Может быть кто знает, есть ли в программы которые собирают разную информацию о файлах и выводят это всё в отдельный документ/ базу данных?

К примеру программа анализирует файл PE и выводит всю информацию о полях заголовка, секциях, импорте в красивый отчёт.

Желательно чтобы программа работала с командной строкой и выводила информацию в pdf, а также имела возможность подключать свои модули.

Есть ли что-то подобное в природе или придётся как всегда писать подобную программу самому?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Не встречал, поэтому:
hors пишет:
как всегда

| Сообщение посчитали полезным: hors

die ведь всё это делает, осталось вывести в отчет с оформлением по желанию.

| Сообщение посчитали полезным: hors

полно таких, только на github с пару десятков, кукушка, мастиф, вайпер и плагины к ним, в отчет можно включать от метаинформации до сохранения графа и дампов памяти, сами отчеты от json до pdf с картинками.

| Сообщение посчитали полезным: hors

shellstorm пишет:
полно таких, только на github с пару десятков, кукушка, мастиф, вайпер и плагины к ним, в отчет можно включать от метаинформации до сохранения графа и дампов памяти, сами отчеты от json до pdf с картинками.

Спасибо за информацию. С вайпером надо будет поиграться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

А чем не устраивает PEDUMP (Сейчас она называется EDUMP) из комплекта Hiew?
Правда, отчёт у неё чисто текстовый. Но вполне красивый.
Ещё есть микрософтовская HDR, на любителя, делает то же самое.



| Сообщение посчитали полезным: ajax

dosprog пишет:
А чем не устраивает PEDUMP (Сейчас она называется EDUMP) из комплекта Hiew?
Правда, отчёт у неё чисто текстовый. Но вполне красивый.
Ещё есть микрософтовская HDR, на любителя, делает то же самое.

А плагины можно свои подключить к этим программам?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

@hors

C:\Program Files (x86)\VS14\VC\bin>dumpbin.exe /?
Microsoft (R) COFF/PE Dumper Version 14.00.24215.1
Copyright (C) Microsoft Corporation. All rights reserved.

usage: DUMPBIN [options] [files]

options:

/ALL
/ARCHIVEMEMBERS
/CLRHEADER
/DEPENDENTS
/DIRECTIVES
/DISASM[:{BYTES|NOBYTES}]
/ERRORREPORT:{NONE|PROMPT|QUEUE|SEND}
/EXPORTS
/FPO
/HEADERS
/IMPORTS[:filename]
/LINENUMBERS
/LINKERMEMBER[:{1|2}]
/LOADCONFIG
/NOLOGO
/OUT:filename
/PDATA
/PDBPATH[:VERBOSE]
/RANGE:vaMin[,vaMax]
/RAWDATA[:{NONE|1|2|4|8}[,#]]
/RELOCATIONS
/SECTION:name
/SUMMARY
/SYMBOLS
/TLS
/UNWINDINFO

| Сообщение посчитали полезным:

hors пишет:
А плагины можно свои подключить к этим программам?

Плагины да. Нельзя.

А для чего?



| Сообщение посчитали полезным:

dosprog пишет:
Плагины да. Нельзя.

А для чего?

Например в дополнение к стандартной информации мне нужен не просто вывод импорта файла, но вывод с комментариями. Скажем если импортируется WSAStartup, то в отчёт должно писаться что программа работает с сетью. Это только один из примеров.

Это можно сделать с помощью плагинов.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors, Это можно сделать с помощью плагинов.

Всегда думал, что подобное делается сбором информации в более-менее удобном для обработки формате и последующим ее парсом. А pdf генерировать уже в финале, ole-автоматизацией или как-то еще. Наврядли существует идальная программа, удовлевторяющая каждому капризу, да и писать плагин наверное куда геморройней, чем просто vbs-скрипт, отлавливающий stdout-вывод из консольного приложения, обрабатывающий и выдающий результат в виде MS Word документа например.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Всегда думал, что подобное делается сбором информации в более-менее удобном для обработки формате и последующим ее парсом

А если кроме стандартной информации,которую выдаёт программа, нужна ещё и дополнительная информация,которую без прямого доступа к файлу не получить? Поэтому без плагинов никак не обойтись.

f13nd пишет:
ole-автоматизацией

На моём стареньком компьютере наверное такого чуда нет.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
На моём стареньком компьютере наверное такого чуда нет.
На этом чуде 96% виндового гуя построено.

| Сообщение посчитали полезным:

rmn пишет:
На этом чуде 96% виндового гуя построено.



-----
http://ntinfo.biz

| Сообщение посчитали полезным: sefkrd

Сидит на линуксе и спрашивает какие-нибудь командлайные тулзы для вывода информации о файлах и форматирования отчетов... Наркоман, чтоле, с.ка?

| Сообщение посчитали полезным: hors

rmn пишет:
Сидит на линуксе и спрашивает какие-нибудь командлайные тулзы для вывода информации о файлах и форматирования отчетов.

Большинство команднолайных тулз прекрасно работает под линуксом нативно или под вайном, даже иногда лучше чем под Windows.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Jupiter

hors
Ну так, а я о чем? У тебя полный /usr/bin тулз для вывода самой различной информации и форматирования ее в, наверное, любые формы, которые ты только себе можешь представить. А ты спрашиваешь, где взять

| Сообщение посчитали полезным: sefkrd

hors пишет:
Например в дополнение к стандартной информации мне нужен не просто вывод импорта файла, но вывод с комментариями. Скажем если импортируется WSAStartup, то в отчёт должно писаться что программа работает с сетью. Это только один из примеров.

Вспомнился SOURCER - у того при вербозных комментариях бывало:

xor ax,ax ;zero register
je l_0023 ;jump if equal
и т.д.

Не знаю, надо ли оно такое?..

..Впрочем, у того же Sourcer'а бывали и полезные комментарии,
например, при пояснениях к аргументам прерываний.
В общем, не знаю.
СтОит ли оно потраченного



| Сообщение посчитали полезным:

hors пишет:
то в отчёт должно писаться что программа работает с сетью

Вот действительно странные вещи спрашиваешь. По идее задачи надо разделить. Одно дело собрать "техническую" инфу и запихнуть её в базу. Другое дело на основе этой инфы генерировать отчеты. Для технической инфы уже есть инструменты, тот же die. Ну или покажу тебе кое-что (или уже показывал), что уже собирается. И импорты, и экспорты, и точки входа, и что угодно еще можно прикрутить почти моментально. Вплоть до поиска специфических сигнатур.
А вот потом надо делать тулзу, которая бы это всё толковала. Только отчет может быть большим, зачем он тебе?
Может проще из базы выбирать по нужным условиям.

В общем я примерно догадываюсь для чего тебе это нужно. Сам об этом когда-то думал. Мне кажется - пустая идея. Но если очень хочется, тогда только в базу и там уже olap-ы всякие и прочий сатанизм.

| Сообщение посчитали полезным:

hors А если кроме стандартной информации,которую выдаёт программа, нужна ещё и дополнительная информация,которую без прямого доступа к файлу не получить? Поэтому без плагинов никак не обойтись.

Один файл можно по очереди обработать несколькими утилитами, в том числе своей собственной, восполняющей недостающий функционал. Меня пугает эта железная логика про необходимость плагинов. Но учитывая открывшееся обстоятельство, что это еще должно работать под вайном, мне кажется, что мы ищем свисток для ж.пы.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Один файл можно по очереди обработать несколькими утилитами, в том числе своей собственной, восполняющей недостающий функционал. Меня пугает эта железная логика про необходимость плагинов.

Если всё равно писать дополнительно собственные программы, то лучше вместо них написать плагины. По временным затратам это получится быстрее.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
лучше вместо них написать плагины
Предлагаю плагинами и решить задачу. Пришлю тебе API, наделаешь сколько хочешь.

| Сообщение посчитали полезным: hors