Tải xuống hex ở phiên bản đầy đủ của Nga. Trình soạn thảo hex vs. phần mềm độc hại: Chọn trình soạn thảo thập lục phân để phân tích nhị phân

Hex Editor Neo Ultimate Edition là trình chỉnh sửa tệp nhị phân, thập phân và thập lục phân cho Windows sẽ rất thuận tiện cho các nhà phát triển và tin tặc. Bạn sẽ có thể chọn, xem, chỉnh sửa, thay thế dữ liệu và quá trình này sẽ không mất nhiều thời gian.

Điểm đặc biệt của chương trình là nó có thể hoạt động với các tệp rất lớn, có mức độ hoàn tác hoặc làm lại không giới hạn và xem lịch sử các thay đổi khi tải xuống và chỉnh sửa sau đó.

Chức năng hoàn tác không giới hạn.
Lựa chọn các đối tượng khác nhau.
Lưu và tải lựa chọn.
Tìm kiếm.
Tìm kiếm và thay thế.
Lưu và tải lịch sử.
Tạo các gói.
Các thao tác với clipboard.
Nhiều chế độ khác nhau công việc.
Đặt màu trong mẫu.
Thanh tra dữ liệu.
Dấu trang.
Trình xem cấu trúc
Số liệu thống kê.
Bộ chuyển đổi cơ sở
Tạo kịch bản.

Ở lần khởi động đầu tiên, chương trình sẽ thông báo cho bạn về tính khả dụng của ngôn ngữ tiếng Nga, sẵn sàng để tải xuống từ trang web chính thức.
Nhấp vào "Có".
Trong cửa sổ mở ra, chọn hộp bên cạnh tiếng Nga và nhấp vào nút "Tải xuống".
Tiếp theo, chọn “Tiếng Nga” trong danh sách thả xuống và nhấp vào nút “Áp dụng”.
Một cửa sổ sẽ xuất hiện cảnh báo bạn rằng bản dịch được tạo bởi một cộng đồng mở và có thể không hoàn toàn chính xác. Các tùy chọn sau sẽ được cung cấp:
"Dùng gói lang này" - dùng bản dịch này
"Truy cập kho trực tuyến" - vào thay đổi bản dịch nguồn trong kho
“Hủy” - Hủy cài đặt
Chọn tùy chọn đầu tiên, sau đó nhấp vào nút "OK". Sau đó, chương trình sẽ yêu cầu khởi động lại để áp dụng các thay đổi,
Nhấp vào xác nhận và chương trình sẽ khởi động lại với giao diện tiếng Nga.

Đã sửa lỗi
Nhiều bản sửa lỗi
Một số lỗi được báo cáo và phát hiện nội bộ đã được sửa.
Đã sửa lỗi rò rỉ bộ nhớ
Ứng dụng được phân bổ và không bao giờ giải phóng bộ nhớ khi sử dụng cấu trúc đệ quy trong Trình xem cấu trúc.
Hiển thị không chính xác số dấu phẩy động
Số dấu phẩy động trong phạm vi (-1..0) được hiển thị không chính xác trong Trình xem cấu trúc, Trình kiểm tra dữ liệu và các thành phần khác.
Các tính năng mới
Tính kiên trì của cài đặt cửa sổ Explorer
Cửa sổ Explorer bây giờ ghi nhớ các cài đặt thư mục được sử dụng gần đây nhất.
Trình xác định định dạng mới
Trình xem cấu trúc hiện cho phép trình xác định định dạng mới "c" trong hàm và thuộc tính format(). Nó buộc hiển thị các giá trị số nguyên dưới dạng ký tự một byte hoặc UNICODE.
Chỉ thị mới trong Trình xem cấu trúc
Các lệnh sau đã được thêm vào ngôn ngữ định nghĩa của Trình xem cấu trúc: $revert_to, $shift_by và $remove_to. Chúng cho phép nhìn về phía trước trong quá trình liên kết cấu trúc.
Thuộc tính trường mới trong Trình xem cấu trúc
Thuộc tính mới buộc phải khớp chính xác khi hiển thị các trường liệt kê.
Tính năng được cập nhật
Đã thay đổi logic thu gọn mục tự động
Loại do người dùng xác định sẽ không thu gọn nếu nó chứa các loại do người dùng xác định khác và tất cả chúng đều thực hiện thuộc tính. Trước đây, sự hiện diện của các loại do người dùng xác định khác đã khiến loại gốc tự động bị thu gọn trong quá trình trực quan hóa.

Cài đặt chương trình, không chạy nó.
Copy Patch.exe vào thư mục chứa chương trình đã cài đặt
Chạy, nhấp vào nút "Patch"
Sẵn sàng

Làm sao sổ ghi chú Windows. Hơn nữa, nếu bạn mở tệp nhị phân soạn thảo văn bản và lưu nó vào đĩa, thì trong hầu hết các trường hợp, tệp đó sẽ bị hỏng và không chạy được. Để thực hiện chỉnh sửa chính xác, bạn phải sử dụng trình soạn thảo hex(hex), đôi khi còn được gọi là trình soạn thảo nhị phân.

Hầu hết người dùng thông thường, chắc chắn sẽ không có tác vụ hoặc nhu cầu sử dụng trình soạn thảo thập lục phân. Tuy nhiên, đối với những người dùng am hiểu công nghệ, những trình soạn thảo như vậy có thể là công cụ không thể thiếu.

Ghi chú: Thực tế, nhưng có một thời điểm, để chỉnh sửa trình cài đặt asp.net 1.1 tiêu chuẩn, bạn phải điều chỉnh mã nhị phân. Ví dụ: để biến một trong các điều khiển thành trường nhập mật khẩu.

TRONG đánh giá này Chúng tôi đã thu thập một số trình soạn thảo hex miễn phí tốt nhất cho các nhu cầu khác nhau.

Đánh giá về trình soạn thảo Hex miễn phí

Có một số trình soạn thảo hex miễn phí tuyệt vời, từ các sản phẩm nhỏ, đơn giản đến phức tạp có thể so sánh với các giải pháp thương mại. Tuy nhiên, danh mục trình soạn thảo hex là một trong những danh mục mà nhu cầu và sở thích cá nhân quan trọng đến mức việc so sánh các sản phẩm không chỉ khó khăn mà còn vô nghĩa. Vì vậy, bạn không nên cho rằng các sản phẩm được sắp xếp theo thứ tự giảm dần.

HxD là một trình soạn thảo hex thập lục phân tuyệt vời

Một trong tiện ích tốt nhấtđể chỉnh sửa mã nhị phân là . Thứ nhất, chương trình có tính di động và không cần cài đặt, điều này đặc biệt quan trọng nếu bạn thường xuyên cần chỉnh sửa các tệp thực thi. Thứ hai, nó có giao diện đẹp. Thứ ba, quy trình HxD tập tin lớn không bị chậm trễ hoặc đóng băng màn hình. Ngoài ra, hãy thêm vào khả năng có lịch sử chỉnh sửa không giới hạn, tìm kiếm nhanh và thay thế, so sánh các tệp nhị phân, hỗ trợ đầy đủ cho ANSI, DOS/IBM-ASCII và EBCDIC. Và hàng tá khả năng khác, một số khả năng sẽ được liệt kê dưới đây. HxD cũng cho phép bạn chỉnh sửa không chỉ đĩa mà còn cả RAM. Trên thực tế, tập hợp các khả năng như vậy khiến chương trình trở thành một món đồ chơi nguy hiểm trong tay người dùng mới làm quen. Ngoài ra, các ứng dụng bảo mật có thể phản ứng với hành động của nó theo cách tương tự, nhưng những người dùng có kinh nghiệm hiểu rằng điều này xảy ra do đặc thù của việc truy cập dữ liệu và việc sử dụng các chức năng nguy hiểm tiềm tàng.

Nhìn chung, HxD rất phù hợp cho những người thường xuyên xử lý các mã nhị phân khác nhau.

Các tính năng và đặc điểm khác:

• Truy cập an toàn vào các tệp mà các chương trình khác sử dụng
• Trình tạo tổng kiểm tra: Tổng kiểm tra, CRC, CRC tùy chỉnh, SHA-1, SHA-512, MD5, ...
• Xuất dữ liệu sang nhiều định dạng khác nhau
• Chèn mẫu mã
• Cơ hội loại bỏ an toàn các tập tin.
• Tách hoặc hợp nhất các tập tin
• Các loại nhóm khác nhau trong cột (1,2,4,8,16 byte)
• Làm nổi bật dữ liệu đã thay đổi
• Chuyển nhanh đến một địa chỉ
• Hỗ trợ sao chép dữ liệu clipboard từ các chương trình khác: Visual Studio/Visual C++, WinHex, HexWorkshop, ...
• Dấu trang
• Và nhiều hơn nữa...

Trình chỉnh sửa hex Heexplorer tương tự HxD với khả năng xem hình ảnh khi phân tích steganography

Một trình soạn thảo hex tuyệt vời khác là mã nguồn mở. Chương trình có một số tính năng độc đáo, điều này cũng làm cho nó trở thành một trình chỉnh sửa hình ảnh nhị phân mạnh mẽ. Điều này có nghĩa là bạn có thể xem mọi thứ tập tin đồ họa không chỉ về mặt thể hiện trực quan mà còn cả mã nhị phân của chúng. Tất nhiên, thật khó để tưởng tượng việc chỉnh sửa ảnh ở định dạng thập lục phân trong Cuộc sống hàng ngày. Tuy nhiên, nó có thể được sử dụng cho các mục đích như steganography.

Nhìn chung, Heexplorer không chỉ phù hợp với những người thường xuyên chỉnh sửa. mã nhị phân, mà còn dành cho những người sử dụng các cách sử dụng mã nhị phân không chuẩn.

Các tính năng và đặc điểm chính:

• Sáu cách phối màu giao diện cho các nhiệm vụ khác nhau.
• Lịch sử lệnh không giới hạn
• trình phân tách x86
• Xuất nhập khẩu năm 20 định dạng khác nhau tập tin nhị phân, bao gồm Intel Hex, Motorola S-Record, tiêu chuẩn Atmel, v.v.
• Khả năng tìm các mẫu định kỳ trong dữ liệu
• Xem hình ảnh
• Lọc văn bản từ dữ liệu nhị phân
• Thuật toán tìm kiếm Boyer-Moore
• Điều hướng nhanh đến các địa chỉ
• Cho phép bạn tạo cấu trúc các loại đơn giản dữ liệu, chẳng hạn như số nguyên hoặc số dấu phẩy động
• Trình tạo số giả ngẫu nhiên
• Cho phép bạn ghi macro (tập lệnh) để tự động hóa các tác vụ

Trình soạn thảo hex khác

Có những trình soạn thảo hex khác cũng đáng được chú ý và có thể hữu ích.

Trình soạn thảo thập lục phân XVI32 đơn giản và tiện lợi

XVI32 là một trình soạn thảo hệ thập lục phân miễn phí có tên bắt nguồn từ chữ số La Mã XVI (16).

• Hỗ trợ các tập lệnh để tự động hóa các tác vụ.
• Tìm kiếm theo mẫu
• ASCII/ANSI
• Chuyển đổi ký tự dựa trên định nghĩa của người dùng
• Viết các khối riêng lẻ vào một tập tin
• Và những khả năng khác...

• Cửa hàng mở tập tin trong bộ nhớ, do đó sẽ có vấn đề với các tệp lớn.
• Như vậy, không có lịch sử lệnh. Điều này có nghĩa là mọi thay đổi bạn thực hiện đều được thực hiện "nguyên trạng" và bạn sẽ phải ghi lại hoặc ghi nhớ chúng.

Hỗ trợ Windows 9x/NT/2000/XP/Vista/7

Trình soạn thảo Hex HexEdit với máy tính chuyên dụng

HexEdit là một trình soạn thảo nhị phân miễn phí khác của MiTeC.

• Không cần cài đặt (portable)
• Biên tập viên bộ nhớ truy cập tạm thời và đĩa
• Máy tính chuyên dụng
• Có thể so sánh các tập tin
• Có thể đổ dữ liệu từ RAM vào đĩa (tạo kết xuất)
• Và những người khác...

• Lưu trữ các tập tin đang mở trong bộ nhớ

Hỗ trợ Windows 2000 - Windows 7

Cygnus Trình soạn thảo hex đơn giản miễn phí

Cygnus Free là trình soạn thảo hex miễn phí, là một trong những phiên bản cũ hơn của trình soạn thảo thương mại. Vì vậy chức năng bị hạn chế.

• Nhanh chóng và dễ dàng để sử dụng
• Tìm kiếm và thay thế nhanh chóng
• Kéo thả
• Và những khả năng khác...

• Lưu trữ một tệp đang mở trong RAM cùng với tất cả các sự cố tiếp theo
• Phiên bản miễn phí không có hỗ trợ kỹ thuật
• Cắt bớt cho chức năng

Hỗ trợ Windows

Hướng dẫn lựa chọn nhanh (Liên kết tải xuống trình soạn thảo hex miễn phí)

HxD

heexplorer

Bài viết này sẽ nói về cách làm việc trong trình soạn thảo hex miễn phí Free Hex Editor Neo, sử dụng ví dụ về chỉnh sửa tệp BkEnd.dll từ khi giao hàng cho hoạt động chính xác hệ thống này với .

1. Một chút về trình soạn thảo và tệp hex

Như bạn đã biết, bất kỳ tệp nào được lưu trữ trên ổ cứng máy tính đều là một chuỗi các từ máy - byte. Lần lượt, một byte bao gồm 8 bit, mỗi bit có thể lấy giá trị “0” hoặc “1”, nghĩa là một byte có thể nhận 2 giá trị 8 = 256 ​​trong khoảng từ 0 đến 255. Số là 256 10. ghi vào hệ thập lục phân, là một số tròn có ba chữ số - 100 16, tức là để biểu thị bất kỳ số nào trong phạm vi 0-255, sẽ không cần nhiều hơn 2 chữ số. Điều này có nghĩa là rất thuận tiện khi viết giá trị của mỗi byte dưới dạng số có hai chữ số trong hệ thống số thập lục phân.

Trình soạn thảo hex hiển thị cho chúng ta tệp theo cách máy “nhìn thấy” nó, cụ thể là dưới dạng một chuỗi byte. Ví dụ: mở một file trong trình soạn thảo, chúng ta sẽ thấy một ma trận gồm 16 cột và số lượng hàng tùy thuộc vào kích thước file. Mỗi giá trị ma trận tương ứng với một byte, được viết bằng hai chữ số số thập lục phân. Bằng cách thay đổi giá trị của byte mong muốn, theo đó, chúng ta có thể thay đổi chính tệp đó.

Ngoài ra, bên cạnh bảng chúng ta có thể thấy:

• Ở bên trái của ma trận, một dòng số được hiển thị: mỗi dòng tương ứng với một số chỉ địa chỉ/độ lệch của byte đầu tiên của dòng này. Bước địa chỉ bằng số cột.
• Một thước đo khác được hiển thị ở đầu ma trận: phía trên mỗi cột độ lệch của byte trong cột này so với byte đầu tiên của dòng tương ứng được hiển thị. Tổng của số tương ứng với hàng thứ i và số tương ứng với cột thứ j là địa chỉ/độ lệch của byte (i;j) nằm ở giao điểm của hàng đã lấy và cột đã lấy.
• Ở bên phải của ma trận, dữ liệu tương tự được hiển thị nhưng theo cách hiểu khác. Cách thay thế phổ biến nhất là hiển thị dữ liệu dưới dạng văn bản ASCII, với các byte có giá trị tương ứng với các ký tự không in được hiển thị dưới dạng dấu chấm (·). Bạn cũng có thể chỉnh sửa các giá trị trong khu vực này.

2. Cài đặt Neo Hex Editor miễn phí

Ví dụ: tôi cần một byte có phần bù 000d9cca ghi giá trị eb. Để thực hiện việc này, tôi tìm hàng “000d9cco” và cột “0a”, nhấp đúp vào ô mong muốn và nhập giá trị mới.

Tiến hành tương tự, tôi thực hiện những thay đổi sau:

1. Để khắc phục lỗi " Yêu cầu MS Máy chủ SQL 6.5 + Gói dịch vụ Phiên bản 5a trở lên!» thay đổi các trường:
   bằng cách bù đắp 000d9cca nghĩa 83 thay đổi thành eb
   bằng cách bù đắp 000d9ccb nghĩa e8 thay đổi thành 15
   bằng cách bù đắp 000db130 nghĩa 83 thay đổi thành eb
   bằng cách bù đắp 000db131 nghĩa e8 thay đổi thành 10
2. Để khắc phục lỗi " Thứ tự sắp xếp cho cơ sở dữ liệu khác với thứ tự sắp xếp của hệ thống!»:
   bằng cách bù đắp 0018a79d nghĩa 75 thay đổi thành eb
3. Để khắc phục lỗi " Cú pháp sai gần từ khóa "TRANSACTION"»
   cụm từ GIAO DỊCH DUMP %s VỚI TRUNCATE_ONLY, nằm ở phần bù 002856B0 thay thế bằng một cụm từ THAY ĐỔI CƠ SỞ DỮ LIỆU %s THIẾT LẬP PHỤC HỒI ĐƠN GIẢN
4. Để khắc phục lỗi " Cơ sở dữ liệu không thể mở được ở chế độ một người dùng", thay đổi các trường:
   bằng cách bù đắp 0028549c nghĩa 64 thay đổi thành 6b
   bằng cách bù đắp 0028549d nghĩa 62 thay đổi thành 70

Sau khi thực hiện xong tất cả các thay đổi, hãy lưu tệp bằng cách nhấp vào " Tài liệu» — « Cứu» .

Bài báo này hữu ích với bạn?

Sau khi kết thúc loạt bài với bài viết “ Những công cụ tốt nhất pentester" người biên tập đã nhận được nhiều thư yêu cầu tuyển chọn các trình soạn thảo hex. Tất nhiên, mối quan tâm không phải là khả năng chỉnh sửa dữ liệu nhị phân mà là các tính năng bổ sung như tự động nhận dạng cấu trúc dữ liệu và phân tách mã. Để có cái nhìn tổng quan, chúng tôi đã tìm hiểu ý kiến ​​​​của những người thường xuyên phải mày mò với những công cụ như vậy - các nhà phân tích virus. Và đây là những gì họ đã nói với chúng tôi.

Bất kỳ trình soạn thảo hex nào cũng cho phép bạn kiểm tra và sửa đổi tệp ở mức độ thấp, hoạt động với bit và byte. Nội dung của tệp được trình bày ở định dạng thập lục phân. Đây là chức năng cơ bản. Tuy nhiên, một số trình soạn thảo cung cấp cho người dùng nhiều hơn thế, cho phép họ tìm ra chính xác những gì trong bộ ký tự khó hiểu xuất hiện khi mở tệp. Để thực hiện điều này, các chuỗi ASCII và Unicode được trích xuất tự động, các mẫu đã biết được tìm kiếm, các cấu trúc dữ liệu cơ bản được nhận dạng và hơn thế nữa. Có khá nhiều trình soạn thảo hệ thập lục phân, nhưng nếu chúng ta quyết định xem xét chúng trong bối cảnh nghiên cứu các mẫu phần mềm độc hại, thì có thể dễ dàng làm nổi bật một số trong số chúng. Chỉ một số ít thực sự hữu ích trong việc phân tích mã độc và kiểm tra các tài liệu bị nhiễm (ví dụ: PDF).

Thông tin chi tiết về tập tin McAfee

FileInsight là trình soạn thảo hex miễn phí dành cho Windows của McAfee Labs. Tất nhiên, sản phẩm thực hiện tất cả các chức năng tiêu chuẩn đi kèm với phần mềm đó, cung cấp giao diện thân thiện với người dùngđể xem và chỉnh sửa các tập tin ở dạng thập lục phân và chế độ văn bản. Nhưng đây chỉ là một giọt nước trong đại dương nếu bạn nhìn vào tất cả chức năng của nó. Điều đáng bắt đầu là FileInsight có khả năng phân tích cấu trúc của các tệp nhị phân thực thi cho Windows (tệp PE), cũng như các đối tượng OLE Microsoft Office. Không chỉ vậy, người dùng còn được cung cấp một trình dịch ngược x86 tích hợp sẵn. Chỉ cần chọn phần của tệp bạn muốn xem dưới dạng mã có thể đọc được và FileInsight sẽ hiển thị đoạn này dưới dạng danh sách các hướng dẫn lắp ráp. Trình dịch ngược đặc biệt hữu ích khi tìm kiếm shellcode trong các tập tin độc hại. Các tùy chọn khác mà người đảo ngược sẽ đánh giá cao bao gồm khả năng nhập khai báo cấu trúc. Để làm điều này, chương trình chỉ cần chỉ định một tệp tiêu đề có các khai báo như:

cấu trúc ANIHeader(
DWORD cbSizeOf; // Số byte trong AniHeader
cFrames DWORD; // Số lượng biểu tượng duy nhất
DWORD cSteps; // Số lượng Blit
};

Trong trường hợp này, chính chương trình sẽ phân tích các cấu trúc như vậy. Tuy nhiên, nhiều thuật toán trực quan để xử lý mã được cung cấp theo mặc định. Trước hết, chúng ta đang nói về việc giải mã nhiều phương pháp che giấu (xor, add, shift, Base64, v.v.) - các tập lệnh tích hợp khiến việc bảo vệ mật mã như vậy trở thành một cú đấm có một không hai. Cần lưu ý ở đây rằng đối tượng nghiên cứu không nhất thiết phải là một hệ nhị phân, nó có thể là một trang web thông thường, khả nghi. Chương trình cho phép bạn tự động hóa nhiều hành động bằng cách sử dụng các tập lệnh JavaScript hoặc mô-đun Python đơn giản, trong đó nhiều hành động đã được viết. Than ôi, với tất cả những ưu điểm của mình, FileInsight cũng có một nhược điểm nghiêm trọng, đó là không có khả năng xử lý các tệp lớn. Ví dụ: nếu bạn cố gắng cung cấp một tệp có kích thước 400-500 MB vào tiện ích, lỗi “Không thể mở tài liệu” sẽ xuất hiện.

Trình soạn thảo Hex Neo

Có hai phiên bản của trình soạn thảo hex này từ HDD Software - một phiên bản miễn phí đơn giản và một phiên bản thương mại nâng cao. Tùy chọn phần mềm miễn phí là một trình soạn thảo HEX chắc chắn nhưng không có gì nổi bật, có giao diện thú vị, có thể tùy chỉnh với sự hỗ trợ cho các cách phối màu khác nhau. Không còn nữa. Và đây phiên bản chuyên nghiệp Hex Editor Neo cung cấp một số tùy chọn hữu ích có thể cực kỳ hữu ích khi phân tích các tệp nhị phân. Ví dụ: người dùng có cơ hội giải mã mã được mã hóa bằng cách sử dụng nhiều nhất thuật toán chung. Ngoài ra, có thể xem và chỉnh sửa các tài nguyên cục bộ như luồng NTFS, đĩa cục bộ, bộ nhớ xử lý, cũng như RAM. Phiên bản đầy đủ nhất cũng bao gồm hỗ trợ ngôn ngữ kịch bản, cho phép bạn tự động hóa nhiều quy trình bằng cách sử dụng tập lệnh trong VBScript và JavaScript. Nhưng điều tuyệt vời nhất là bạn có một trình dịch ngược tích hợp sẵn trong dịch vụ của mình, hoạt động với các tệp nhị phân x86, x64 và .NET! Một tính năng khác là tạo nhanh các bản vá dựa trên việc so sánh hai tệp nhị phân. Nghe có vẻ ấn tượng nhưng liệu nó có tốt hơn FileInsight không? Chắc là không. Nhìn chung, FileInsight có vẻ hữu dụng hơn. Mặt khác, bất kỳ, thậm chí phiên bản miễn phí Hex Editor Neo hoạt động tốt ngay cả với các tệp rất lớn và cho phép bạn tìm kiếm các chuỗi ASCII và Unicode. Trình dịch ngược ở đây không chỉ giới hạn ở nền tảng x86 và trình chỉnh sửa tài nguyên tích hợp sẵn rất tiện lợi. Có rất nhiều điều để suy nghĩ.

FlexHex

FlexHex là trình soạn thảo hex thương mại mạnh mẽ của Heaventools Software bao gồm nhiều tính năng tương tự có trong Hex Editor Neo. Điều duy nhất còn thiếu ở đây có lẽ là hỗ trợ tập lệnh. Nhưng trình soạn thảo đầy đủ tính năng này xử lý các tệp nhị phân, tệp OLE, đĩa vật lý và các luồng NTFS thay thế. Điều thứ hai đặc biệt quan trọng vì FlexHex cho phép bạn chỉnh sửa dữ liệu mà những người chỉnh sửa khác thậm chí có thể không nhìn thấy. Ngoài ra, bạn có thể ngay lập tức cảm nhận được sự tập trung khi làm việc với lượng lớn thông tin: bất kể kích thước của tệp, việc điều hướng qua tệp được thực hiện mà không có bất kỳ độ trễ hoặc phanh nào. Để thuận tiện hơn nữa, có một hệ thống đánh dấu tiện lợi. Đồng thời, FlexHex liên tục lưu giữ lịch sử của tất cả các hoạt động - bạn có thể hủy bất kỳ hành động nào chỉ bằng cách chọn hành động đó từ danh sách thay đổi (danh sách hoàn tác không bị giới hạn)! FlexHex hỗ trợ mọi thao tác cần thiết với dữ liệu nhị phân, tìm kiếm chuỗi ASCII và Unicode. Nếu bạn cần xử lý một cấu trúc có định dạng đã biết trước đó, việc thiết lập các tham số của nó không khó bằng các công cụ đặc biệt. Kết quả là chúng ta có được một trình soạn thảo hex xuất sắc nhưng vẫn kém hơn nhiều so với FileInsight. Tùy chọn đáng chú ý duy nhất là xử lý tệp OLE, nhưng ở đây cũng có vấn đề. Nhiều lần khi cố gắng mở một OLE bị nhiễm, chương trình gặp lỗi “Tệp tài liệu đã bị hỏng”.

010 Biên tập viên

Biên tập viên 010 – nổi tiếng sản phẩm thương mại, được phát triển bởi SweetScape Software. Nếu chúng ta so sánh nó với ba công cụ trước, nó có thể làm mọi thứ: nó hỗ trợ làm việc với các tệp rất lớn, cung cấp các khả năng tuyệt vời để vận hành với dữ liệu, cho phép bạn chỉnh sửa tài nguyên cục bộ và có hệ thống tập lệnh để tự động hóa hành động thường lệ(hơn 140 các chức năng khác nhau dịch vụ của bạn). Và 010 Editor cũng có một điểm khác biệt, tính năng độc đáo. Trình chỉnh sửa xử lý mọi vấn đề nhờ khả năng phân tích các định dạng tệp khác nhau bằng cách sử dụng thư viện mẫu riêng (được gọi là Mẫu nhị phân). Ở đây anh không có ai sánh bằng. Nhiều người đam mê trên khắp thế giới đang nghiên cứu các mẫu, tạo ra nhiều định dạng và cấu trúc dữ liệu khác nhau. Do đó, quá trình điều hướng qua các định dạng tệp khác nhau trở nên minh bạch và dễ hiểu. Điều này cũng áp dụng cho việc xử lý các tệp nhị phân Windows (tệp PE), tệp lối tắt Windows (LNK), tệp lưu trữ Zip, tệp lớp Java và nhiều hơn nữa. Nhiều người có thể nhận ra tất cả vẻ đẹp của đặc điểm này khi chuyên gia nổi tiếng kỹ sư bảo mật Didier Stevens đã tạo một mẫu để phân tích tệp PDF cho 010 Editor. Cùng với các tiện ích khác, điều này đã đơn giản hóa đáng kể việc phân tích các tài liệu PDF bị nhiễm, điều mà trong sáu tháng qua không khỏi ngạc nhiên về số lượng vị trí mà chương trình đọc có thể bị khai thác. Chúng tôi thêm vào đây một công cụ thú vị để so sánh các tệp nhị phân, một máy tính có cú pháp giống C, chuyển đổi dữ liệu giữa các định dạng ASCII, EBCDIC, Unicode và chúng tôi có được một công cụ rất hấp dẫn với các tính năng độc đáo.

chào

Hiew xét về phương thức phân phối không có nhiều khác biệt so với các đồng nghiệp - đây cũng là sản phẩm thương mại được phát triển bởi người đồng hương Evgeny Suslikov của chúng tôi. Có lịch sử lâu đời nên chương trình được rất nhiều chuyên gia trong lĩnh vực này yêu thích. bảo mật thông tin. Có những lý do khá rõ ràng cho điều này - khả năng mạnh mẽ để nghiên cứu và chỉnh sửa cấu trúc cũng như nội dung của các tệp thực thi của cả Windows (PE) và nhị phân cho Linux (ELF). Một tính năng rất hữu ích khác cho kỹ thuật đảo ngược là trình biên dịch và dịch ngược x86-64 được tích hợp sẵn. Cái sau thậm chí còn hỗ trợ các hướng dẫn ARM. Không cần phải nói, trình chỉnh sửa xử lý các tệp lớn một cách hoàn hảo và cho phép bạn chỉnh sửa các ổ đĩa vật lý và logic. Nhiều tác vụ được tự động hóa dễ dàng thông qua hệ thống macro bàn phím, tập lệnh và thậm chí cả API để phát triển tiện ích mở rộng (Hiew Extrenal Modules). Nhưng trước khi lao vào trận chiến, hãy nhớ rằng giao diện Hiew là một cửa sổ giống DOS, khá bất tiện khi làm việc nếu bạn không quen. Nhưng bạn có thể trải nghiệm tất cả sự quyến rũ của trường học cũ.

Radare

Radare là một bộ tiện ích miễn phí dành cho nền tảng Unix, nền tảng này cung cấp các tính năng thú vị để chỉnh sửa tệp ở chế độ HEX. Nó bao gồm chính trình soạn thảo hex (radare) với khả năng mở các tệp cục bộ và từ xa. Chương trình phân tích Các tập tin thực thi nhiều định dạng khác nhau, cả Linux (ELF) và Windows (PE). Ngoài việc chỉnh sửa, gói Radare còn bao gồm một công cụ để so sánh các tệp nhị phân (radiff) và trình biên dịch/giải mã tích hợp sẵn. Và cá nhân tôi, một công cụ tạo shellcodes (rasc) đã đôi lần trở nên hữu ích. Mọi thao tác đều có thể dễ dàng được tự động hóa và tùy chỉnh bằng hệ thống tập lệnh. Trong số các nhược điểm, một lần nữa, chúng ta có thể lưu ý việc thiếu giao diện GUI - tất cả các hành động được thực hiện từ dòng lệnh, nhưng bạn hoàn toàn có thể làm việc với các tiện ích chỉ sau khi đọc tài liệu. Mặt khác, trang web có các video màn hình trực quan thể hiện cả những điểm chính và những bí mật nhỏ (như kết nối một plugin Python).

Vậy bạn nên chọn cái gì?

Chúng tôi đã xem xét một số trình soạn thảo hex mạnh mẽ bao gồm tùy chọn hữu íchđể phân tích tập tin không tin cậy. Trong số tất cả các sản phẩm, FileInsight nổi bật, mặc dù có tất cả các chức năng của nó (và nó thực sự ấn tượng) nhưng vẫn miễn phí. 010 Editor cung cấp số lượng lớn các mẫu để xử lý nhiều nhất các tập tin khác nhau, bao gồm cả tài liệu PDF. Đây là một tính năng lớn không nên bỏ qua. Tôi sử dụng hai trình soạn thảo này mọi lúc; Đối với công việc của một nhà phân tích, có lẽ họ phù hợp nhất. Nếu nói về hoạt động trên nền tảng Unix thì tất nhiên không thể quên Radare. Gói này cung cấp các tính năng rất mạnh mẽ, mặc dù khó sử dụng do nó chạy từ dòng lệnh. Hiew cũng không thân thiện lắm, mặc dù khả năng của nó chắc chắn cho phép bạn thực hiện nhiều thao tác khác nhau với các tệp nhị phân. Ngoài ra, Hiew là một sự lựa chọn số lượng lớn những chuyên gia thực sự, và điều này có giá trị rất nhiều (và có ý nghĩa rất nhiều). Đối với Hex Editor Neo, nó đáng để chọn nếu bạn quan tâm đến khả năng phân tách mã x86, x64 và .NET.