Встречайте новый релиз старого-доброго PE Tools
Прошло много лет с тех пор, как NEOx выложил последнюю публичную версию PE Tools в 2006 году, и вы уже могли сто раз подумать, что PET мёртв, но он ожил на некоторое время, чтобы предстать перед вами в 2018 году!

Основной анонс на русском: petoolse.github.io/petools/Announce-RU

ОСНОВНЫЕ ИЗМЕНЕНИЯ

Исправления

В первую очередь новый релиз - это огромное количество багфиксов. Везде, до куда дотянулись наши ручки, были исправлены ошибки, утечки памяти, пофикшена логика работы.
Не исключено, что при исправлении старых ошибок были добавлены новые, но мы старались, чтобы количество исправленных ошибок не влияло на появление новых ))


Новые возможности

Было добавлено несколько приятных фич, которые сделают работу с исполняемыми файлами ещё более наглядной:



Пачка мелких, но полезных фич:



Get high

Добавлена поддержка высокого разрешения экрана (High DPI), что позволяет не вглядываться в иконки и текст, а наслаждаться комфортными пропорциями интерфейса.

Чистка

Были убраны лишние на наш взгляд фичи типа старой обновлялки и старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), сокращено количество внешних библиотек, объединены модули с базовым функционалом.

Другие изменения

Полный список изменений смотри на сайте PE Tools на Github:

HISTORY

Разумеется, было ещё много чего исправлено и добавлено по мелочи, о чём нет смысла писать подробно (да и не всё упомнишь), поэтому проще скачать и убедиться самостоятельно.

Ссылки

Сайт проекта на Github:

petoolse.github.io/petools

Новости проекта:
@petoolse

СКАЧАТЬ

github.com/petoolse/petools/releases


--


2018.03.30

| Сообщение посчитали полезным: Jupiter, batter-f, readt, Haoose-GP, mysterio, Kindly, CyberGod, r_e, Bronco, red0x, TRPD, mak, deniskore, hors, digger70, plutos, Gideon Vi, yashechka, BlackCode, sefkrd, Jaa, CKAP, DICI BF, -=AkaBOSS=-, sendersu, Orlyonok, ELF_7719116, YDS, void, MarcElBichon, Rio, HandMill, sashka2002, GPcH, shellstorm, UniSoft, Vamit, mkdev, mushr00m, Deluser, MacTep, d745150, ==DJ==[ZLO], hypn0, dosprog, SReg, ntldr, LinXP, random, ALSSL, Jim DiGriz, Nightshade, icerix, Smitis, Dr_Di0NiS, nar100, n0x90, KomatoZ, guga, FalseMaster, LordGarfio, yoza

sendersu пишет:
Идея - раз будет (или уже есть ) удаление, может для полности функционала добавить добавление оверлея) ? (почти оксюморон получилс)

Оверлей добавляется командой "copy /b", без проблем.



| Сообщение посчитали полезным:

Tools -> PE Editor -> Choose any file -> Sections -> Right Click -> DumpFixer -> Close -> Entropy -> привет вылет.

Самую малость не хватает Split/Unsplit как в LordPE. Функционал такой есть - но поштучно для каждой секции, без header, не совсем информативными именами секций в диалоге сохранения. section_2.bin -> 2_DATA.bin ? Если секция имени не имеет и т.д. - 0_header.bin, 1_CODE.bin, 2_section.bin ... 10_overlay.bin ?

Сохранение, удаление, добавление и замена сертификата ?

Для уменьшения размера: выкинуть все About.bmp, оставить одну большую которую ресайзить до нужных размеров ?
31064+48064+68864=147992 - функция ресайза точно будет меньше этого размера.

Есть еще одна-две мелочи ....

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: dosprog, sendersu

mysterio пишет:
Для уменьшения размера
Ну размер не стоял целью, ресайз отвратительный у винды по дефолту, разве что могу заюзать gdiplus и выкинуть ненужное, в таком свете можно порешать.
Падение тоже гляну, там очень много старых траблов с реалоком при изменении, все сразу и не выискать.

PS Может сделаем тему парням для обсуждения антивирусов и закладок, а то я смотрю актуально?

| Сообщение посчитали полезным:

Так вроде создали уже. --> Link <--

Но надо непременно здесь.

| Сообщение посчитали полезным:

dosprog пишет:
Но надо непременно здесь.
Трёп на счёт антивирей, детектов и тому подобной болтовни, не касающейся PE Tools напрямую, потёр к чертям.

-----
EnJoy!

| Сообщение посчитали полезным:

mysterio пишет:
Самую малость не хватает Split/Unsplit

[offtop]
Кстати, неплохая тулза на эту тему - --> PEWizard 1.10 (c)1999 ST!LLSON <--.
[/offtop]



| Сообщение посчитали полезным:

dosprog

Фишка с -join, -split хороша, судя по readme. Она работает с современными файлами, собираемыми последними студиями?

-----
EnJoy!

| Сообщение посчитали полезным:

Да вроде бы проблем не было. Правда, совсем последние мне не попадаются.

--Добавлено--
И ещё - та тулза оверлеем не занимается. А было бы неплохо.
То есть после split + join получаем исходный файл без оверлея.

--Добавлено2--
В принципе, оно, может, и не критично, поскольку пользовался ею в основном для потрошения дампов.


--Добавлено3--

Пример работы опции "-split":


Этот файл-описание dc.exe.pe (*.exe.pe) можно использовать потом аргументом при "-join"
В принципе, всё логично.



--Добавлено4--

[offtop]
[анегдот]
За совка, чувак приезжает в Москву. На вокзале садится в такси и небрежно говорит таксисту:
-- Давай, лети в Принцип
Таксист в недоумении - мол, сколько работаю, ни о каком Принципе не слышал. Где это?
Чувак в раздражении:
-- Да я не местный. Мне кореш рассказывал - мол, в Москве в магазинах нихрена ничо нету, но, в принципе, мол, всё купить можно.
Мчи в Принцип, короче.
[/анегдот]
[/offtop]


--Добавлено5--

Кстати, термин "оверлей" применительно к PE-файлам, наверное, не подходит. Этот термин унаследован ещё от DOS.
Но, в принципе, всем понятно, о чём идёт речь..



| Сообщение посчитали полезным:

PEWizard 1.10 ...
Слегка улучшенная переделка более ранней PEUtils by Andrew de Quincey 1998.

Мелочи:
1. Tools -> PE Editor -> Compare -> выбрать, по ошибке, тот же файл -> получаем "Error while accesing the file ...." - зря пытаемся открыть уже открытый файл - когда как проще, не вызывая ошибки, его не открывать и сравнить путь - юзеру сообщить чтобы выбрал что-то еще.

2. Раз тема на счет оверлеев понравилась: как все в том же LordPE, сделать обрезку последней секции, этого самого оверлея, в виде 2 вариантов. "Truncate at the end of section" - он же strip overlay, обрезает файл до размера последней секции. "Truncate file immediately after data end" - обрезка до фактического размера последней секции, по сути strip overlay + cut padding.
Сюда же можно добавить Add/Replace/Extract overlay.


Как костыль - сойдёт.
Убедили - генерирование исключительных ситуаций без обработки - это круто, а их исправление или не создание - это костыль. В таком свете, просьба отменить запрос на исправление "Tools -> ... -> Entropy -> привет вылет." так как лучше уж оставить как есть и не трогать. imho. - пусть себе вылетает. Просьбы отнесены к мелочам - ожиданий что это исправят не было.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: dosprog

mysterio пишет:
Слегка улучшенная переделка более ранней PEUtils by Andrew de Quincey 1998.

Ну, может, и не слегка - там всё-таки ещё [простые] дизасм и пе-дампер встроены,
но фича split/join явно позаимствована в PEUtils, - согласен.

В принципе, тут и придумывать нечего - в этот алгоритм добавить работу с оверлеем
- и уже будет готовая опция.


Добавлено спустя 20 минут
mysterio пишет:
когда как проще, не вызывая ошибки, его не открывать и сравнить путь - юзеру сообщить чтобы выбрал что-то еще.

Как костыль - сойдёт.
Но имя одного и того же файла может иметь четыре разных вида -
LFN/SFN с/без PATH'а.
(а если ещё добавить мешанину LFN/SFN в полном пути, то вариантов не четыре, а ..мильён)..

Так что лучше уж оставить как есть и не трогать. imho.


Добавлено спустя хз сколько минут

Проверил, как в таком случае реагирует собственная утиль CMP32
- при сравнении файла с самим собой пишет "Differences not found.."
Тоже неху.ово(с)


[offtop]
Едут в СВ Дембель и генерал.
Г: - Ты кто?
Д: - Я - дембель, а ты кто?
Г: - А я генерал!
Д: - Хм. Ну, тоже нехуёво!
[/offtop]



Добавлено спустя много минут

mysterio пишет:
генерирование исключительных ситуаций без обработки - это круто

Это не годится, согласен.
Лучше просто открывать файлы только для чтения и тупо осуществлять.
- никаких ошибок и не будет.






--Добавлено значительно позже--

Тулза от Andrew de Quincey настолько убедительная, что собрал те две утилиты в один EXE, для удобства использования.
Получилось - --> PEU.EXE <-- (см. далее)

Пример заразителен.
Позже подумаю, как логичней втулить туда же работу с оверлеем.



--Добавлено позже того, что значительно позже--

В тулзу от Andrew de Quincey добавлена работа с оверлеем, если он присутствует в исходном файле.
Получилось такое: --> PEU.EXE <--

Причём добавленная "оверлейная" опция сделана абсолютно прозрачной.
То есть, если в исходном файле присутствовал оверлей, то он учитывается,
иначе действие программы аналогично действию старой утилиты v.1.0 от Andrew de Quincey.
И кроме того, на этапе "-join", - если в мап-файле "?.exe.pe" удалить секцию "Overlay",
то PE-файл по опции "-join" будет собираться без оверлея, как и в оригинальной старой версии.



| Сообщение посчитали полезным:

mysterio пишет:
зря пытаемся открыть уже открытый файл
Бага. Добавлю в Issues

-----
EnJoy!

| Сообщение посчитали полезным:

Да всё там корректно, имхо - программа же не падает..
Просто сообщает, что файл уже занят - дальше можно уже думать,
что было сделано не так при выборе этого второго файла.
Лучше уже и не придумаешь.
(Разве что добавить в тот еррормесидж пояснение, что, мол, возможно, вы пытаетесь указать на уже открытый файл).
Такое проявление не воспринимается как ошибка программы, а наоборот, - как штатная ситуация.


--Добавлено2--
Посмотрел, как ведёт себя в подобном случае утиль HexCMP2 - тупо сравнивает файл с самим собой, без ошибок.
И наверное, это правильно.
Хотя выдать еррормесидж "возможно, вы пытаетесь указать на уже открытый файл" - тоже нехуй.во(с)



--Добавлено--

А вот что смотрелось бы органично - это добавить в SectionEditor
подобие FileLocationCalculator'а.
И чтобы непременно была опция "Хвосты секций"
- отображать их размер,
- указывать, если адрес попадает в "хвост",
- "обрезать хвост секции".

Описано вкратце --> туд <--
На примере FLC от ManHunter'a.



| Сообщение посчитали полезным:

dosprog пишет:
Оверлей добавляется командой "copy /b", без проблем.

Если добавлять работу с оверлеем, то логика [имхо] должна быть такая:
Запилил, кстсти, HEM-plugin, реализующий вот это вот.
Посмотреть можно --> тут <-- (добавление5 от 14 мая 2018 г.)



| Сообщение посчитали полезным: sendersu

1. Неплохо было бы добавить флаг A.A. (Anti-attach):

и его деблокировку.

2. И вьюер PEB

| Сообщение посчитали полезным:

Бажек при убиении секции желательно бы поправить.
А то пользуюсь этой тулзой в основном для этого,
а оно работает не очень корректно.



| Сообщение посчитали полезным:

Убедительная просьба к разрабам, перехватившим эстафетную палочку, в следующих версиях, ежели оные планируются, выпилить к хренам из сей архинужной тулзы кривулину, именуемую "Rebuild PE", потому как дрянь беспардонно поганит файлы (эта "фича" тянется ещё с давних времён). Олсо было бы нихуйово слегка подрихтовать перекрывающиеся маленькие кнопари в диалогах.

Ковырялово ресурсов никто не отменял, но всё-таки хотелось бы искаропки.

| Сообщение посчитали полезным:

FalseMaster пишет:
выпилить к хренам из сей архинужной тулзы кривулину, именуемую "Rebuild PE", потому как дрянь беспардонно поганит файлы (эта "фича" тянется ещё с давних времён).

Есть такое. Кардинальное изменение всего движка и привела к тому, что лавина изменений снесла к ебеням всякое желание костылить, а на переписывание с нуля [пока] нет ресурсов.

FalseMaster пишет:
подрихтовать перекрывающиеся маленькие кнопари в диалогах
Не до того, сэр.

-----
EnJoy!

| Сообщение посчитали полезным:

Что автор понимает под термином "костыль"? Исключительно из интереса.

Алсо меня интересует каким образом автору удалось добиться вот такого результата

https://www.virustotal.com/gui/file/8fd1a1cc1a253fd58693c181895d392ba20fc2a638aaecbc2e8f5d004db8fc27/detection

Для сравнения это PeTools v1.5 RC7 (файлу 11 лет на вт), этих пятерых ноунейм шизофреников можно смело исключать из обоих кейсов.

https://www.virustotal.com/gui/file/a69025ececf28f13184fd442d0fe0759db4a6b4f192b974f0d83fa54b70a05aa/detection

| Сообщение посчитали полезным:

Alchemistry
Только что сделал повторный анализ на вирус тотале, версия немного другая.
https://www.virustotal.com/gui/file/2198c71f1bbf4809a1f4af58e0b11aac9c33edfee0be7ef29f6fe798dc7b6e8d/detection
PE.Tools.v1.9.712.2018
Файл (PETools.exe) sha256 - 2198c71f1bbf4809a1f4af58e0b11aac9c33edfee0be7ef29f6fe798dc7b6e8d
sha1 - d6883cade3e99a6d0b8c5391435ae1d35f67cb67
У них детект зависит от дня недели? или от гороскопа?
Вроде там не полиморф..

| Сообщение посчитали полезным:

BlackCode
Первый файл попал в онлайн сандбоксы и имеет негативную репутацию, в интернете засвечен много, второй проскачил мимо них т.к. версия не распространена. Большинство детектов этих nextgen аверов это детекты по доверию.

Могу предположить что автор заюзал в новой версии дизасм движок который юзается только в малвари

| Сообщение посчитали полезным:

Некий "Эксперт по безопасности" Peter Engel https://www.virustotal.com/gui/user/angel1973 ковырял новые сборки вручную и вроде как обнаружил в них "трояна".

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
Да, это как раз эксперт вроде как.
Я живьем таких экспертов видел ...

| Сообщение посчитали полезным: hors, dosprog

Вообще, такие наезды должны сопровождаться комментированными примерами
вредоносного кода, выдранного из программы.
А иначе это всё сказано-мазано.

Тут некто уже пытался авторитетно сказать нехорошо о примитивном лоадере,
сгенерённом паблик-утилитой и запакованном PECO,
- было немного смешно, но и вопрос - какого члена?



| Сообщение посчитали полезным: BlackCode, Jupiter, hors

dosprog пишет:
Вообще, такие наезды должны сопровождаться комментированными примерами
вредоносного кода, выдранного из программы.
А иначе это всё сказано-мазано.
Абсолютно правильно! Как говориться, пруфы в студию!
А "антивирусные сервисы" типа вирустотола и иже с ним, как правило рассчитаны для
недалеких параноидальных пользователей которые как бараны заливают на них все подряд, что под руку
не попадется. После чего, такие "как бы" эксперты даже в калькуляторе найдут WannaCry

| Сообщение посчитали полезным:

Alchemistry пишет:
Алсо меня интересует каким образом автору удалось добиться вот такого результата

Надеюсь, умеешь читать по-английски. Всё подробно изложил ещё прошлой осенью:

--> Issue #7. PETools detected as malware <-- на странице проекта на GitHub.

-----
EnJoy!

| Сообщение посчитали полезным: hors

Jupiter
Надеюсь, умеешь читать по-русски: это не ответ, а набор школьного бреда. По этой логике все PE редакторы, утилиты и дизассемблеры должны иметь 75% детекта на ВТ. Как видишь тот же старый PETools, внезапно, не имеет этих детектов. Воу.

А насчет того что там на ВТ и кто туда отправляет, это не важно. Когда кто-то попытается это скачать и не сможет - потому что его AVG или Avast (весьма популярные кстати) просто убьют это во время закачки - вот тогда и посмеемся.

| Сообщение посчитали полезным:

Господас-c, не вижу смысла в вашем сраче: на exe обычный Generic детект - очевидно, что автоматика подетектила у нескольких ключевых вендоров, а остальные слизали. Отошлите false positive report на AVG/Avast/NOD32/BitDef, если ничего нет - детект снимут в след выпуске баз.

| Сообщение посчитали полезным:

Alchemistry пишет:
это не ответ, а набор школьного бреда

Вот не могу понять, ты чего хочешь добиться таким уровнем аргументации?
Ты считаешь, что если ты будешь постоянно педалировать больную для тебя "школьную" тему вместо реальной аргументации, то твоя позиция станет более понятной? Нет, не станет. Пока я вижу, что у тебя бомбит без каких бы то ни было реальных аргументов.

Alchemistry пишет:
Когда кто-то попытается это скачать и не сможет - потому что его AVG или Avast (весьма популярные кстати) просто убьют это во время закачки - вот тогда и посмеемся.

По --> ссылке на гитхаб <--, которую я давал выше, ты бы мог прочитать раздел "Possible solutions", он же "Возможные решения", в которых прямо перечислено:
- Inform antivirus company that produced weak antivirus with paranoid engine about false detection: by email or forum
- Trust professional antivirus which doesn't mark PE Tools as threat
- Analyse PE Tools features with disassembler like Cutter / Binary Ninja / IDA and decide yourself
- Don't use PE Tools in real world environment, only in safe VM conditions

Если тебе ни один из предложенных вариантов не подходит, то, возможно, этот продукт не для тебя, и тебе стоит обратить свой взор на упомянутые тобой "все PE редакторы, утилиты и дизассемблеры", которым ты доверяешь.

Если же у тебя есть реальные аргументы, которые говорят о том, что бинарь PE Tools - это на самом деле зловред, то не держи эти реальные аргументы при себе, а выкладывай их, после чего мы с v00doo рассмотрим их, разберёмся.
Вот только дело в том, что с прошлого года, когда впервые был поднят вопрос о детектах говноантивирусами, не нашлось ни одного реального аргумента. Только домыслы.

Ты не на форуме домохозяек, а на форуме исследователей программ, которые в состоянии использовать инструментарий анализа кода и докопаться до истины самостоятельно.
Судя по тому, сколько времени времени прошло с момента публикации тобой твоего первого комментария, в котором у тебя бомбило на счёт закрытости программы, но ничего конкретного с тех пор ты так и не смог обнаружить, можно сделать вывод, что у тебя нет элементарной квалификации, чтобы провести подобное исследование. Все твои дальнейшие бездоказательные доёбки к PE Tools оставь, пожалуйста, при себе.

-----
EnJoy!

| Сообщение посчитали полезным: BlackCode, alfaservice, plutos, samtehnik

даже если и присутствует "сферический зловред в вакууме", то при малейших опасениях следует использовать VM - в наше время это вообще не проблема. даже в w10 своя песочница есть родная, если другие VM ставить нет желания. проблема высосана из пальца. имхо.

| Сообщение посчитали полезным:

О чём тут вообще, у меня для вас новость - женерики и тп это не детекты, а статистика. Детект может быть конкретный по сигнатурам, обычно статическим. И чем более говяного качества ав, тем больше он использует статистику, это нужно что бы авер показывал свою работу, иначе он нафиг не нужен. Качественные ав обычно статистику вообще не используют и поэтому не ошибаются, ms например.

В таких тулзах детект на самом деле может быть по сигнатурам, например по дизу. Мне раньше приходилось криптовать его, что бы аверы не палили при тестах.

Добавлено спустя 11 минут
Alchemistry

> Как видишь тот же старый PETools, внезапно, не имеет этих детектов.

Может в импорте нет апи какой то что бы статистика сошлась или может какие то энтропии не сошлись, какая разница, если это не сигн детект, а ошибка ав. Для них ошибка лучше чем её отсутствие, иначе авер не работает вообще никак.

Добавлено спустя 23 минуты
BlackCode

> У них детект зависит от дня недели?

А где ты там детект увидел, там женерики. Давайте лучше про йод раскажите

-----
vx

| Сообщение посчитали полезным: