分享 - File Format Identifier V1.4

[yoyo007]

■ 軟體說明：

∥軟體名稱：File Format Identifier
∥版本資訊：1.4
∥檔案大小：1.15 MB (1,210,605 位元組)
∥軟體分類：軟體本地化
∥存放空間：HTTP
∥官方站台：http://www.dswlab.com/
∥中 文 化：YoYo



■ 軟體簡介：

FFI 整合了 PE 編輯、脫殼 (相當於 VMUnpacker V1.4 引擎) 和偵殼 ...等功能，推薦一下；中文化說明：

引用:

1. 中文化的非標準資源僅處理了 VA，其餘未多加檢視和調整；字串基本夠用。

2. 部分字串保留不譯，如：Original First Thunk、Forwarder Chain、First Thunk ...等等。

3. 程式的詳細功能請查閱 [軟體說明.txt]。

4. 相容 PEiD 外掛，用法如下：

(1). 將 PEiD 外掛放置於 [plugins] 目錄下。
(2). 開啟 FF1 → [選項] → 勾選 [載入外掛] 即可。

5. FFI 使用的 [userdb.txt] 跟 PEiD 使用的 [userdb.txt] 相容，如果您有製作或收集簽名的習慣，可以把 [userdb.txt] 整合一下，以增強對殼的偵測；若沒有製作或收集簽名的習慣，可以改用 FFI 的 [userdb.txt]。

6. 承上，建議整合其它 PE 相關工具 ( PEiD、DiE、Exeinfo PE、Stud_PE、LordPE、PE Tools ...等等 ) 和除錯器、反組譯工具 ( OllyDBG、IDA ...等等 )，方便呼叫使用且也補足 FFI 功能不足之處 ( 殼偵測工具可以將簽名分開來用 )。

‧按 [選項] → [管理工具] → 右鍵 [加入]。

7. kcl0801 大提報 VUnpackSDK.dll 中遺漏的 [錯誤碼] 已於此版中補上，特此致謝。

8. 外部的殼簽名使用 FFI 自身提供的殼簽名。

若有翻譯謬誤請不吝指正，謝謝；以下介紹引自 [軟體說明]：

引用:

V1.4 新增功能：

★ 新增自動擷取輸入表功能，該功能使用虛擬機虛擬執行技術來進行輸入表的擷取，具備自動解密功能，可以輕鬆擷取 ImportREC 無法正確擷取的輸入表。(詳見下面節九) 對該功能有更多想法的人歡迎聯繫我們。
★ 增加的更多的細節描述，對 PE 檔案進行更細緻的解析，對錯誤檔案/無效的 PE 檔案/無法執行的 PE 檔案報告錯誤原因。感謝 Pedro Lopez 建議此功能。
★ 新增面版功能，使得介面更漂亮，可在設定中切換自己喜歡的外觀樣式。感謝 fly (unpack.cn) 建議此功能。
★ 擴充簽名庫整合 Fly 蒐集的簽名庫。感謝 fly (unpack.cn) 授權。
★ 其它幾個 BUG 修正。

引用:

一、偵殼功能：

支援檔案拖曳，目錄拖曳，可設定右鍵對檔案和目錄的偵殼功能，除了 FFI 自帶殼庫 unpack.avd 外，還可以使用外部殼庫 (必須命名為 userdb.txt，此殼庫格式相容 PEID 殼庫格式，可以把自己收集的 userdb.txt 放入增強殼偵測功能)。

註：如果是使用外部殼庫裡的特徵所查出來的殼，在殼資訊後面會有 * 標示。

二、脫殼功能：

如果在偵殼後，[脫殼] 按鈕可用，則表示可以對當前處理檔案進行脫殼處理，採用虛擬機脫殼技術，您不必擔心當前處理檔案可能危害系統。

三、PE 編輯功能：

本程式主介面可顯示被檢查的程式的入口點/入口點實體偏移，區段等資訊，並且提供強大的編輯功能。

其中 [EP 區段] 後的 [ > ] 按鈕可以編輯現用的檔案區段，按下後會出現 [區段編輯器] 視窗。

主要功能有：

　　　‧顯示詳細的區段資訊
　　　‧可檢視編輯區段名稱、大小、執行屬性等相關資訊。
　　　‧清除選定的區段名稱
　　　‧對區段進行自動修復
　　　‧從磁碟載入區段
　　　‧儲存區段到磁碟
　　　‧增加一個新的區段
　　　‧從檔案中刪除區段
　　　‧從 PE 頭部中刪除區段 (區段內容實質還在)
　　　‧用指定的資料填充區段

[子系統] 後的 [ > ] 按鈕可以顯示 PE 檔案的詳細資訊，支援詳細編輯 PE 檔案的 Dos 頭部，NT 頭部等資訊，支援檢視 PE 檔案的輸出表、輸入表資訊，本項目功能太細緻具體請參考介面。

四、額外資料偵測：

可掃瞄應用程式是否包含額外資料，並提供了額外資料詳細的起始位置和大小，可以用 [清除 Ovl] 按鈕和 [轉存 Ovl] 按鈕進行相應的處理。

五、支援 PEid 外掛：

按 [選項] 按鈕選擇 [載入外掛] 就可以使用 PEid 的外掛功能，無需重啟 FFI，外掛必須放在 [plugins] 目錄下，然後按 [外掛 >> 就可看到相應的外掛資訊。

六、重建 PE 功能：

本功能主要是用來對脫殼後的 PE 檔案進行修復，一般可用來解決脫殼後無法重新加殼等問題，使用 [重建 PE] 按鈕即可完成此功能。

七、第三方工具支援：

在 [選項] 按鈕中，按 [管理工具] 按鈕，可以用右鍵功能表加入/刪除 IDA/OllyDBG 等第三方工具，這樣就可以直接在 FFI 裡啟動 OllyDBG、IDA 這些工具來開啟現用的檔案進行反組譯。

註：加入第三方工具後，按 [外掛 >>] 按鈕就可以看到您所加入的工具資訊了，按下即可用此工具開啟現用的檔案進行處理。

八、處理序轉存：

按 [工作檢視] 按鈕後，可以進行處理序的中止，處理序中模組記憶體的轉存，目前支援三種轉存方式：完整轉存、部分轉存和區域轉存，還支援自動修正主模組記憶體映像大小。

九、輸入表擷取：

按 [擷取 IAT] 按鈕後，選擇處理序即可擷取輸入表，在 [修復轉存檔案] 前，請填上正確的 OEP 資訊；如果出現不可識別的函數訊息，您可以設定虛擬機解密步驟，在輸入表訊息方塊中用右鍵按 [VM 解碼] 嘗試解密這個函數。

如果您發現擷取的輸入表資訊有些不是您想要的，可以在輸入表訊息方塊中用右鍵按 [刪除 Thunk] 或者 [剪下 Thunk] 讓其消失；如果您要對處理序的非主模組擷取輸入表，請在 [作業記錄] 視窗中，對相應的模組資訊按右鍵 [載入選定模組]，這樣擷取的輸入表就是這個模組的了。

■ 檔案下載：


下載連結：http://0rz.tw/af3ER

MD5：

語法:

CF2C94FB82AB39534FFDD2B4FC044ACB

解壓碼：

語法:

CENTURYS 網際論壇 中文化開發團隊