Встречайте новый релиз старого-доброго PE Tools
Прошло много лет с тех пор, как NEOx выложил последнюю публичную версию PE Tools в 2006 году, и вы уже могли сто раз подумать, что PET мёртв, но он ожил на некоторое время, чтобы предстать перед вами в 2018 году!

Основной анонс на русском: petoolse.github.io/petools/Announce-RU

ОСНОВНЫЕ ИЗМЕНЕНИЯ

Исправления

В первую очередь новый релиз - это огромное количество багфиксов. Везде, до куда дотянулись наши ручки, были исправлены ошибки, утечки памяти, пофикшена логика работы.
Не исключено, что при исправлении старых ошибок были добавлены новые, но мы старались, чтобы количество исправленных ошибок не влияло на появление новых ))


Новые возможности

Было добавлено несколько приятных фич, которые сделают работу с исполняемыми файлами ещё более наглядной:



Пачка мелких, но полезных фич:



Get high

Добавлена поддержка высокого разрешения экрана (High DPI), что позволяет не вглядываться в иконки и текст, а наслаждаться комфортными пропорциями интерфейса.

Чистка

Были убраны лишние на наш взгляд фичи типа старой обновлялки и старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), сокращено количество внешних библиотек, объединены модули с базовым функционалом.

Другие изменения

Полный список изменений смотри на сайте PE Tools на Github:

HISTORY

Разумеется, было ещё много чего исправлено и добавлено по мелочи, о чём нет смысла писать подробно (да и не всё упомнишь), поэтому проще скачать и убедиться самостоятельно.

Ссылки

Сайт проекта на Github:

petoolse.github.io/petools

Новости проекта:
@petoolse

СКАЧАТЬ

github.com/petoolse/petools/releases


--


2018.03.30

| Сообщение посчитали полезным: Jupiter, batter-f, readt, Haoose-GP, mysterio, Kindly, CyberGod, r_e, Bronco, red0x, TRPD, mak, deniskore, hors, digger70, plutos, Gideon Vi, yashechka, BlackCode, sefkrd, Jaa, CKAP, DICI BF, -=AkaBOSS=-, sendersu, Orlyonok, ELF_7719116, YDS, void, MarcElBichon, Rio, HandMill, sashka2002, GPcH, shellstorm, UniSoft, Vamit, mkdev, mushr00m, Deluser, MacTep, d745150, ==DJ==[ZLO], hypn0, dosprog, SReg, ntldr, LinXP, random, ALSSL, Jim DiGriz, Nightshade, icerix, Smitis, Dr_Di0NiS, nar100, n0x90, KomatoZ, guga, FalseMaster, LordGarfio, yoza

Картинка ссылкой:
Entropy View

-----
EnJoy!

| Сообщение посчитали полезным: Gideon Vi, plutos, icerix

млять...ожидание не возбуждало, но когда дождался, кроме респект больше нечего пока сказать
с какого места пинать?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco, с центрального

| Сообщение посчитали полезным:

Bronco пишет:
кроме респект больше нечего пока сказать

+1!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Спасибо.
Логичным продолжением, если конечно оно будет, было бы PE Tools х64
Я имею ввиду поддержку х64 процессов.

| Сообщение посчитали полезным:

BlackCode пишет:
PE Tools х64
Насколько это было возможно без переписывания всего с нуля, поддержка 64 бит была добавлена, подробнее я об этом написал в анонсе.

Процессы x64 пока только показывает, есть такое.

-----
EnJoy!

| Сообщение посчитали полезным:

v00doo пишет:
с центрального
ок..)) таблицы сех в х64 ну прямо уже просятся сами, а их по прежнему нет. парсер NEOx долгий и не полный. структура не сложная, хотя пару заморочей есть:
1.2 региона памяти
2.размер хидера

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Реквистирую пару фич, первая, сделайте плиз автоматическое создание новой секции, чтобы самому не считать размер, а выводилось окошко в котором указывается размер необходимой секции и утилита сама добавит необходимое место под секцию, добавит ее в список секций, часто приходится это делать и нигде не делается на автомате, тот же CFF может добавить если есть свободное место, рутина. Прикрутите плагинами или рипом кода восстановление импорта, imprec и scylla с общим для них деревом api, чтобы можно было гонять лог между ними.

| Сообщение посчитали полезным: TryAga1n, Gideon Vi

shellstorm пишет:
создание новой секции

Утилита Topo
Это только для х86

2a54_02.04.2018_EXELAB.rU.tgz - topo_1.1.zip

| Сообщение посчитали полезным:

BlackCode пишет: Утилита Topo

Нет, это не то, написание подобной утилиты 10-15 минут, хотелось бы подобное видеть в одном инструменте, класс задач же один, дампер, редактор и в этом классе задач часто требуется рутина с добавлением секции, неудобно скакать по скриптам или внешним утилитам, так-то несложно и в hex редакторе создать, но зачем если авторы живы, а добавить функционал много времени не займет. Если есть возможность реквестировать автору, предпочитаю реквестировать, а не расчехлять компилятор.

| Сообщение посчитали полезным:

shellstorm пишет:
хотелось бы подобное видеть в одном инструменте

А еще лучше, если автор реализует поддержку плагинов.
И кому, что надо сам напишет и в инструмент добавит...

| Сообщение посчитали полезным:

BlackCode пишет:
если автор реализует поддержку плагинов
как не вовремя - Были убраны лишние фичи типа системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего)
shellstorm пишет:
предпочитаю реквестировать
+1, пинать так пинать

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

shellstorm пишет:
автоматическое создание новой секции
Это существующий функционал.
Section Editor > Add New Section
При добавлении новой секции ты и так можешь указать размер секции. Если хочешь сразу создать пустую секцию, то выбираешь опцию 'Fill with 0x00'. И всё. Секция создана, добавлена в образ.

shellstorm пишет:
часто требуется рутина с добавлением секции, неудобно скакать по скриптам или внешним утилитам
См. выше. Всё это уже есть.

shellstorm пишет:
а добавить функционал много времени не займет

shellstorm пишет:
написание подобной утилиты 10-15 минут
Пиши, никто ж не мешает.
Как напишешь, кидай готовый код в Issues.
Собственно, в readme об этом явно написано:
If you want to add some features, write ready-to-use snippet (C/C++) and post it in Issues

На счёт ToDo, см. список:
petoolse.github.io/petools/#to-do

На счёт другого дампера:
См. OllyDumpEx, он поддерживает дофига отладчиков, есть отдельное приложение под 32 и 64 бита.
https://low-priority.appspot.com/ollydumpex/

Bronco
Bronco пишет:
таблицы сех в х64 ну прямо уже просятся сами
Будут.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет: Секция создана, добавлена в образ.

Только большинство файлов на которых проверял после этого переставали работать, сам pe tools не работает после добавления секции, эти же файлы после добавления секции в CFF работают нормально. В чем именно проблема не смотрел.

Jupiter пишет: Пиши, никто ж не мешает.

Мешает здравый смысл, исходники на хабе не увидел, а без них какой смысл писать, допустим возьму LIEF в качестве парсера, туда наверну код std 17 и как такой код будете вкорячивать в pe tools. Писать свой парсер pe, сомнительное удовольствие, тем более этого тоже не решает проблемы несовместимости интерфейсов и стандарта, подобное в итоге выливается в двойную работу, мне писать лишний код, а вам переписывать практически заново.

| Сообщение посчитали полезным: Jupiter

shellstorm пишет:
большинство файлов на которых проверял после этого переставали работать, сам pe tools не работает после добавления секции
Вот это другое дело! Спасибо за репорт.
Исправлено.

