是一款PE分析器软件,可在进行恶意软件分析时提供帮助。PEViewer能够检查磁盘上的文件或(正在运行的)过程存储器,并使用基于人工智能,第三方服务和内置启发式规则的各种模块对样本进行分类。

下载

setup.exe(安装程序32/64位)

APEV.exe(32位)

APEV.exe(64位)

APEV.bin(Linux-32位)

APEV.bin(Linux-64位)

安装版本32位劫持补丁密码:i8gumd5:0D5B6CB5D63B433A8FBB1CAE0CD8859B 安装版本64位劫持补丁密码:i8gumd5:E31609BE1A93F1E06F0B498FB541E497

用法案例

扫描文件 有几种不同的方法可以开始文件分析: A. 将文件拖到 “加载”面板中。 B. (在第一次分析之后)在“结果”面板上拖动文件。 C. 使用“ -scan_target C:\ myfile.bin”命令启动软件。 D. 点击 “结果”面板中的“刷新”按钮(重新扫描文件)。

扫描文件并显示数据时,可以导航到“结果”面板并跟踪解析的进度。收集的数据在“ PE结构”部分中进行了说明。

扫描处理模块 要开始过程模块分析,您需要首先在“加载”面板中加载过程列表。

完成后,只需从列表中选择任何进程,然后从右侧面板中选择一个已加载的模块(DLL / EXE)。使用“加载”按钮确认您的选择。

对于文件分析,分析开始,PE数据显示在“结果”视图中。与经典文件分析相比,内存(过程)扫描具有多个附加层: A. 内存选项卡:显示模块使用的所有内存页面。可以将其丢弃或检查。

B. RunPE比较:将内存中的PE结构与其在磁盘上的映像进行比较。结果以颜色语法显示(红色:不匹配,绿色:相等),因此很容易看到差异。

C. 常规选项卡显示过程信息。 D. 导入/导出选项卡显示可能的钩子,并允许检查代码的反汇编。 PE结构 当Adlice PEViewer打开文件(或处理模块)时,它将开始解析PE结构数据并将其显示在几个选项卡中。大多数选项卡如下所述: 常规选项卡显示有关文件/过程,哈希和分数的信息。

图像选项卡显示Bin2Img表示形式,可以快速查看数据表示形式和多样性。

指标选项卡显示在信息解析期间发现的所有异常(或强烈提示)。它们会提示文件是恶意文件还是合法文件。

内存选项卡显示进程的页面。

十六进制选项卡显示数据的十六进制视图,并允许在其中搜索字符串。

MZ / PE标头视图显示原始PE数据

资源选项卡显示文件中的资源

版本信息/数字标签选项卡显示版本信息以及文件是否经过数字签名。

对比 对比是高级功能。它有助于根据需要比较相似的样本(同一家族)以找到常见的模式或差异。 在搜索通用模式时,可以使用它来制作可捕获两个文件的防病毒签名。 搜索差异时,可用于查找补丁位置。

标签: