Встречайте новый релиз старого-доброго PE Tools
Прошло много лет с тех пор, как NEOx выложил последнюю публичную версию PE Tools в 2006 году, и вы уже могли сто раз подумать, что PET мёртв, но он ожил на некоторое время, чтобы предстать перед вами в 2018 году!

Основной анонс на русском: petoolse.github.io/petools/Announce-RU

ОСНОВНЫЕ ИЗМЕНЕНИЯ

Исправления

В первую очередь новый релиз - это огромное количество багфиксов. Везде, до куда дотянулись наши ручки, были исправлены ошибки, утечки памяти, пофикшена логика работы.
Не исключено, что при исправлении старых ошибок были добавлены новые, но мы старались, чтобы количество исправленных ошибок не влияло на появление новых ))


Новые возможности

Было добавлено несколько приятных фич, которые сделают работу с исполняемыми файлами ещё более наглядной:



Пачка мелких, но полезных фич:



Get high

Добавлена поддержка высокого разрешения экрана (High DPI), что позволяет не вглядываться в иконки и текст, а наслаждаться комфортными пропорциями интерфейса.

Чистка

Были убраны лишние на наш взгляд фичи типа старой обновлялки и старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), сокращено количество внешних библиотек, объединены модули с базовым функционалом.

Другие изменения

Полный список изменений смотри на сайте PE Tools на Github:

HISTORY

Разумеется, было ещё много чего исправлено и добавлено по мелочи, о чём нет смысла писать подробно (да и не всё упомнишь), поэтому проще скачать и убедиться самостоятельно.

Ссылки

Сайт проекта на Github:

petoolse.github.io/petools

Новости проекта:
@petoolse

СКАЧАТЬ

github.com/petoolse/petools/releases


--


2018.03.30

| Сообщение посчитали полезным: Jupiter, batter-f, readt, Haoose-GP, mysterio, Kindly, CyberGod, r_e, Bronco, red0x, TRPD, mak, deniskore, hors, digger70, plutos, Gideon Vi, yashechka, BlackCode, sefkrd, Jaa, CKAP, DICI BF, -=AkaBOSS=-, sendersu, Orlyonok, ELF_7719116, YDS, void, MarcElBichon, Rio, HandMill, sashka2002, GPcH, shellstorm, UniSoft, Vamit, mkdev, mushr00m, Deluser, MacTep, d745150, ==DJ==[ZLO], hypn0, dosprog, SReg, ntldr, LinXP, random, ALSSL, Jim DiGriz, Nightshade, icerix, Smitis, Dr_Di0NiS, nar100, n0x90, KomatoZ, guga, FalseMaster, LordGarfio, yoza

Alchemistry пишет:
И в чем смысл закрытости этой тулзы?
ппц... с 2005 она "закрыта", и не одного подозрения, и не одного подтверждения подозрений, да и ваще никаких предьяв, даже по поводу багов. а тут какашка, криптор с перепугу нашла.
Jupiter работай, не дай засрать топ.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

dosprog

Я сейчас посмотрел то что было выложено на васм и тут, разницы нет, не криптовано, наверно я ошибся. Я обычно смотрю кучу семплов, это моя ошибка походу.

-----
vx

| Сообщение посчитали полезным:

И она не первая, походу.. Хорошо, коли так.

| Сообщение посчитали полезным:

dosprog

Извините ошибся, в этот раз удавку себе нашею не буду одевать. Да и в общем, не ошибается тот кто ничего не делает. Теперь буду внимательнее.

-----
vx

| Сообщение посчитали полезным:

Bronco пишет:
не дай засрать топ

difexacaw сам признал ошибку, это похвально ))


Alchemistry пишет:
И в чем смысл закрытости этой тулзы?

Наличие старых сорсов PE Tools в доступе - секрет Полишинеля ))
См. тему Исходники PE Tools v1.5.800.2006_rc7


Alchemistry пишет:
Где гарантия что там нет функционала с двойным назначением?

Серьёзно? Такой гарантии нет вообще.


Alchemistry пишет:
Че реверсить ее чтоле чтобы проверить?

Не использовать.


Alchemistry пишет:
Публикация исходников во-первых снимает все подобные подозрения, потому что все параноики могут проверить сами если захотят, во-вторых это облегчает поиск багов и их репорт.

Если ты используешь старую версию PE Tools, то, видимо, уже проверил её сорсы?

На счёт поиска багов:
Я почти в каждом ответе в данной теме даю ссылку на Issues: https://github.com/petoolse/petools/issues
Пока что единственный оформленный Issue - это репорт shellstorm, который при этом я сам оформил ))


Alchemistry пишет:
Или что считаете, что у вас там какой-то супер код, который все стырят?

Во-первых, мне похуй, какой там код. На код не похуй только PainteR, хотя это и смешно, поскольку говнокода на гитхабе дохуя и больше.
Во-вторых, NEOx каждый раз, когда ко мне кто-то обращался за сорсами, лично подтверждал своё согласие, но разрешения на открытую публикацию сорсов он не давал.
В-третьих, в очередной раз повторяю, что если у кого-то есть желание расширить функционал, то welcome - добавляйте сниппеты в Issues.
В-четвёртых, проектов по работе с форматом PE овердохуя — бери и допиливай в своё удовольствие.


Alchemistry пишет:
2018 год, вы делаете комьюнити тулзу и делаете его проприетарной при этом используя сервис опенсурс проектов. Фейспалм.

На это уже ответил DrVB 5-6:

DrVB_5_6 пишет:
Вообще-то только полный дилетант может так обозвать Github.
Там полным полно и закрытых проектов.


dosprog пишет:
А вообще, насчёт опенсурсности, планов не было?

Если будут, то относительно другого проекта с другим ядром.


dosprog пишет:
А неактивный пункт <PlugIns> в меню оставлен на будущее?

Рудимент.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
На это уже ответил DrVB 5-6:
+1. постсовок губу откатил на такую халяву сорцов, некоторые "массоны" даже умудряются барыжить на этом, строя интриги и тайны
что-то рабочее на жабе скорее исключение, чем правило, и шенген юзает ресурс как портфолио или резюме.
да собственно популяризация даже науки не первый год наблюдается. семинары, дебаты и тп.
Jupiter пишет:
Будут.
меня беспокоили перебитые рва указатели, поэтому сильно глубоко не разбирал, из того что юзал в скрипте:

Jupiter пишет:
В качестве защиты?
гавнопрот х64 в полный рост, помимо указателей даже тырит всю таблицу и под црц, дунька тупо перебивает указатели для стыренного и съеденного кода. в других защитах пока не встречал, фимку не смотрел.
но это скорее не новый уровень защиты, а сам архитектура обязывает править указатели. ибо восстановить их не сложно, если тело восстановлено, а вот как палево границ пакетных вызовов вм или поиск и перехват обработчика это можно юзать

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: Jupiter

Bronco пишет:
меня беспокоили перебитые рва указатели

В качестве защиты?

-----
EnJoy!

| Сообщение посчитали полезным:

Alchemistry пишет:
Где гарантия что там нет функционала с двойным назначением?
Достаточно посмотреть кто авторы...
Ну не стали бы они подписываться под релизом и выкладывать его без какой либо виртуализации на форум, где уйма реверсеров. Репутацию заслужить сложно, а потерять легко...

difexacaw пишет:
Этот софт не обладает каким то серьёзным функционалом, который нужно скрывать. Это тривиальная работа с пе.
Да я тоже так думаю.

Открытие исходников пошло бы только в плюс, там глядишь и народ подтянется.
К тому же исходники предпоследней версии итак были открыты, что уж там скрывать то.

| Сообщение посчитали полезным:

UniSoft пишет: Открытие исходников пошло бы только в плюс, там глядишь и народ подтянется.

вангую, что просто растянут и на этом всё закончится. pe редактор это очень нудный проект и желающих пилить ui немного, а это существенная часть кодовой базы.
ps. на счёт паранойи и проверки, лично я проверяю инструменты которыми пользуюсь, их не настолько много, чтобы это стало чем то отягощающим, тем более бинарь в некоторых случаях проще проверить чем исходный код.

| Сообщение посчитали полезным: GPcH

shellstorm пишет:
желающих пилить ui немного
Тут согласен. Проще было в билдере наклепать окошечки, а самим пилить только код. Но смотря в сырки NEOx пришлось бы с нуля почти перепиливать

| Сообщение посчитали полезным:

Jupiter пишет:
Рудимент.

Поддержку плагинов надо восстановить, имхо.




| Сообщение посчитали полезным:

dosprog пишет:
Поддержку плагинов надо восстановить, имхо.

Не на этом движке.

-----
EnJoy!

| Сообщение посчитали полезным:

Ну, нет так нет.
Просто непонятно, что сложного в том, чтобы подгрузить DLL с двумя экспортируемыми функциями,
отобразить её название в меню и передавать ей при вызове имя или хэндл файла (или вообще ничего не передавать).
Речь же не идёт о каком-то развитом PlugIn-API.
На уровне того же встроенного hex-редактора.

| Сообщение посчитали полезным:

dosprog пишет:
или вообще ничего не передавать
Это говно, а не плагин.

-----
EnJoy!

| Сообщение посчитали полезным: hors, gazlan, shellstorm, d745150

dosprog пишет: Речь же не идёт о каком-то развитом PlugIn-API.

верно, это недоразвитый плагин, речь идет о каком то гомункуле, зачем оно нужно, если каждому плагину придётся носить с собой полноценный парсер pe и ui. можно экстраполировать этот гипотетический api на отладчик, каждому плагину придется быть отладчиком, а тут целесообразно задать вопрос, а зачем такой уродец нужен. нормальный, минимальный api, это интерфейсы парсера.

| Сообщение посчитали полезным:

DrVB_5_6 пишет:

Там полным полно и закрытых проектов.

Да, ну ка покажи мне ехешники под венду, залитые туда без исходников, в активном деве и с живым комьюнити и не в приватных репах. И не какие-то бинарные блобы. И чтобы их было полным полно, балабол.

И в догонку, чтобы это не было просто хейтом этой великолепнейшей тулзы итд. Вот вам багрепорт.

ОС: Windows 10 RS4, дефолт инсталл, х64

"SeDebugPrivilege was not enabled!" - выключите это _по умолчанию_, а не наоборот как у вас. Либо куда логичнее было бы вывести это в тайтл приложение, но не идиотскими месадж боксами на старте.

Дальше ее убивает Windows Defender.
Trojan:Win32/Tiggre!plock - облачный детект от этого АВ. Допустим это FP.

Попробуйте подписать файл, чтобы это гуаноав не кукарекало.

Дальше смотрим - 64 битные модули не листаются, отлично, можно редактировать только те что с путями.
Защищенные процессы все без путей - код архаизм из-под виндоус хп. Открыть их с PROCESS_QUERY_LIMITED_INFORMATION + GetProcessImageFileName или руками через NtQIP и получить нормальный путь, чтобы потом заработал ваш редактор.

Тыкаем в [System Process] - привет убогий ToolHelp. Листает дллки самой петулз. Зачем и как вообще.

Лично для меня в таком виде это бесполезный архаизм уровня виндоус хп. Это не хейт, это фидбек.

| Сообщение посчитали полезным:

Плагины тут ни к чему. Если к ольке можно было типа скриптов, то к этому никто писать не будет.

| Сообщение посчитали полезным:

Alchemistry
ну ка покажи мне ехешники ...
- под венду
- залитые туда без исходников
- в активном деве
- с живым комьюнити
- не в приватных репах
- и не какие-то бинарные блобы
- и чтобы их было полным полно

Что-то как-то многовато у тебя условий появилось, не?

Приведу примеры, на которые я лично натыкался за последние пару дней:

fman
Файловый менеджер fman
https://github.com/fman-users/fman
- Только Issues

Marta
Файловый менеджер Marta
https://github.com/marta-file-manager/marta-issues/issues
- Только Issues

PE-bear
Многофункциональный PE-редактор PE-bear
https://github.com/hasherezade/releases/releases
- Только релизы


Очередной вывод от кэпа:
То, что на гитхабе хостится множество open-source проектов, не означает, что там хостятся только open-source проекты.

Основные сорсы PE Tools размещены на bitbucket по той простой причине, что bitbucket позволяет создавать приватные репы бесплатно (в ограниченном количестве), а GitHub используется для публичных релизов и Issues. Всё просто.


На счёт баг-репорта:

Alchemistry

"SeDebugPrivilege was not enabled!" - выключите это _по умолчанию_, а не наоборот как у вас. Либо куда логичнее было бы вывести это в тайтл приложение, но не идиотскими месадж боксами на старте.
Согласен, модальные мессаги всегда бесят, даже с автозакрытием.


Дальше ее убивает Windows Defender.
Trojan:Win32/Tiggre!plock - облачный детект от этого АВ. Допустим это FP.

А если в исключения добавлять?


Попробуйте подписать файл, чтобы это гуаноав не кукарекало.

Подписать то я подпишу, а вот ты будешь ставить левый CA?


Дальше смотрим - 64 битные модули не листаются, отлично, можно редактировать только те что с путями.
Защищенные процессы все без путей - код архаизм из-под виндоус хп. Открыть их с PROCESS_QUERY_LIMITED_INFORMATION + GetProcessImageFileName или руками через NtQIP и получить нормальный путь, чтобы потом заработал ваш редактор.

Спасибо, пофиксим.


Тыкаем в [System Process] - привет убогий ToolHelp.

Есть такое. С процессами там всё только для базового функционала. Придётся всё основательно переписывать, если фиксить.


Это не хейт, это фидбек.
Норм. Что не лень будет фиксить - пофиксим.
Но скорее всего будет лень.
С процессами нормально организована работа в Process Hacker, так что лучше юзать либо его (раз ты так радеешь за опенсорс), либо Process Explorer.

-----
EnJoy!

| Сообщение посчитали полезным:

d745150 пишет:
Плагины тут ни к чему. Если к ольке можно было типа скриптов, то к этому никто писать не будет.

Писать не будут - будут приверчивать уже существующие тулзы.
И речь не о скриптах, а как раз о плагинах.



| Сообщение посчитали полезным:

dosprog, я про это и говорил. Но плагинов не будет. Всё реализовано в самом софте. Юпитер с напарником прикрутят всё что нужно, они же не пропадают, как некоторые неоиксы

| Сообщение посчитали полезным:

d745150
прикрутят всё что нужно
Вообще не факт.
Если что и реализовывать, то точно на иначе спроектированном движке, чей функционал будет доступен как для внутреннего гуя и модулей, так и для внешних плагинов.


d745150 пишет:
они же не пропадают, как некоторые неоиксы
Пропадают все в конечном итоге.
И не стоит гнать на NEOx, btw.

-----
EnJoy!

| Сообщение посчитали полезным:

требую сорцы, плагины, полный бак, новую резину, пятихатку евро на ланч,и молудуху чтоб голова не болела
или топ о чём то другом?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Alchemistry пишет:
Дальше ее убивает Windows Defender.
Trojan:Win32/Tiggre!plock - облачный детект от этого АВ. Допустим это FP.

Половина антивирусов на VirusTotal детектит в новой версии PE Tools угрозу.

--> http://5cm.ru/view/i7/4USB.png <--

Даже после применения крякнутого VM Protect результат не будет настолько плохим. Так в чем же дело?

| Сообщение посчитали полезным:

Jupiter пишет:
И не стоит гнать на NEOx, btw.
Не так выразился. Сам пропадал на пару лет (комп сгорел). Ну и всякое бывает. Не только же прогать...

| Сообщение посчитали полезным:

>> Так в чем же дело?
В том, что чётко видно, у кого эвристика полное дерьмище, а у кого хоть чуточку получше.

Называть антивирусом Панду, которая переставала детектить заведомо известный всем и каждому Conficker, стоило его подписать протухшей и отозванной цифровой подписью - это перебор.

| Сообщение посчитали полезным:

Lambda пишет:
Половина антивирусов на VirusTotal детектит в новой версии PE Tools угрозу.

"Это нас очень беспокоит"

-----
EnJoy!

| Сообщение посчитали полезным: BlackCode

Jupiter пишет:
"Это нас очень беспокоит"

Если Вы не заметили, то я не спрашивал беспокоит это Вас или нет.

Интересна причина. Не более.

Dart Raiden пишет:
В том, что чётко видно, у кого эвристика полное дерьмище, а у кого хоть чуточку получше.

Это понятно. Но в этом случае результат уж очень плох.

| Сообщение посчитали полезным:

Lambda пишет:
Если Вы не заметили, то я не спрашивал беспокоит это Вас или нет.

См. мой ответ по той же ссылке.


Lambda пишет:
Интересна причина. Не более.

Причина проста до безобразия:

PE Tools - это инструмент, который работает с exe и dll файлами, проверяет заголовок PE, удаляет и добавляет секции, модифицирует точку входа, модифицирует импорт, экспорт, другие директории - в общем делает всё то, от чего антивирусные эксперты ощущают болезненный жим-жим.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
См. мой ответ по той же ссылке.

По ссылке перешел. Видео посмотрел. Понял, что Вам пофиг на эту ситуацию с детектом. Но от Вас никто ничего не требовал и не спрашивал Ваше отношение к этой ситуации. Так что Вы выглядите как минимум глупо.

| Сообщение посчитали полезным:

Lambda пишет:
Так что Вы выглядите как минимум глупо.

О, переход на личности. Прекрасно!


-----
EnJoy!

| Сообщение посчитали полезным: