史萊姆論壇 - File Format Identifier V1.3

■ 軟體說明：

∥軟體名稱：File Format Identifier
∥版本資訊：1.3
∥檔案大小：909 KB、108 KB
∥軟體分類：軟體本地化
∥存放空間：HTTP
∥官方站台：http://www.dswlab.com/
∥中文化：YoYo

http://i134.photobucket.com/albums/q95/bernach/FFI13.gif

■ 軟體簡介：

FFI 整合了 PE 編輯、脫殼 (相當於 VMUnpacker V1.4 引擎) 和偵殼 ...等功能，推薦一下；中文化說明：

引用:

1. 中文化的非標準資源僅處理了 VA，其餘未多加檢視和調整；字串基本夠用。

2. 部分字串保留不譯，如：Original First Thunk、Forwarder Chain、First Thunk ...等等。

3. 程式的詳細功能請查閱 [軟體說明.txt]。

4. 相容 PEiD 外掛，用法如下：

(1). 將 PEiD 外掛放置於 [plugins] 目錄下。
(2). 開啟 FF1 → [選項] → 勾選 [載入外掛] 即可。

5. FFI 使用的 [userdb.txt] 跟 PEiD 使用的 [userdb.txt] 相容，如果您有製作或收集簽名的習慣，可以把 [userdb.txt] 整合一下，以增強對殼的偵測；若沒有製作或收集簽名的習慣，可以改用 FFI 的 [userdb.txt]。

6. 承上，建議整合其它 PE 相關工具 ( PEiD、DiE、Exeinfo PE、Stud_PE、LordPE、PE Tools ...等等 ) 和除錯器、反組譯工具 ( OllyDBG、IDA ...等等 )，方便呼叫使用且也補足 FFI 功能不足之處 ( 殼偵測工具可以將簽名分開來用 )。

‧按 [選項] → [管理工具] → 右鍵 [加入]。

7. FFI 執行後會檢查並自動更新目錄下的 [ffi.info]，這一部分已不讓它取代，因此目錄下會產生一個 [ffi.info_new] 檔案，沒什麼影響，如果您想查閱這些更新資訊，將 [ffi.info] 刪除即可。

如果常常按到 FFI 程式介面底下的廣告橫幅，覺得不方便，可以下載底下那個 [Patch] 載點，把 [Patch.exe] 複製到 FFI 的目錄下執行 → 按 [修補] 即可使橫幅失去作用。

基於尊重及感謝 DSW LABS 撰寫此程式的勞動，故將此 Patch 獨立出來，不封裝進壓縮檔，修補與否，交由使用者自行取決。

8. 外部的殼簽名仍沿用 khiav 兄兄在 V1.2 版提供的 [userdb.txt]，特此致謝。

若有翻譯謬誤請不吝指正，謝謝；以下介紹引自 [軟體說明]：

引用:

V1.3 新增功能：

★ 增加處理序檢視、中止功能，支援三種轉存方式：完整轉存、部分轉存和區域轉存，支援自動修正模組記憶體映像大小。

引用:

一、偵殼功能：

支援檔案拖曳，目錄拖曳，可設定右鍵對檔案和目錄的偵殼功能，除了 FFI 自帶殼庫 unpack.avd 外，還可以使用外部殼庫 (必須命名為 userdb.txt，此殼庫格式相容 PEID 殼庫格式，可以把自己收集的 userdb.txt 放入增強殼偵測功能)。

註：如果是使用外部殼庫裡的特徵所查出來的殼，在殼資訊後面會有 * 標示。

二、脫殼功能：

如果在偵殼後，[脫殼] 按鈕可用，則表示可以對當前處理檔案進行脫殼處理，採用虛擬機脫殼技術，您不必擔心當前處理檔案可能危害系統。

三、PE 編輯功能：

本程式主介面可顯示被檢查的程式的入口點/入口點實體偏移，區段等資訊，並且提供強大的編輯功能。

其中 [EP 區段] 後的 [ > ] 按鈕可以編輯現用的檔案區段，按下後會出現 [區段編輯器] 視窗。

主要功能有：

　　　‧顯示詳細的區段資訊
　　　‧可檢視編輯區段名稱、大小、執行屬性等相關資訊。
　　　‧清除選定的區段名稱
　　　‧對區段進行自動修復
　　　‧從磁碟載入區段
　　　‧儲存區段到磁碟
　　　‧增加一個新的區段
　　　‧從檔案中刪除區段
　　　‧從 PE 頭部中刪除區段 (區段內容實質還在)
　　　‧用指定的資料填充區段

[子系統] 後的 [ > ] 按鈕可以顯示 PE 檔案的詳細資訊，支援詳細編輯 PE 檔案的 Dos 頭部，NT 頭部等資訊，支援檢視 PE 檔案的輸出表、輸入表資訊，本項目功能太細緻具體請參考介面。

四、額外資料偵測：

可掃瞄應用程式是否包含額外資料，並提供了額外資料詳細的起始位置和大小，可以用 [清除 Ovl] 按鈕和 [轉存 Ovl] 按鈕進行相應的處理。

五、支援 PEid 外掛：

按 [選項] 按鈕選擇 [載入外掛] 就可以使用 PEid 的外掛功能，無需重啟 FFI，外掛必須放在 [plugins] 目錄下，然後按 [外掛 >> 就可看到相應的外掛資訊。

六、重建 PE 功能：

本功能主要是用來對脫殼後的 PE 檔案進行修復，一般可用來解決脫殼後無法重新加殼等問題，使用 [重建 PE] 按鈕即可完成此功能。

七、第三方工具支援：

在 [選項] 按鈕中，按 [管理工具] 按鈕，可以用右鍵功能表加入/刪除 IDA/OllyDBG 等第三方工具，這樣就可以直接在 FFI 裡啟動 OllyDBG、IDA 這些工具來開啟現用的檔案進行反組譯。

註：加入第三方工具後，按 [外掛 >>] 按鈕就可以看到您所加入的工具資訊了，按下即可用此工具開啟現用的檔案進行處理。

八、處理序轉存：

按 [工作檢視] 按鈕後，可以進行處理序的中止，處理序中模組記憶體的轉存，目前支援三種轉存方式：完整轉存、部分轉存和區域轉存，還支援自動修正主模組記憶體映像大小。

■ 檔案下載：

FFI V1.3 下載：http://0rz.tw/7a3xH

Patch 下載：http://0rz.tw/723AY

解壓碼：

語法:

CENTURYS 網際論壇中文化開發團隊