Trong phần này sẽ tập trung giới thiệu các công cụ liên quan tới việc xem, sửa nội dung các file nhị phân, xem cấu trúc header cho các file PE. Có rất nhiều công cụ cho phép xem, sửa nội dung file binary, xem, sửa cấu trúc file PE. Bài viết này sẽ tập trung vào nghiên cứu hai công cụ chính: LordPE và Hex Editor Neo
1. Công cụ xem, sửa cấu trúc file PE
LordPE có thể download tại: http://www.woodmann.com/collaborative/tools/index.php/LordPE. Đây là một bản Portable, danh sách các file khi download về như bên dưới
Chạy file: LordPE.EXE để bắt đầu chương trình. Mở một file để xem cấu trúc PE: click button PE Editor, chọn tới file PE cần xem. Ví dụ ở đây sẽ mở file notepad.exe để xem nội dung PE header
Trong cửa sổ phía trên chúng ta có thể thấy rất nhiều tham số khác nhau của PE Header. Vậy các tham số này có ý nghĩa như thế nào, cách bố trí trên file ra sao. Chúng ta sẽ xem chi tiết qua phần:Cấu trúc PE file
2. Công cụ xem, sửa, so sánh file nhị phân
Hex Editor Neo là công cụ tương đối mạnh trong việc xem, chỉnh sửa, so sánh các file nhị phân. Bạn có thể download tại đây.
Để mở một file nhị phân, có thể kéo thả trực tiếp file vào trong giao diện của Hex Editor Neo hoặc thông qua menu File → Open. Công cụ này hỗ trợ chúng ta chỉnh sửa tại vị trí bất kỳ trong file hoặc chèn thêm vào file theo nhiều hình thức khác nhau: chèn mã Hex, chèn nội dung từ một file…
Post a Comment
EmoticonClick to see the code!
To insert emoticon you must added at least one space before the code.