Обновление
Исправлен баг: Section Add - Virtual Address Alignment
Скачать: PE Tools v1.9.762.2018

-----
EnJoy!

| Сообщение посчитали полезным: shellstorm, DICI BF, Bronco

появилось еще одно скромное пожелание, при добавлении функции в импорт сделайте расширение по умолчанию, если расширение неуказанно, автоматически считать это dll.
иначе получается вот так:

функции из dll приходится добавлять чаще чем из exe, поэтому остальные варианты на уровне статистической погрешности, при этом приходится явно указывать расширение, некрасиво и лишняя работа.

reverser пишет: в чём смысл постить на гитхаб без исходников?

удобный, бесплатный хостинг для файлов с функциями обратной связи и легенды. вполне достаточно критериев для выбора.

| Сообщение посчитали полезным:

в чём смысл постить на гитхаб без исходников?

| Сообщение посчитали полезным:

reverser пишет:
в чём смысл постить на гитхаб без исходников?

а --> это <-- не оно?

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

BfoX пишет:
а --> это <-- не оно?
Внутрь посмотри

| Сообщение посчитали полезным:

d745150 пишет:
Внутрь посмотри



-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

reverser пишет:
в чём смысл постить на гитхаб без исходников?

Воспользуюсь ответом shellstorm:
удобный, бесплатный хостинг для файлов с функциями обратной связи и легенды. вполне достаточно критериев для выбора.

и добавлю от себя:
- возможность добавлять баг репорты и Issues
- быстрое создание сайта из readme.md
- бесконечное хранение файлов
- архив релизов
- версионность
- заливка через командную строку (git)

-----
EnJoy!

| Сообщение посчитали полезным: d745150

А вообще, насчёт опенсурсности, планов не было?


--Добавлено--

v00doo пишет:
Чистка

Были убраны лишние на наш взгляд фичи типа [...] старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), [...]

А неактивный пункт <PlugIns> в меню оставлен на будущее?





| Сообщение посчитали полезным:

Jupiter
И в чем смысл закрытости этой тулзы? Где гарантия что там нет функционала с двойным назначением? Че реверсить ее чтоле чтобы проверить? Публикация исходников во-первых снимает все подобные подозрения, потому что все параноики могут проверить сами если захотят, во-вторых это облегчает поиск багов и их репорт. Или что считаете, что у вас там какой-то супер код, который все стырят? 2018 год, вы делаете комьюнити тулзу и делаете его проприетарной при этом используя сервис опенсурс проектов. Фейспалм.

| Сообщение посчитали полезным: difexacaw

Alchemistry пишет:
при этом используя сервис опенсурс проектов.
Вообще-то только полный дилетант может так обозвать Github.

Там полным полно и закрытых проектов.

| Сообщение посчитали полезным:

Alchemistry

Я тоже самое сказал и на васм. Этот софт не обладает каким то серьёзным функционалом, который нужно скрывать. Это тривиальная работа с пе. Между тем оно накрыто слоем протектора, что подразумевает скрытый функционал.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Между тем оно накрыто слоем протектора, что подразумевает скрытый функционал.

Слоем какого протектора оно накрыто?

) Кстати, на памяти случай, когда тобой просто так поливались лоадеры, сренерированные паблик тулзой и запакованные PECO v.1.2.
Поливались очень убедительно и авторитетно. - Только меня оно убедить не могло, в принципе.




| Сообщение посчитали полезным:

dosprog

Понятия не имею какого именно, заюзайте стандартные тулзы что бы это выяснить. Я открыл отладчиком, что бы посмотреть наличие криптора, его увидел и закрыл. В подробности не вникал. Это штатная процедура, когда вылаживается сомнительный софт.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Я открыл отладчиком, что ы посмотреть наличие криптора, его увидел и закрыл. В подробности не вникал.

А по какому адресу в отладчике был расположен взволновавший тебя фрагмент?




| Сообщение посчитали полезным:

Alchemistry пишет:
И в чем смысл закрытости этой тулзы?
Да просто стыдно за говнокод

| Сообщение посчитали полезным: