Trình chỉnh sửa tập tin nhị phân. Trình soạn thảo hex

Bài viết này sẽ nói về cách làm việc trong trình soạn thảo hex miễn phí Free Hex Editor Neo, sử dụng ví dụ về chỉnh sửa tệp BkEnd.dll từ khi giao hàng cho hoạt động chính xác hệ thống này với .

1. Một chút về trình soạn thảo và tệp hex

Như bạn đã biết, bất kỳ tệp nào được lưu trữ trên ổ cứng máy tính đều là một chuỗi các từ máy - byte. Lần lượt, một byte bao gồm 8 bit, mỗi bit có thể lấy giá trị “0” hoặc “1”, nghĩa là một byte có thể nhận 2 giá trị 8 = 256 trong khoảng từ 0 đến 255. Số là 256 10. được viết theo hệ thập lục phân, là một số tròn có ba chữ số - 100 16, tức là, để biểu thị bất kỳ số nào trong phạm vi 0-255, sẽ không cần nhiều hơn 2 chữ số. Điều này có nghĩa là rất thuận tiện khi ghi giá trị của mỗi byte dưới dạng số có hai chữ số trong hệ thống số thập lục phân.

Trình soạn thảo hex hiển thị cho chúng ta tệp theo cách máy “nhìn thấy” nó, cụ thể là dưới dạng một chuỗi byte. Ví dụ: mở một file trong trình soạn thảo, chúng ta sẽ thấy một ma trận gồm 16 cột và số hàng tùy thuộc vào kích thước file. Mỗi giá trị ma trận tương ứng với một byte, được viết bằng hai chữ số số thập lục phân. Bằng cách thay đổi giá trị của byte mong muốn, theo đó, chúng ta có thể thay đổi chính tệp đó.

Ngoài ra, bên cạnh bảng chúng ta có thể thấy:

Ở bên trái của ma trận, một dòng số được hiển thị: mỗi dòng tương ứng với một số chỉ địa chỉ/độ lệch của byte đầu tiên của dòng này. Bước địa chỉ bằng số cột.
Một thước đo khác được hiển thị ở đầu ma trận: phía trên mỗi cột độ lệch của byte trong cột này so với byte đầu tiên của dòng tương ứng được hiển thị. Tổng của số tương ứng với hàng thứ i và số tương ứng với cột thứ j là địa chỉ/độ lệch của byte (i;j) nằm ở giao điểm của hàng đã lấy và cột đã lấy.
Ở bên phải của ma trận, dữ liệu tương tự được hiển thị nhưng theo cách hiểu khác. Cách thay thế phổ biến nhất là hiển thị dữ liệu dưới dạng văn bản ASCII, với các byte có giá trị tương ứng với các ký tự không in được hiển thị dưới dạng dấu chấm (·). Bạn cũng có thể chỉnh sửa các giá trị trong khu vực này.

2. Cài đặt Neo Hex Editor miễn phí

Ví dụ: tôi cần một byte có phần bù 000d9cca ghi giá trị eb. Để thực hiện việc này, tôi tìm hàng “000d9cco” và cột “0a”, nhấp đúp vào ô mong muốn và nhập giá trị mới.

Tiến hành tương tự, tôi thực hiện những thay đổi sau:

Để khắc phục lỗi " Yêu cầu MS Máy chủ SQL 6.5 + Gói dịch vụ Phiên bản 5a trở lên!» thay đổi các trường:
bằng cách bù đắp 000d9cca nghĩa 83 thay đổi thành eb
bằng cách bù đắp 000d9ccb nghĩa e8 thay đổi thành 15
bằng cách bù đắp 000db130 nghĩa 83 thay đổi thành eb
bằng cách bù đắp 000db131 nghĩa e8 thay đổi thành 10
Để khắc phục lỗi " Thứ tự sắp xếp cho cơ sở dữ liệu khác với thứ tự sắp xếp của hệ thống!»:
bằng cách bù đắp 0018a79d nghĩa 75 thay đổi thành eb
Để khắc phục lỗi " Cú pháp sai về từ khóa"GIAO DỊCH»
cụm từ GIAO DỊCH DUMP %s VỚI TRUNCATE_ONLY, nằm ở phần bù 002856B0 thay thế bằng một cụm từ THAY ĐỔI CƠ SỞ DỮ LIỆU %s THIẾT LẬP PHỤC HỒI ĐƠN GIẢN
Để khắc phục lỗi " Cơ sở dữ liệu không thể mở được ở chế độ một người dùng", thay đổi các trường:
bằng cách bù đắp 0028549c nghĩa 64 thay đổi thành 6b
bằng cách bù đắp 0028549d nghĩa 62 thay đổi thành 70

Sau khi thực hiện xong tất cả các thay đổi, hãy lưu tệp bằng cách nhấp vào " Tài liệu» — « Cứu» .

Bài báo này hữu ích với bạn?

Chúc mọi người một ngày tốt lành.

Vì lý do nào đó, nhiều người tin rằng làm việc với các trình soạn thảo hex là lĩnh vực của các chuyên gia và những người mới sử dụng không nên thử chúng. Tuy nhiên, theo ý kiến của tôi, nếu bạn có ít nhất các kỹ năng PC cơ bản và biết lý do tại sao bạn cần một trình soạn thảo hex, thì tại sao không?!

Sử dụng chương trình loại này bạn có thể thay đổi bất kỳ tệp nào, bất kể loại tệp nào (nhiều sách hướng dẫn và hướng dẫn chứa thông tin về cách thay đổi một tệp cụ thể bằng trình soạn thảo hex)! Đúng, người dùng cần có ít nhất sự hiểu biết cơ bản về hệ thập lục phân (dữ liệu trong trình soạn thảo hex được trình bày chính xác trong đó). Tuy nhiên, những kiến thức cơ bản về nó được dạy trong các lớp khoa học máy tính ở trường, và có lẽ nhiều người đã nghe và có ý kiến về nó (nên tôi sẽ không bình luận về nó trong bài viết này). Vì vậy, đây là những trình soạn thảo hex tốt nhất dành cho người mới bắt đầu (theo ý kiến khiêm tốn của tôi).

1) Trình soạn thảo Hex miễn phí Neo

Một trong những trình soạn thảo đơn giản và phổ biến nhất cho hệ thập lục phân, thập phân và tập tin nhị phân dưới hệ điều hành Windows. Chương trình cho phép bạn mở bất kỳ loại tệp nào, thực hiện các thay đổi (lịch sử thay đổi được lưu), chọn và chỉnh sửa tệp một cách thuận tiện, gỡ lỗi và phân tích.

Điều đáng lưu ý là trình độ tốt năng suất đi đôi với thấp yêu cầu hệ thống vào máy (ví dụ: chương trình cho phép bạn mở và chỉnh sửa các tệp khá lớn, trong khi các trình soạn thảo khác chỉ đơn giản là đóng băng và từ chối hoạt động).

Trong số những thứ khác, chương trình hỗ trợ tiếng Nga, có một kế hoạch được cân nhắc kỹ lưỡng và Giao diện trực quan. Ngay cả một người dùng mới làm quen cũng có thể tìm ra nó và bắt đầu làm việc với tiện ích này. Nói chung, tôi giới thiệu nó cho tất cả những ai đang bắt đầu làm quen với các trình soạn thảo hex.

2) WinHex

Thật không may, trình chỉnh sửa này là phần mềm chia sẻ, nhưng nó là một trong những phần mềm linh hoạt nhất, hỗ trợ nhiều tùy chọn và tính năng khác nhau (một số trong đó rất khó tìm thấy giữa các đối thủ cạnh tranh).

Trong chế độ chỉnh sửa đĩa, nó cho phép bạn làm việc với: ổ cứng HDD, đĩa mềm, ổ đĩa flash, DVD, đĩa ZIP, v.v. hệ thống tập tin: NTFS, FAT16, FAT32, CDFS.

Tôi không thể không lưu ý công cụ tiện lợiđể phân tích: ngoài cửa sổ chính, bạn có thể kết nối các cửa sổ bổ sung với nhiều máy tính, công cụ tìm kiếm và phân tích cấu trúc tệp. Nói chung, nó phù hợp cho cả người mới bắt đầu và người dùng có kinh nghiệm. Chương trình hỗ trợ tiếng Nga ( chọn menu sau: Trợ giúp / Cài đặt / Tiếng Nga ).

WinHex, ngoài các chức năng phổ biến nhất của nó (hỗ trợ chương trình tương tự), cho phép bạn "sao chép" đĩa và xóa thông tin khỏi chúng để không ai có thể khôi phục được!

3) Trình soạn thảo HxD Hex

Tự do và xinh đẹp trình soạn thảo mạnh mẽ tập tin nhị phân. Hỗ trợ tất cả các mã hóa chính (ANSI, DOS/IBM-ASCII và EBCDIC), các tệp ở hầu hết mọi kích thước (nhân tiện, trình chỉnh sửa còn cho phép, ngoài các tệp, chỉnh sửa RAM và ghi trực tiếp các thay đổi vào ổ cứng!).

Bạn cũng có thể lưu ý đến giao diện được chăm chút kỹ lưỡng, tiện lợi và chức năng đơn giản tìm kiếm và thay thế dữ liệu, hệ thống từng bước và đa cấp bản sao lưu và tiền lại quả.

Sau khi khởi chạy, chương trình bao gồm hai cửa sổ: bên trái mã thập lục phân và ở bên phải - bản dịch văn bản và nội dung của tệp được hiển thị.

Trong số những điểm hạn chế, tôi nhấn mạnh việc thiếu tiếng Nga. Tuy nhiên, nhiều chức năng sẽ rõ ràng ngay cả với những người chưa từng học tiếng Anh...

4) HexCmp

HexCmp - tiện ích nhỏ này kết hợp 2 chương trình cùng một lúc: chương trình đầu tiên cho phép bạn so sánh các tệp nhị phân với nhau và chương trình thứ hai là trình soạn thảo hex. Đây là một lựa chọn rất có giá trị khi bạn cần tìm ra sự khác biệt trong các tập tin khác nhau, giúp khám phá các cấu trúc khác nhau của hầu hết các loại khác nhau các tập tin.

Nhân tiện, sau khi so sánh, các địa điểm có thể được tô màu màu khác, tùy thuộc vào vị trí mọi thứ khớp và vị trí dữ liệu khác nhau. Sự so sánh xảy ra nhanh chóng và rất nhanh chóng. Chương trình hỗ trợ các tệp có kích thước không vượt quá 4 GB (khá đủ cho hầu hết các tác vụ).

Ngoại trừ so sánh thông thường, bạn có thể so sánh ở dạng văn bản (hoặc thậm chí cả hai cùng một lúc!). Chương trình khá linh hoạt, cho phép bạn tùy chỉnh cho riêng mình bảng màu, chỉ định các nút cuộc gọi nhanh. Nếu bạn định cấu hình chương trình phù hợp, bạn có thể làm việc với nó mà không cần chuột! Nói chung, tôi khuyên tất cả những người mới “kiểm tra” trình soạn thảo hex và cấu trúc tệp nên đọc nó.

5) Xưởng lục giác

Hội thảo Hex - đơn giản và trình soạn thảo thuận tiện các tệp nhị phân, khác chủ yếu ở chỗ cài đặt linh hoạt và yêu cầu hệ thống thấp. Nhờ đó, nó có thể được sử dụng để chỉnh sửa các tệp khá lớn mà các trình chỉnh sửa khác không thể mở hoặc đóng băng.

Kho vũ khí của biên tập viên có tất cả những gì tốt nhất chức năng cần thiết: chỉnh sửa, tìm kiếm và thay thế, sao chép, dán, v.v. Chương trình có thể thực hiện các phép toán logic, tiến hành so sánh nhị phân các tập tin, xem và tạo ra nhiều tổng kiểm tra tập tin, xuất dữ liệu sang định dạng phổ biến: rtf và html.

Trình soạn thảo cũng có một bộ chuyển đổi giữa nhị phân, nhị phân và hệ thập lục phân. Nói chung, đây là một kho vũ khí tốt dành cho trình soạn thảo hex. Có lẽ điểm tiêu cực duy nhất là chương trình này là phần mềm chia sẻ...

Trình soạn thảo Hex Neo Phiên bản cuối cùng là trình chỉnh sửa tệp nhị phân, thập phân và thập lục phân cho Windows, sẽ rất thuận tiện cho các nhà phát triển và tin tặc. Bạn sẽ có thể chọn, xem, chỉnh sửa, thay thế dữ liệu và quá trình này sẽ không mất nhiều thời gian.

Điểm đặc biệt của chương trình là nó có thể hoạt động với rất nhiều tập tin lớn, có mức độ hoàn tác hoặc làm lại không giới hạn và xem lịch sử thay đổi với quá trình tải xuống và chỉnh sửa tiếp theo.

Chức năng hoàn tác không giới hạn.
Sự lựa chọn các đồ vật khác nhau.
Lưu và tải lựa chọn.
Tìm kiếm.
Tìm kiếm và thay thế.
Lưu và tải lịch sử.
Tạo các gói.
Các thao tác với clipboard.
Nhiều chế độ khác nhau công việc.
Đặt màu trong mẫu.
Thanh tra dữ liệu.
Dấu trang.
Trình xem cấu trúc
Số liệu thống kê.
Bộ chuyển đổi cơ sở
Tạo kịch bản.

Ở lần khởi động đầu tiên, chương trình sẽ thông báo cho bạn về tính khả dụng của ngôn ngữ tiếng Nga, sẵn sàng để tải xuống từ trang web chính thức.
Nhấp vào "Có".
Trong cửa sổ mở ra, hãy chọn hộp bên cạnh tiếng Nga và nhấp vào nút "Tải xuống".
Tiếp theo, chọn “Tiếng Nga” trong danh sách thả xuống và nhấp vào nút “Áp dụng”.
Một cửa sổ sẽ xuất hiện cảnh báo bạn rằng bản dịch được tạo bởi một cộng đồng mở và có thể không hoàn toàn chính xác. Các tùy chọn sau sẽ được cung cấp:
"Dùng gói lang này" - dùng bản dịch này
"Truy cập kho lưu trữ trực tuyến" - vào phần thay đổi bản dịch gốc trong kho lưu trữ
“Hủy” - Hủy cài đặt
Chọn tùy chọn đầu tiên, sau đó nhấp vào nút "OK". Sau đó, chương trình sẽ yêu cầu khởi động lại để áp dụng các thay đổi,
Nhấp vào xác nhận và chương trình sẽ khởi động lại với giao diện tiếng Nga.

Đã sửa lỗi
Nhiều bản sửa lỗi
Một số lỗi được báo cáo và phát hiện nội bộ đã được sửa.
Đã sửa lỗi rò rỉ bộ nhớ
Ứng dụng được phân bổ và không bao giờ giải phóng bộ nhớ khi sử dụng cấu trúc đệ quy trong Trình xem cấu trúc.
Hiển thị không chính xác số dấu phẩy động
Số dấu phẩy động trong phạm vi (-1..0) được hiển thị không chính xác trong Trình xem cấu trúc, Trình kiểm tra dữ liệu và các thành phần khác.
Các tính năng mới
Tính kiên trì của cài đặt cửa sổ Explorer
Cửa sổ Explorer bây giờ ghi nhớ các cài đặt thư mục được sử dụng gần đây nhất.
Trình xác định định dạng mới
Trình xem cấu trúc hiện cho phép trình xác định định dạng mới "c" trong hàm và thuộc tính format(). Nó buộc hiển thị các giá trị số nguyên dưới dạng ký tự một byte hoặc UNICODE.
Chỉ thị mới trong Trình xem cấu trúc
Các lệnh sau đã được thêm vào ngôn ngữ định nghĩa của Trình xem cấu trúc: $revert_to, $shift_by và $remove_to. Chúng cho phép nhìn về phía trước trong quá trình liên kết cấu trúc.
Thuộc tính trường mới trong Trình xem cấu trúc
Thuộc tính mới buộc phải khớp chính xác khi hiển thị các trường liệt kê.
Tính năng được cập nhật
Đã thay đổi logic thu gọn mục tự động
Loại do người dùng xác định sẽ không thu gọn nếu nó chứa các loại do người dùng xác định khác và tất cả chúng đều thực hiện thuộc tính. Trước đây, sự hiện diện của các loại do người dùng xác định khác đã khiến loại gốc tự động bị thu gọn trong quá trình trực quan hóa.

Cài đặt chương trình, không chạy nó.
Copy Patch.exe vào thư mục chứa chương trình đã cài đặt
Chạy, nhấp vào nút "Patch"
Sẵn sàng

Trình soạn thảo HEX là một chương trình có thể hiển thị thông tin theo cách máy tính “nhìn thấy” nhưng chuyển đổi nó thành hệ thập lục phân. Bằng cách mở bất kỳ tập tin nào trong ứng dụng tương tự, người dùng sẽ thấy một ma trận bao gồm các cột và hàng, số lượng của chúng phụ thuộc vào kích thước của tệp được đề cập. Do đó, nếu bạn thay đổi giá trị byte trong trình chỉnh sửa thì nội dung của tài liệu đang mở cũng sẽ thay đổi.

Một chút lý thuyết

Mọi dữ liệu đều được lưu trữ trong bộ nhớ PC dưới dạng từ máy, nếu không thì - byte. Mỗi cái bao gồm 8 bit (chữ số nhị phân lấy giá trị "0" hoặc "1"). Qua Tính toán toán học bạn có thể hiểu rằng một byte có thể chứa một số trong phạm vi từ 0 đến 255. Nếu bạn chuyển đổi 255 sang hệ thập lục phân, nó sẽ được chuyển đổi thành FF. Nghĩa là, để hiển thị bất kỳ từ máy nào, sẽ rất thuận tiện khi sử dụng biểu diễn thập lục phân. Do đó tên của nhóm chương trình - trình soạn thảo thập lục phân.

Các thành phần cơ bản của chương trình

Ngoài ma trận được mô tả ở trên, giao diện của nhóm ứng dụng được trình bày có thể chứa các công cụ khác:

Đánh số dòng. Thường nằm ở phía bên trái của ứng dụng. Hiển thị độ lệch của byte đầu tiên của dòng so với phần đầu của tệp.
Thường có một dải số tương tự ở trên cùng, biểu thị độ lệch byte của giá trị tương đối bên trái trong dòng. Bằng cách thêm các giá trị của chuỗi, bạn có thể nhận được số lượng của mỗi byte.
Ngăn bên phải có thể hiển thị dữ liệu giống như trong bảng, nhưng dưới dạng văn bản cho người dùng).

Thông tin chi tiết về tập tin McAfee

Trình soạn thảo HEX này hoàn toàn miễn phí. Chỉ hoạt động ở các hệ điều hành Gia đình Windows. Sản phẩm đáp ứng đầy đủ các yêu cầu của quý ông như xem và chỉnh sửa một tập tin. Đồng thời, chương trình có giao diện dễ chịu và thân thiện với người dùng.

Nhưng tính năng tiêu chuẩn là mức tối thiểu mà FileInsight có thể được sử dụng. Tối đa là bao nhiêu? Chúng ta cần bắt đầu với khả năng phân tích cấu trúc Các tập tin thực thi. Điều này chưa đủ sao? Bất kỳ mảnh nào được chọn đều có thể được tháo rời nhanh chóng. Một cú nhấp chuột - và những con số khó hiểu sẽ trở thành một danh sách có thể đọc được.

Trong số những tính năng khác, trình soạn thảo HEX này cung cấp nhiều thuật toán xử lý mã để vượt qua sự bảo vệ do các nhà phát triển tích hợp. Trước hết các bạn cần chú ý giải mã các phương thức obfuscation như add, xor, Base64, shift. Các tập lệnh đi kèm với ứng dụng có thể phá vỡ tính năng bảo vệ bằng mật mã đó một cách dễ dàng. Hầu hết các hành động có thể được tự động hóa bằng cách viết các tập lệnh đơn giản bằng JS hoặc Python. Đôi khi không cần phải sáng tạo gì mới, vì cơ sở của những thứ này đã được sưu tầm rất ấn tượng.

Mặc dù FileInsight được coi là một trong những những công cụ tốt nhấtđối với kỹ thuật đảo ngược, chương trình cũng có một nhược điểm rất lớn - không có khả năng xử lý các tệp lớn hơn 400 MB.

Trình soạn thảo Hex Neo

Trình chỉnh sửa HEX này có hai phiên bản: miễn phí và nâng cao. Một sản phẩm có giấy phép phần mềm miễn phí có chất lượng cao nhưng không có gì nổi bật. Các tính năng bao gồm cài đặt giao diện mở rộng và cách phối màu. Tùy chọn chuyên nghiệp cung cấp nhiều hơn các tính năng hữu ích, đặc biệt có liên quan trong quá trình phân tích

Ví dụ: người dùng được cung cấp khả năng giải mã các chương trình được mã hóa thuật toán chung. Ngoài ra, còn có các chức năng cho phép bạn chỉnh sửa tài nguyên cục bộ ( ĐẬP, luồng NTFS, Đĩa cứng). Tự động hóa quy trình được triển khai bằng cách sử dụng tập lệnh VBS và JS.

Tuy nhiên, hầu hết tính năng chính Chương trình này là một trình dịch ngược có thể hoạt động với các tệp x64, x86 và .NET. Một tính năng khác không được các đối thủ cạnh tranh cung cấp là tạo bản vá dựa trên so sánh hai tệp nhị phân thực thi. Nó chắc chắn rất ấn tượng, nhưng khi so sánh với FileInsight, Neo vẫn còn thua kém. Tuy nhiên, NEO có thể xử lý các tệp lớn.

chào

Trình soạn thảo Hiew HEX không có phiên bản miễn phí. Việc phát triển được thực hiện bởi một nhóm đến từ Nga. Lịch sử của sản phẩm bắt nguồn từ thời còn có các ứng dụng 16 bit cho DOS và Windows 3.1. Hiew thường được sử dụng bởi máy tính và các chuyên gia máy tính. bảo mật thông tin. Lý do rất rõ ràng: có đầy đủ các khả năng chỉnh sửa và xem tệp nhị phân thực thi Tệp Windows, cũng như được biên soạn chương trình Linux(ELF).

Một tính năng đáng chú ý khác giúp ích cho kỹ thuật đảo ngược là trình dịch mã và lắp ráp tích hợp sẵn của Hiew. Hơn nữa, chúng hoạt động với cả ứng dụng x86 và x86_64, hướng dẫn của bộ xử lý cũng được hỗ trợ. Trình chỉnh sửa xử lý các tệp lớn mà không gặp bất kỳ khó khăn nào, cho phép bạn thực thi. thay đổi mức độ thấp dữ liệu trên ổ cứng vật lý.

Một số lượng lớn các hành động có thể được tự động hóa. Để làm được điều này, các lập trình viên đã tích hợp sẵn khả năng tạo tập lệnh, macro bàn phím và các hàm API được sử dụng để gọi các thủ tục nội bộ từ ứng dụng bên ngoài. Nhưng Hiew vẫn chưa đạt được thắng lợi vô điều kiện trong lĩnh vực soạn thảo hệ thập lục phân. Giao diện của nó được làm hoàn toàn theo phong cách DOS và các cửa sổ được hiển thị (hoặc bảng điều khiển, nếu chúng ta nói về hệ thống Linux).