Вопрос простой с одной стороны, но понимания пока нет.

Собственно имеется очень много инструментов по работе с PE, но некоторые получили наибольшее распространение, другие меньше, а какие-то к примеру PeTools чуть ли не умерли.

В качестве предмета обсуждения популярный Hiew, PeExplorer и PeTools. Первый можно приобрести до 1000 руб, второй аж за ~3.000 руб, а последний вовсе бесплатный.

Возникает вопрос, что именно не хватает последнему, чтобы человек предпочел его юзать вместо того чтобы покупать один из первых двух? А ведь покупают, не смотря на руборд и др.ресурсы!

Свое мнение у меня уже есть, мне хочется знать мнение других людей.

| Сообщение посчитали полезным:

sys_dev пишет:
Hiew, PeExplorer и PeTools
Ты бы еще сравнил блокнот, винамп и калькулятор. Эти тулзы совершенно разные и используются для разных целей. Hiew - кроме как править x64 мне нахрен не нужен, PeExplorer - очень хороший редактор ресурсов и распаковщик UPX , все остальное там только мусор для веса, PeTools - это дампер и редактор хидера.

| Сообщение посчитали полезным:

Vovan666
Ну поправить хидер можно не только в PEtools, но и в Hiew, он для этого больше подходит!
Сдампить можно не только с помощью PeTools, к примеру OllyDbg это может, да и не только она.

| Сообщение посчитали полезным:

трактором можно гвозди забивать
но молотком удобнее, он маленький и с ручкой

| Сообщение посчитали полезным:

sys_dev пишет:
Ну поправить хидер можно не только в PEtools, но и в Hiew, он для этого больше подходит!
На вкус и цвет все фломастеры разные, Hiew по-мне только для заядлых консольщиков. И для тех у кого компьютеры появились в конце 90х и позже, тулза абсолютно бесполезна,не удобна,не понятна итд.
sys_dev пишет:
Сдампить можно не только с помощью PeTools, к примеру OllyDbg это может, да и не только она.
А никто и не говорит что я пользуюсь им, я просто написал различия, что для чего нужно.

| Сообщение посчитали полезным:

sys_dev пишет:
Ну поправить хидер можно не только в PEtools, но и в Hiew
Поправить хидер(32) можно и в олли, если что,

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Из PeTools использую только УПХ рековери плаг, когда надо нестандартный УПХ распаковать.
Дампить можно и "импреком". Хидер поправить, запатчить - hiew.
Инструмент должен быть или комбайн или иметь килфичу. У hiew килфича - асм/дасм х86/х64/арм + патч, а остальное - няшки. У "импрека" килфича - восстановление импорта, а дамп - няшки.
Есть, например, утиль IIDKing. У нее килфича - добавление импорта x86, которую нормально не делает никто из популярных. А вот х64 импорт приходится уже добавлять чуть ли не вручную (спасибо pelib).

Собственно, если вопрос "Что нужно сделать чтобы PeTools вывести на рынок?", то мой ответ - начать продавать. А в технологическом плане - нужна автоматизация, валидаторы и юзабилити (как можно меньше кликов).
Например, восстановление релоков. Муторная операция при хорошей защите. Даже простейшая утиль по автоматизации на основе сравнения двух экземпляров в памяти экономит уйму времени.
С импортом тоже не все гладко даже в сцилле.
Работа с ресурсами в динамике - ни у кого нет. Только статика.

-----
старый пень

| Сообщение посчитали полезным:

В последнее время юзаю DiE последней версии. До него юзал PeTools. Если юпитер выложит новую версию петулз, то, возможно, обратно вернусь на него

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

У меня насчёт хиева мнение на 100% совпадает с Vovan666.

А так, чаще всего для базовых операций над pe-файлами CFF Explorer, PeTools.

PeExplorer - это по-моему типа кухонного комбайна, много всего в одном, но есть продукты, которые по отдельности превосходят функции данной поделки.

