Встречайте новый релиз старого-доброго PE Tools
Прошло много лет с тех пор, как NEOx выложил последнюю публичную версию PE Tools в 2006 году, и вы уже могли сто раз подумать, что PET мёртв, но он ожил на некоторое время, чтобы предстать перед вами в 2018 году!

Основной анонс на русском: petoolse.github.io/petools/Announce-RU

ОСНОВНЫЕ ИЗМЕНЕНИЯ

Исправления

В первую очередь новый релиз - это огромное количество багфиксов. Везде, до куда дотянулись наши ручки, были исправлены ошибки, утечки памяти, пофикшена логика работы.
Не исключено, что при исправлении старых ошибок были добавлены новые, но мы старались, чтобы количество исправленных ошибок не влияло на появление новых ))


Новые возможности

Было добавлено несколько приятных фич, которые сделают работу с исполняемыми файлами ещё более наглядной:



Пачка мелких, но полезных фич:



Get high

Добавлена поддержка высокого разрешения экрана (High DPI), что позволяет не вглядываться в иконки и текст, а наслаждаться комфортными пропорциями интерфейса.

Чистка

Были убраны лишние на наш взгляд фичи типа старой обновлялки и старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), сокращено количество внешних библиотек, объединены модули с базовым функционалом.

Другие изменения

Полный список изменений смотри на сайте PE Tools на Github:

HISTORY

Разумеется, было ещё много чего исправлено и добавлено по мелочи, о чём нет смысла писать подробно (да и не всё упомнишь), поэтому проще скачать и убедиться самостоятельно.

Ссылки

Сайт проекта на Github:

petoolse.github.io/petools

Новости проекта:
@petoolse

СКАЧАТЬ

github.com/petoolse/petools/releases


--


2018.03.30

| Сообщение посчитали полезным: Jupiter, batter-f, readt, Haoose-GP, mysterio, Kindly, CyberGod, r_e, Bronco, red0x, TRPD, mak, deniskore, hors, digger70, plutos, Gideon Vi, yashechka, BlackCode, sefkrd, Jaa, CKAP, DICI BF, -=AkaBOSS=-, sendersu, Orlyonok, ELF_7719116, YDS, void, MarcElBichon, Rio, HandMill, sashka2002, GPcH, shellstorm, UniSoft, Vamit, mkdev, mushr00m, Deluser, MacTep, d745150, ==DJ==[ZLO], hypn0, dosprog, SReg, ntldr, LinXP, random, ALSSL, Jim DiGriz, Nightshade, icerix, Smitis, Dr_Di0NiS, nar100, n0x90, KomatoZ, guga, FalseMaster, LordGarfio, yoza

Lambda, не опять 25, тема называется PE Tools 1.9, будьте добры по теме

| Сообщение посчитали полезным: Lambda

v00doo, мой совет не имеет отношения к PE Tools 1.9? Если Вы так считаете - то почему в ответ на мое сообщение написали, что не будете вешать UPX на PE Tools 1.9?

| Сообщение посчитали полезным:

Lambda пишет:
Мне просто из любопытства стало интересно, почему так сильно поменялась ситуация по сравнению с прошлыми версиями

Я уже дал ответ на предыдущий вопрос, почему происходят false positive срабатывания:

Lambda пишет:
Интересна причина. Не более.

Jupiter пишет:
Причина проста до безобразия:

PE Tools - это инструмент, который работает с exe и dll файлами, проверяет заголовок PE, удаляет и добавляет секции, модифицирует точку входа, модифицирует импорт, экспорт, другие директории - в общем делает всё то, от чего антивирусные эксперты ощущают болезненный жим-жим.

Зачем мусолить эту тему? Сначала была интересна причина, почему происходят false positive срабатывания, теперь интересно, почему со старой версией такого не наблюдалось... это всё не имеет никакого отношения непосредственно к проекту PE Tools, это всё опосредованный дискурс о том, как антивири воспринимают инструментарий по работе с исполняемыми файлами. Если так хочется поразмышлять на эту тему - добро пожаловать в Оффтоп.

-----
EnJoy!

| Сообщение посчитали полезным: Lambda

так поделитесь версиями 1.6-1.8 и будем использовать их. Запускать 1.9 лишний раз как-то не очень хочется. Мне хотелось бы иметь инструмент только для работы с Pe (здесь функционал PE Tools на высоте), без ковыряния в процессах (и доступа программы к ним), только редактирование и работа с секциями.

| Сообщение посчитали полезным:

parfetka пишет:
так поделитесь версиями 1.6-1.8 и будем использовать их

Очнитесь, вы будете или не будете использовать только то, что вам доступно.


parfetka пишет:
Запускать 1.9 лишний раз как-то не очень хочется

Не хочется - так не запускайте 1.9, а используйте старую 1.5, кто ж мешает то!


parfetka пишет:
Мне хотелось бы иметь инструмент только для работы с Pe (здесь функционал PE Tools на высоте), без ковыряния в процессах (и доступа программы к ним),

parfetka, вы будто из другой вселенной, где существует какой-то другой PE Tools, которого вы требуете.
Тук-тук, who's there? PE Tools такой, какой есть. С процессами он работает с тех пор, как NEOx сделал его в стиле LordPE. Если конкретно вам не нужен функционал работы с процессами - так не работайте с процессами )
Ну и обратите, наконец, внимание на другие инструменты работы с PE, которые при этом не работают с процессами.

-----
EnJoy!

| Сообщение посчитали полезным:

parfetka пишет:
так поделитесь версиями 1.6-1.8 и будем использовать их. Запускать 1.9 лишний раз как-то не очень хочется.

А Windows 22 не хотите попробовать??

| Сообщение посчитали полезным: Bronco, Nightshade

Не делай людям добра и не получишь зла в ответ. Эта пословица что-то все чаще о себе напоминает.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH

Всё в порядке:
Сообщение посчитали полезным: 47 участников форума )

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
посчитали полезным:
ага...и 4 страницы чёрного пиара..
но апрель есть апрель, пока все подколы на высоте, в целом топ для поднятия настроения...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
но апрель есть апрель

С учётом того, что релиз был под первое апреля, наличие в нём вирусов и чего-то ужасного можно было обыграть куда более страшным способом )

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
С учётом того, что релиз был под первое апреля, наличие в нём вирусов и чего-то ужасного можно было обыграть куда более страшным способом )
Я считаю, с такими вещами не стоит даже шутить. Люди мнительные и верят слухам, репутацию легко потерять.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr

Ты не заметил огромной таблички *SARCASM*

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
у вас нет никаких агрументов и логических доводов. Просто объясните:
1. ПОЧЕМУ выложив (бесплатно) 1.9 вы не ходите выложить старые 1.6-1.8?
2. ЗАЧЕМ внеся правки вы все запаковали в один файл, а не оставили как было?
Поясните хоть как-нибудь эти два момента и я отстану. Сразу было понятно, что "так надо" и никаких других версий не появится.
п.с. Ещё раз: ничего не надо выкладывать, ни сорцов ни версий! Объясните эти два вопроса!

| Сообщение посчитали полезным:

parfetka пишет:
Сразу было понятно, что "так надо" и никаких других версий не появится.

так это мировой тренд - как и Скрипали и Сирия...

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

parfetka пишет:
Поясните хоть как-нибудь эти два момента и я отстану.

как говаривала одна моя приятная во всех отношениях знакомая:
"Зануда - это мужчина, которому проще отдаться, чем обьяснить почему ты его не любишь."

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Да нормальная тулза.
Нечего ото привередничать, имхо.




| Сообщение посчитали полезным:

parfetka пишет:
Поясните хоть как-нибудь эти два момента и я отстану.

Да всё ж элементарно, Ватсон!

Да будет Вам известно, что женщины делятся на 3 категории: дам, не дам и дам, но не Вам.

В данном случае Вы, просто, в 3 категории...

Ну что Вам ещё объяснять-то надо?

| Сообщение посчитали полезным:

DrVB_5_6 пишет:
Вы, просто, в 3 категории...

Именно это многих и раздражает.
Им обидно.

Это нормально.



| Сообщение посчитали полезным:

DrVB_5_6
"Ну что Вам ещё объяснять-то надо? "
тогда не надо строить из себя меценатов и Робин Гудов. Мы (я) как пиратили софт, так и будем: и hiew последние версии, и VB.Decompiler.Pro, и IDA, и PE Tools "нормальный" когда-нибудь утечёт, благо альтернативы последнему имеются, да и версия 1.5 работает.
п.с. считайте меня параноиком: на вирустотал молчат все русские антивирусы, а с ними и договориться можно..

| Сообщение посчитали полезным:

parfetka пишет:
1. ПОЧЕМУ выложив (бесплатно) 1.9 вы не ходите выложить старые 1.6-1.8?
тролишь зачётно, так включать дурака, ещё поучиться надо.
окей, вдруг у тебя это очень серьёзно, и не одно ведро валидола стало пустым
номер версии, это всего лишь строка, написать можно, всё что...согласен?
по факту были фиксы, строка правилось, чеканился билд, который к релизу был не готов, и..
.... так до Дня Дурака.
откатить фиксы не возможно, студия не всё сохраняет
parfetka пишет:
2. ЗАЧЕМ внеся правки вы все запаковали в один файл, а не оставили как было?
ну во первых, это не молибокс и подобные коробки
а во вторых, а зачем куча библиотек, с не полным, или слабым функционалом?
из каждой взяли что надо, и интегрировали код в один файл. основной проект.
----
не уверен, что убедил, так что зажигай дальше.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: parfetka

parfetka пишет:
Мы (я) как пиратили софт, так и будем: и hiew последние версии, и VB.Decompiler.Pro, и IDA
Ну и что? У меня всё это лицензионное, но я не парюсь... и не комплексую, и не выпрашиваю, не пытаюсь косить под дурака...
Да, кстати, все последних версий...
Хотя hiew не пользуюсь и ни разу не устанавливал (подарок от Sen), VB.Decompiler.Pro уже пропустил пару релизов, не скачивал (неограниченная лицензия от GPcH).
В IDA использую 6.95, хотя на компе стоят 4 версии (естественно на все были и есть лицензии) 6.8, 6.95, 7.0 SP1, 7.1... (Ну основная работа у меня вся связана с реверсом...)

Уж для работы с Ре масса всяких Tools. Не нравятся имеющиеся, нарисуй свою...
Вся информация в нете ... Её навалом.

| Сообщение посчитали полезным:

parfetka

parfetka пишет:
у вас нет никаких агрументов и логических доводов. Просто объясните:

Ви спгашиваете "Какие ваши доказательства?", но на это только один ответ:

parfetka пишет:
на вирустотал молчат все русские антивирусы, а с ними и договориться можно

Приходится признать вполне серьёзно:
Да вы чертовски проницательны, мистер (миссис, а то и мисс) parfetka!

Сначала пришлось выяснить, какие русские антивирусы действительно русские, а из тех русских, которые действительно русские (Доктор Веб Курит!), было необходимо узнать, кто же из них настоящий русский патриот и добавит в базу исключение с новым инструментом порабощения наивных реверсеров - мастерски взломанном релизе PE Tools 1.9, в который зашиты все самые ужасные техники морального подавления (известные ещё издревле, со времён владыки-поработителя LordPE, который расшифровывался до ужасного просто: Lord - это "Владыка", а "РЕ" - это "Рабы-Ебанашки", целиком название LordPE расшифровывалось экспертами как "ВладыкаРабовЕбанашек"). Как известно в узких кругах, сам Марк Збиковски (Mark "Zibo" Joseph Zbikowski) прекрасно осознавал проблематику нескончаемой борьбы добра и зла и, создавая формат исполняемых файлов MS-DOS, заложил в его заголовок, в его самое начало, в его краеугольный камень символы борьбы добра со злом: MZ - это в православном шестнадцатиричном коде 4D и 5A, 4 Demons, 5 Angels - 4 Демона, 5 Ангелов - как символ того, что добро (Ангелы) всегда побеждает зло (Демонов). Мистер (миссис, мисс) parfetka, вам, как эксперту-параноику, всё это должно быть прекрасно известно и без моих рассказов, уровень вашей проницательности зашкаливает и выдаёт в вас тотального параноика (ТП), перед которым наши чары бессильны, вы зрите в самый корень. Но вынужден вас огорчить, то, что вы считали злом (PE Tools 1.9), на самом деле - чистейшее добро, разве что без исходников. К сожалению, версии между 1.5 и 1.9 были безвозвратно утеряны в глубинах Мории (Кхазад-Дум), но вы, parfetka, без труда сможете восстановить их интеллектуальной интерполяцией, взяв за основу версии PE Tools 1.3, 1.5 (не пропустив 1.5.400.2003 Xmas Edition, разумеется) и 1.9.

-----
EnJoy!

| Сообщение посчитали полезным: v00doo, parfetka

Да, грусть.

И вообще не понятна подоплёка кипеша,
- как будто речь идёт об уличении в недобросовестности продавцов некоего коммерческого софта.

В данном случае всегда есть масса элегантных решений - от использования параллельно двух версий (1.5 и 1.9)
и до неиспользования вообще никаких (это самый надёжный и безубыточный вариант. Против лома нет приёма).

В общем, дальнейшие наезды предложил бы подкреплять ссылками на фрагменты конкретно вредоносного кода,
иначе дила не буде.



| Сообщение посчитали полезным:

Jupiter пишет:
MZ - это в православном шестнадцатиричном коде
этой скрепой грехи не от молишь, эта скрепа разрушительная..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

да запакуйте карженым vmp уже, можно будет с чистой совестью на него валить

| Сообщение посчитали полезным: Dart Raiden

Вот не надо так шутить, пожалуйста

| Сообщение посчитали полезным:

Пользователем @greenozon обнаружен некритичный баг с неудалением цифровой подписи при добавлении импорта.
Как обойти: удалять цифровую подпись до модификации файла.

-----
EnJoy!

| Сообщение посчитали полезным:

Тогда неплохо бы показывать оверлей в списке секций
- в том же диалоге его можно было бы и удалять.



| Сообщение посчитали полезным:

Идея - раз будет (или уже есть ) удаление, может для полности функционала добавить добавление оверлея) ? (почти оксюморон получилс)


| Сообщение посчитали полезным:

parfetka

> на вирустотал молчат все русские антивирусы, а с ними и договориться можно

Да, это эпичная фраза

ВТ(и аналогичных сервисов) тесты разделяются на два типа - либо там тестит глупый юзер и принимает решение по статистике, либо это направленные тесты разрабами малварки. В первом случае выхлоп ничего не означает, нужно запустить семпл под вм-монитором, таким как был Анубис и тп., но в таком случае юзер его лог понять не способен. Статистика по ав нужна лишь глупым юзер хомячкам, если она приводится тут - то ты тоже из них

-----
vx

| Сообщение посчитали полезным: