RogueKillerPE64 和谐补丁
本帖最后由 梦幻的彼岸 于 2020-7-15 13:36 编辑备注:仅供学习交流使用,若感觉不错请支持正版。
感谢:感谢Nisy、王公子、七度、小马等各位老哥的帮助(以上排名不分先后)
static/image/hrline/1.gif
软件介绍:Adlice PEViewer(RogueKillerPE)是一款PE分析器软件,可在进行恶意软件分析时提供帮助。PEViewer能够检查磁盘上的文件或(正在运行的)过程存储器,并使用基于人工智能,第三方服务和内置启发式规则的各种模块对样本进行分类。
官网:https://www.adlice.com/download/roguekillerpe/
用法案例:
[*]扫描文件
有几种不同的方法可以开始文件分析:
A. 将文件拖到 “加载”面板中。
B. (在第一次分析之后)在“结果”面板上拖动文件。
C. 使用“ -scan_target C:\ myfile.bin”命令启动软件。
D. 点击 “结果”面板中的“刷新”按钮(重新扫描文件)。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_load2-1024x684.png
扫描文件并显示数据时,可以导航到“结果”面板并跟踪解析的进度。收集的数据在“ PE结构”部分中进行了说明。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_general-1024x638.png
[*]扫描处理模块
要开始过程模块分析,您需要首先在“加载”面板中加载过程列表。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_load2-1024x684.png
完成后,只需从列表中选择任何进程,然后从右侧面板中选择一个已加载的模块(DLL / EXE)。使用“加载”按钮确认您的选择。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_load-1024x638.png
对于文件分析,分析开始,PE数据显示在“结果”视图中。与经典文件分析相比,内存(过程)扫描具有多个附加层:
A. 内存选项卡:显示模块使用的所有内存页面。可以将其丢弃或检查。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_memory-1024x628.png
B. RunPE比较:将内存中的PE结构与其在磁盘上的映像进行比较。结果以颜色语法显示(红色:不匹配,绿色:相等),因此很容易看到差异。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_mz-1024x628.png
C. 常规选项卡显示过程信息。
D. 导入/导出选项卡显示可能的钩子,并允许检查代码的反汇编。
[*]PE结构
当Adlice PEViewer打开文件(或处理模块)时,它将开始解析PE结构数据并将其显示在几个选项卡中。大多数选项卡如下所述:
常规选项卡显示有关文件/过程,哈希和分数的信息。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_general-1024x638.png
图像选项卡显示Bin2Img表示形式,可以快速查看数据表示形式和多样性。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_image-1024x638.png
指标选项卡显示在信息解析期间发现的所有异常(或强烈提示)。它们会提示文件是恶意文件还是合法文件。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_indicators-1024x638.png
内存选项卡显示进程的页面。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_memory-1024x628.png
十六进制选项卡显示数据的十六进制视图,并允许在其中搜索字符串。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_hex-1024x628.png
MZ / PE标头视图显示原始PE数据
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_mz-1024x628.png
资源选项卡显示文件中的资源
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_resources-1024x638.png
版本信息/数字标签选项卡显示版本信息以及文件是否经过数字签名。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_digisig-1024x638.png
[*]对比
对比是高级功能。它有助于根据需要比较相似的样本(同一家族)以找到常见的模式或差异。
在搜索通用模式时,可以使用它来制作可捕获两个文件的防病毒签名。
搜索差异时,可用于查找补丁位置。
https://www.adlice.com/wp-content/uploads/2019/08/rkpe_comparison-1024x628.png
靓图:
补丁:
备注:学习所需,仅对安装版本的x64程序制作了劫持补丁,若伙伴们需要其它版本的补丁,请学习并自我调试制作。
非常感谢楼主分享 谢谢楼主分享,这个正好需要 牛逼,秒KO{:victory:} 牛逼 666 没用过,下来看看好用吗 牛牛!感谢分享! 感谢发布,多谢~~~~~~
页:
[1]