Для примера приведу свой "суп-набор":
Ред.ресурсов: restorator + reshacker fx (фикс от rammichael)
upx unpack - это какая-то смешная фича , меня маленькая китайская программка с окном для D&D не подводила с любым upx.
Импорт/экспорт - привык по Ctrl+Q в тотал коммандере смотреть (плагин FileInfo)
Зависимости - этот же FileInfo, в крайних случая Dependency Walker
дизассемблер - точно не юзал бы в PeExplorer :D
и т.д.

Чего-то уникального я в PeExplorer , поэтому потёр. С 2009 года к тому же не обновляется (

-----
ds

| Сообщение посчитали полезным:

Блин, я юзаю Pe Tools, но оказывается, что:

какие-то к примеру PeTools чуть ли не умерли

Вот так и узнал всю правду

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

sys_dev пишет: В качестве предмета обсуждения популярный Hiew, PeExplorer и PeTools.
Hiew неплохой дизасм, но ужасный юзабилити, копирование\вставка кода, навигация, ужасный plugin api, в адЪ это консольное наследие, тоже самое можно с эмулировать в GUI, но без этих недостатков.
PeTools в данный момент просто история, реальная польза равна нулю, его в полной мере заменяет olly.
PeExplorer, хороший редактор ресурсов, с учетом delphi специфики, как дизасм, это откровенное говно.
На данный момент нет хорошего комбайна, есть только несколько юних вей утилит, которые делают что то одно, но делают это хорошо.
Pefile + plugins в полной мере заменяет их всех.
Оминь.

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
в адЪ это консольное наследие
Не согласен. Юзаю far в связке с ConEmu, тут замены хьюву просто нет.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

void пишет: Не согласен. Юзаю far в связке с ConEmu, тут замены хьюву просто нет.
Я поклонник тотала.
Что же касается привязки программ к хоткею, точно так же, можно вызывать GUI софт, единственное, откроется дополнительное окно, вместо вкладки, кстати о ConEmu, хороший пример консольного шелла который таки GUI, что то подобное предлагалось в качестве UI hiew, в hackers disassembler, что то подобное, интерфейс не перегружен.
Сам им пользуются для патчинга, для правки obj так и вовсе на данный момент самый адекватный инструмент ( имхо ), ну и поглядеть\править x64.

| Сообщение посчитали полезным:

F_a_u_s_t
Оно удобное, но местами не доделанное
Например в секциях есть показ флагов, но почему-то нет удобного редактирования флагов в виде диалога.
Прикручены ресурсы, но нет возможности редактировать дерево ресурсов (или хотя бы элементов дерева).
Как я упоминал, есть нормальная вставка в редактор, но режется при вставке в эдиты в диалогах.
По Shift-Del блок копируется в raw, но нету хоткея (того же CtrlIns, к примеру) для родного копирования блока в хексе (для в ставки в те же эдиты в диалогах).

А вообще показывают формат много кто, но вот удобное (или вообще хоть какое-то) редактирование всех структур PE файла не видел ни у кого.

ЗЫ. О каком Pefile идёт речь?

ЗЗЫ. F_a_u_s_t Подозревал что речь именно о нём
Но так как речь идёт о готовых продуктах, то как рабочий из коробки инструмент рассматриваться не может. В том же hiew есть через плагины привязка к луа и питону, и через тот же templuator навигация по структурам.
С радаром и pyew'ом игрался, но ощущения универсальности и удобности не получил (в виду большого количества необходимых телодвижений), вещи пригодны, но только для узкоспециализированных задач.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
О каком Pefile идёт речь?
Сам первый раз о таком услышал, но КО говорит, что первая ссылка в гугле

pefile is a Python module to read and work with PE
http://code.google.com/p/pefile/

-----
ds

| Сообщение посчитали полезным:

=TS= пишет: Оно удобное, но местами не доделанное
Вот и я об этом же, если позиционируется, как программа для статического анализа бинарей, да к тому же и комбайн, то хотелось бы увидеть этот самый анализ в полной мере, от дизасма, до просмотра\правки структур\ресурсов.

=TS= пишет:
Прикручены ресурсы, но нет возможности редактировать дерево ресурсов (или хотя бы элементов дерева).
Да, не говоря уже о том, какое дерево в консоли, с таким же точно успехом, можно построить GUI дерево, а по узлам бегать с помощью стрелок, тотал наглядный пример мнимого преимущества консоли, те же хоткеи, макросы с барами так же лепятся в GUI приложении.

=TS= пишет: ЗЫ. О каком Pefile идёт речь?
pefile к нему есть дизасм, трейсер, анализатор, отладчик, скриптовый движок ибо питон, только в кучу все собирать самостоятельно, готовые шеллы тоже попадались на глаза.
На данный момент основной инструмент.

давече такое поделие засветилось --> Link <--
Тогда и я свои 5 копеек вставлю, есть такое довольно мало известное поделие, как радар, вполне годная хреновина.
radare

reversecode радар известен очень давно и постоянно обновами светится))
Имелось в виду на лабе, тут смотришь, пейд, олли, ида, а дальше мир остановился.
Хотя радар или тот же пев, довольно серьезные фреймворки и в умелых руках, вполне годные инструменты для анализа бинарей, коих список у радара впечатляющий, хотя настройка не без напильника.

| Сообщение посчитали полезным:

давече такое поделие засветилось --> Link <--
может кому понравится

радар известен очень давно и постоянно обновами светится))

| Сообщение посчитали полезным:

Проплаченная статья про hiew на хабре
http://habrahabr.ru/post/208176/

| Сообщение посчитали полезным: DimitarSerg

Alchemistry,
почему же сразу "проплаченная"?.. Хвалебная - да.
Не любитель подобных статей, но IMHO там всё адекватно.
hiew это же не комбайн, ориентированный на форматы Windows...
Это быстрый эргономичный (!) хекс-редактор с дизассемблером инстукций процессора.
Эту свою функцию он выполняет на 200%. Для всего остального можно использовать другие утилиты.
По-моему, автору удаётся удерживаться в рамках здравого смысла уже дольше 20 лет, а это редкость.

P.S. --> ViHE v.2.2/1991 <--

-- ADD --
К следующему посту:
Alchemistry,
прочёл - и возразить нечего. Тем более, что многое и меня в хью не устраивает, по мелочам и не очень.
Просто почему-то слишком большие ожидания у всех от обычного хорошего хекс-редактора.

| Сообщение посчитали полезным:

dosprog
Проплаченная она потому что в обзоре выпячены достоинства, но полностью замалчиваются любые недостатки.

Если же вы внимательно читали статью, то могли бы обратить внимание на скриншоты. Чувак открывает файл, смотрит ентри поинт, показывает атрибуты секции - епта ни один другой инструмент это делать не умеет, далее идет колупание с встроенным подобием скриптов, капитанство с пикодом, определение по push/ret рустока (интересный критерий), охренитительный анализ на глаз какого винлока (с уже снятым криптором ага) и определение куска файла с высокой энтропией на глаз (епта это можно сделать даже обычным блокнотом). Если это не реклама, то я хз что это. А залогом успеха хуева стало банальное отсутствие вменяемых конкурентов в свое время. Те кто вырос на этом инструменте просто к нему привыкли и не замечают/им не нужны альтернативы.

Вообще если честно эта хрень годится в основном только для красивых олд-скул скриншотов в какие-нибудь статьи.

| Сообщение посчитали полезным:

Alchemistry
Приведи вменяемых конкурентов.

-----
старый пень

| Сообщение посчитали полезным: =TS=, dosprog

=TS= пишет:
Но так как речь идёт о готовых продуктах, то как рабочий из коробки инструмент рассматриваться не может.
Так нет готового, которое отвечало бы всем мои субъективным требованиям, в IDA есть практически все, что нужно, но скорость просто ахтунг, если какая нибудь мелочь, то анализ будет идти дольше, чем собственно глазуально анализировать файл, после анализа IDA.
Нет годного комбайна, есть куча софта с сомнительным функционалом, где в лучшем случае, что то одно хорошо, а остальное абы было или же, куча утилит для одной задачи, ну и совсем хардкор, это конструкторы "сделай сам", чем собственно время от времени занимаюсь, по наличию этого самого времени.
Печалька.

| Сообщение посчитали полезным: