Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+3 невидимых)

 eXeL@B —› Софт, инструменты —› Hiew
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . >>
Посл.ответ Сообщение


Ранг: 264.0 (наставник), 5thx
Активность: 0.210
Статус: Участник
Vanilla Sky

 Создано: 04 июня 2006 22:31 · Поправил: Модератор
· Личное сообщение · #1

Hiew

Возможности release VIII:
- просмотр файлов любой длины в текстовом, шестнадцатеричном и в режиме дизассемблера
- x86-64 ассемблер и дизассемблер (включая инструкции AVX)
- просмотр и редактирование логических и физических дисков
- подержка форматов исполняемых фалов NE,LE,LX,PE/PE32+,ELF/ELF64(little-endian),Mach-O(little-endian),TE
- поддержка Netware Loadable Modules NLM,DSK,LAN,...
- переходы по call/jmp одним нажатием
- поиск по шаблону в дизассемблере
- встроенная 64битная система расшифровки/зашифровки
- встроенный мощный 64битный калькулятор
- блоковые операции любой длины: чтение, запись, заполнение, удаление, копирование, перемещение
- многофайловый поиск/замена
- клавиатурные макросы
- просмотр, редактирование, поиск в unicode/utf8
- возможность создавать свои Hiew Extrenal Modules
- ArmV6 дизассемблер

Ограничения DEMO-версии:
- поддержка только файлов PE 32бит
- нет ассемблера
- нет 64битного дизассемблера
- нет ARM дизассемблера
- нет поддержки логических/физических дисков
- нет модуля крипта
- нет обработки ini-файла
- нет sav-файла
- нет клавиатурных макросов
- нет записи/чтения имен (names)
- нет загрузки HEM (Hiew External Module)

Hiew32 Demo (~160Kb Win32 only)

HEM SDK:
HEM SDK 0.52

8.63 (31 Jan 2018)
- utf8 (1- and 2-bytes)
- @o/@O в калькуляторе для local/global offset
- (Shift-)Alt-N: (предыдущая)следующая маркировка
- PE Import dll list сортирован
- hex mode: переключение между файлами по Ctrl-Tab сохраняет текущее смещение




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 07 сентября 2017 00:24
· Личное сообщение · #2

Вышла новая версия Hiew v8.60

Добавлена поддержка формата Terse Executable (TE).
Формат близок к PE32 / PE32+, сигнатура (EFI_IMAGE_TE_SIGNATURE) - "VZ" (0x5A56) вместо "PE".


Цитата с офсайта:

8.60 (5 Sep 2017)
Code:
  1. - поддержка TE файлов
  2. - fix(Macho): падал дл invalid indirectsym index
  3. - последний переход сразу вставляется в Goto dialog


-----
EnJoy!

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 07 сентября 2017 03:16 · Поправил: Модератор
· Личное сообщение · #3

Круто

От модератора: Предупреждение! Нарушение п.6 правил форума.

Добавлено спустя 2 часа 50 минут
[offtop]


>> От модератора: Предупреждение! Нарушение п.6 правил форума.

Есть и такое:

однако, всё зависит от ситуации и от тематики топика, главное - уважайте участников форума и себя

Ситуация соответствует, имхо.
[/offtop]

на 3 дня за спор с модератором




Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

 Создано: 01 февраля 2018 13:24
· Личное сообщение · #4

Hiew v8.63 (31 Jan 2018)

Изменения
Code:
  1. - utf8 (1- and 2-bytes)
  2. - @o/@O в калькуляторе для local/global offset
  3. - (Shift-)Alt-N: (предыдущая)следующая маркировка
  4. - PE Import dll list сортирован
  5. - hex mode: переключение между файлами по Ctrl-Tab сохраняет текущее смещение

Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

 Создано: 10 апреля 2018 13:32
· Личное сообщение · #5

На руборде зарелизили 8.63. Ссылок не даю, всё равно тут потрут.

| Сообщение посчитали полезным: SaNX


Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

 Создано: 10 апреля 2018 14:13
· Личное сообщение · #6

Dart Raiden пишет:
На руборде зарелизили 8.63.

Очередной криволом

| Сообщение посчитали полезным: Jupiter

Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

 Создано: 11 апреля 2018 11:06
· Личное сообщение · #7

Надеюсь автор читает тут,

пожелание - начать думать над поддержкой регистров ЦПУ ZMMxxx
а также набора инструкций AVX512

уже есть софт и hiew сливает конкурентам




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 11 апреля 2018 11:39
· Личное сообщение · #8

sendersu пишет:
Надеюсь автор читает тут

Пиши ему на почту, которая указана в правом нижнем углу hiew.ru

-----
EnJoy!

| Сообщение посчитали полезным: sendersu

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 13 мая 2018 10:50 · Поправил: dosprog
· Личное сообщение · #9

BlackCode пишет:
Очередной криволом

Это почему ещё - криво~? - Добавь свой вариант, чтоб было ясно, как надо.



--Добавлено--

Такой вопрос, может, кто сталкивался?

- как с помощью HEM-API обрезать текущий редактируемый файл по заданному адресу?
Запись ноля байтов не помогает, хотя и не вызывает ошибку, запись -1 байтов то же самое.
Code:
  1. HiewGate_FileWrite( 0x100 /*offset for trim*/,   0  /*n_bytes*/, &buffer ); //так не
  2. HiewGate_FileWrite( 0x100 /*offset for trim*/,  -1  /*n_bytes*/, &buffer ); //так тоже не


--Добавлено--
Оно, конечно, можно и с помощью WinAPI, но должен же быть соответствующий HEM-функционал?..
Или не должен?



Добавлено спустя 17 часов 53 минуты
..Ладно.
В общем, в коллекцию добавлен плагин PE_OVL.HEM для манипуляции с оверлеем PE-EXE.
Смотреть --> тут <-- (добавление5 от 14 мая 2018 г.)

Логика работы плагина такая:
Code:
  1. If PE-EXE contains the overlay   //если PE-EXE имеет оверлей
  2. then  select:  //тогда можно выбрать:
  3.     -Strip overlay   //отрезать оверлей
  4.     -Append or replace overlay from file //заменить или добавить оверлей  из файла
  5.     -Save overlay to file // сохранить оверлей в файл
  6. else  //иначе, если оверлея нет, тогда
  7.     -Append overlay from file // добавить оверлей из файла



Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 17 мая 2018 02:07 · Поправил: dosprog
· Личное сообщение · #10

Снова вопрос касательно HEM-API.

Есть такая функция:
Code:
  1. HEM_QWORD  HiewGate_Find( int  flags ,HEM_QWORD offset  ,HEM_BYTE *pData ,int dataLength /* <=20*/ ,HEM_BYTE *pMask);
Кто-то пользовался ею?
- Интересует описание её действия и аргументов.
В частности, <flags> и <pMask>. То есть формат "флагов"[что это вообще за флаги] и формат маски поиска.


Добавлено спустя чуть-чуть

В плагин PE_OVL.HEM для манипуляции с оверлеем PE-EXE добавлена опция "Goto overlay".
Смотреть --> тут <-- (добавление5 от 14 мая 2018 г., updated 17 мая 2018)

| Сообщение посчитали полезным: sendersu


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 17 мая 2018 11:30
· Личное сообщение · #11

Подсмотрел здесь - --> Link <--

flags
Code:
  1. HEM_FIND_NEXT            = 0x00000001
  2. HEM_FIND_BACKWARD        = 0x00000002
  3. HEM_FIND_CASESENSITIVE   = 0x00000004
  4. HEM_FIND_INMARK          = 0x00000008
  5. HEM_FIND_USEMASK         = 0x00000010


@param mask: currently unused

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: dosprog


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 17 мая 2018 19:49
· Личное сообщение · #12

mak

В HEM SDK 0.52 с официального сайта Hiew всё это присутствует:

http://hiew.ru/files/HemSdk052.zip

Файл "hem.h", строки 169-173:

Code:
  1. // Bits of the Find()
  2.  
  3. #define HEM_FIND_NEXT                 0x00000001
  4. #define HEM_FIND_BACKWARD             0x00000002
  5. #define HEM_FIND_CASESENSITIVE        0x00000004
  6. #define HEM_FIND_INMARK               0x00000008
  7. #define HEM_FIND_USEMASK              0x00000010


-----
EnJoy!

| Сообщение посчитали полезным: mak

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 17 мая 2018 20:03 · Поправил: dosprog
· Личное сообщение · #13

Присутствовать-то оно присутствует, но не вполне очевидно, к чему относятся те флажки..
А вот в hiew.py пояснения даны нормально. И насчёт маски - только там есть о том, что она не поддерживается.
По флажкам - пробовал втыком давать (-1), но функция завершалась ничем.
Попробую более осмысленно.




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 22 мая 2018 14:02
· Личное сообщение · #14

dosprog пишет:
но не вполне очевидно, к чему относятся те флажки

HEM_FIND_NEXT
Искать дальше

HEM_FIND_BACKWARD
Искать в обратном направлении

HEM_FIND_CASESENSITIVE
С учётом регистра

HEM_FIND_INMARK
Искать в выделении

HEM_FIND_USEMASK
Использовать маску ??

-----
EnJoy!


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 22 мая 2018 17:07
· Личное сообщение · #15

Не совсем очевидно - int flags по отношению к HEM_FIND_ххх, поэтому в pyhiew доступнее, по hem.h хидеру ориентир на слово Find и комент // Bits of the Find(), а в pyhiew сразу всё

Code:
  1. -----------------------------------------------------------------------
  2. #HEM_QWORD HiewGate_Find(int flags, HEM_QWORD offset, HEM_BYTE *pData, int dataLength /* <= 20 */, HEM_BYTE *pMask);
  3. def Find(flags, offset, data, mask = None):
  4.     """
  5.     @param flags: one of HEM_FIND_XXXX flags
  6.     @param offset: starting offset
  7.     @param data: data buffer to find ; len is max HEM_MAX_FINDSTR_LEN
  8.     @param mask: currently unused
  9.     @return:
  10.         None - not found
  11.         Offset - offset of the match
  12.     """
  13.     return _hiew.HiewGate_Find(flags, offset, data)


-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 29 мая 2018 12:34 · Поправил: dosprog
· Личное сообщение · #16

Придуман плагин GOTO.HEM для брожения по разным полезным смещениям в MZ и PE-EXE.
Восполняет недостающий функционал в Hiew, касающийся быстрых переходов.
Смотреть --> тут <-- (добавление 6 от 29 мая 2018 г.)

Мени плагина:
Code:
  1. Goto MZ:
  2. ========
  3. MZ relocs       
  4. MZ relocs END   
  5.  
  6. Goto PE:
  7. ========
  8. MZ Header ...
  9. PE Header
  10. PE Characteristics
  11. PE Directories
  12. PE Directories END
  13. PE Obj Table
  14. PE Obj Table END
  15. PE Overlay 

Кстати, sen, неплохо бы добавить этих вещей, в одной из очередных версий.
Всё-таки плагин это костыльно и неорганично, имхо.
Но пока так.


--Добавлено--
..Ну и для NE/LX что-то в том же духе примозговать..



| Сообщение посчитали полезным: sendersu


Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

 Создано: 08 июня 2018 01:21
· Личное сообщение · #17

dosprog
Плагины полезные, но желательно бы у тех что работают только с PE/PE+ поотключать остальные форматы файлов чтобы они не показывались в меню.

-----
DREAMS CALL US

| Сообщение посчитали полезным: dosprog

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 08 июня 2018 08:36 · Поправил: dosprog
· Личное сообщение · #18

Да оно бы и неплохо, но непонятно, как это сделать.
Там есть такой набор флажков - <hemFlag>,
так вот, если установить в нём флажок HEM_FLAG_PE, то плагин вообще перестаёт отображаться в списке,
вне зависимости от текущего формата файла (в том числе и для PE-файлов).
Навеное, делаю что-то не так.
Разберёмся

--Добавлено--
Ok, разобрался.
Сделаем

Но позже.

Кстати, забалахманю, наверное, --> отдельную тему <-- под это вот всё хозяйство.

Дабы не засорять.




Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

 Создано: 08 июня 2018 18:34
· Личное сообщение · #19

dosprog
И раз уже файлы пакуете, то хотелось бы видеть в меню вменяемые имена, не "PE_ovl", а "PE Overlay", к примеру.

-----
DREAMS CALL US

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 08 июня 2018 19:19 · Поправил: dosprog
· Личное сообщение · #20

Будет.



Добавлено спустя 13 часов 46 минут

Поправлены 5 штук плагов, все имеют приставку "pe_" в названиях.
Сделано, как предложил =TS=.
Смотреть --> Тут <-- (Версии от 9 June 2018).

| Сообщение посчитали полезным: =TS=


Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

 Создано: 26 июля 2018 10:02 · Поправил: BlackCode
· Личное сообщение · #21

Hiew 8.65 (25 Jul 18)

Изменения в новой версии:
- поддержка TE 64бит
- длина строки поиска увеличена до 512 байтов
- fix: не находилась именнованая ссылка в режиме data
- fix arm disasm: неверное декодирование команд movw, movt

| Сообщение посчитали полезным: SkinnyNorris


Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

 Создано: 16 ноября 2018 23:19
· Личное сообщение · #22

Ручками правил релоки в DLL и понял что посмотреть RVA в HIEW нельзя никак...
Кроме как патчить базу в заголовке в 0.
Что не есть хорошо.

-----
DREAMS CALL US


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 17 ноября 2018 01:37
· Личное сообщение · #23

=TS=
Кроме как патчить базу в заголовке в 0.

Ctrl+F5

Enter - select new base
Escape - cancel
Home, PgUp - first line
End, PgDn - last line
Ctrl-F5 - set base to current offset
Any character - edit current base

NOTE: if first character is '*', current base = current offset

-----
EnJoy!


Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

 Создано: 18 ноября 2018 14:19 · Поправил: =TS=
· Личное сообщение · #24

Jupiter
Так база работает только на офсет, не на VA, и если это не дамп и работаешь с разными секциями постоянно считать и править базу напряжно.
Спасло бы выставление из диалога Object Tables по Ctrl-F5 чтобы перебазированный офсет соответствовал RVA, но чего нет, того нет.

-----
DREAMS CALL US


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 18 ноября 2018 14:51
· Личное сообщение · #25

=TS=
Согласен, вручную пересчитывать неудобно, а через плагин нет доступа к отображению дизасма.
По идее помогло бы переключение отображение адресов через 3 режима:
- виртуальные адреса (с точкой в начале, VA)
- офсеты файла (как есть, без точек, RAW)
- относительные виртуальные адреса (придумать отображение, например с ' (апостроф) в начале; RVA)

-----
EnJoy!


Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

 Создано: 20 ноября 2018 17:49
· Личное сообщение · #26

Hiew 8.66 (20 Nov 18)

Изменения в новой версии:
- в коде подставляются экспортные имена не-функций
- OffTbl показывает names|export|peimport|pestring




Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

 Создано: 29 ноября 2018 14:12
· Личное сообщение · #27

Если в WhereComesFrom добавить фильтры, получится аналог кросрефов иды

-----
DREAMS CALL US

Ранг: 0.9 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 02 января 2019 10:35
· Личное сообщение · #28

Hiew v8.66 [Full] by OnLyOnE​
https://www.board4all.biz/threads/hiew-full.742390/




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 02 января 2019 17:58
· Личное сообщение · #29

dima_0007
А ты пздц странный типок, дать ссылку на форуме на какой-то говнофорум

Вот с ру-борды ссылки:
http://rgho.st/private/6LKhKbsFz/16bb0200202b5a95d9f15d54bba86410
https://www.upload.ee/files/9375707/Hiew866.rar.html

Добавлено спустя 1 минуту
ах да, пасс ru-board

-----
ds

| Сообщение посчитали полезным: TerminatorX, TryAga1n, plutos, Vintersorg

Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

 Создано: 02 января 2019 20:58
· Личное сообщение · #30

Прогопис хоть и ушел, но все-равно радует нас релизами. Это здорово)



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

 Создано: 02 января 2019 21:05
· Личное сообщение · #31

TryAga1n пишет:
Прогопис хоть и ушел, но все-равно радует нас релизами.
int=progopis!=onlyone вроде бы )

-----
SaNX

| Сообщение посчитали полезным: daFix
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . >>
 eXeL@B —› Софт, инструменты —› Hiew
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати