| 软件简介:超级巡警病毒分析工具(File Format Identifier)
超级巡警病毒分析工具(File Format Identifier) V1.2 本工具是一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用超级巡警的格式识别引擎部分代码,集查壳、PE文件编辑、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。
本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,例如反病毒公司用来批量分析木马,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。
一、查壳功能:
支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。
注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。
二、PE编辑功能:
本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息。
其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。
主要功能有:
★显示详细的节段信息
★可查看编辑区段名称、大小、执行属性等相关信息。
★清除选定的区段名称
★对区段进行自动修复
★从磁盘加载区段
★保存区段到磁盘
★增加一个新的区段
★从文件中删除区段
★从PE头中删除区段(区段内容实质还在)
★用指定的数据填充区段
SubSystem后按钮可以显示PE文件的详细信息,支持详细编辑PE文件的Dos头,NT头等信息,支持查看PE文件的导出表、导入表信息,本项目功能太细致具体请参考界面。
三、附加数据检测:
可扫描应用程序是否包含附件数据,并提供了附加数据详细的起始位置和大小。
四、第三方工具支持:
在Options按钮中,点Manage Tools按钮,可以用右键菜单添加/删除IDA/OllyDBG等第三方工具,这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。
注:添加第三方工具后,点Plugin>>按钮就可以看到您添加的工具信息了,点击即可用此工具打开当前处理文件。
|
