当前位置:<主页 > U最生活 >File Format Identifier v13 超级巡警病毒分析工具 >

File Format Identifier v13 超级巡警病毒分析工具




    File Format Identifier v13 超级巡警病毒分析工具

    本工具是一款辅助进行病毒分析的工具,它包括各种档案格式识别功能,使用超级巡警的格式识别引擎部分代码,集侦壳、脱壳、PE 档案编辑、MD5 计算以及便捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。

    详细功能说明如下:
        
    一、侦壳功能:
    支援档案拖曳,目录拖曳,可设定右键对档案和目录的侦壳功能,除了 FFI 自带壳库 unpack.avd 外,还可以使用外部壳库 (必须命名为 userdb.txt,此壳库格式相容 PEID 壳库格式,可以把自己收集的 userdb.txt 放入增强壳侦测功能)。
    注:如果是使用外部壳库里的特徵所查出来的壳,在壳资讯后面会有 * 标示。
        
    二、脱壳功能:
    如果在侦壳后,[脱壳] 按钮可用,则表示可以对当前处理档案进行脱壳处理,採用虚拟机脱壳技术,您不必担心当前处理档案可能危害系统。
       
    三、PE 编辑功能:
    本程式主介面可显示被检查的程式的入口点/入口点实体偏移,区段等资讯,并且提供强大的编辑功能。
    其中 [EP 区段] 后的 [ > ] 按钮可以编辑现用的档案区段,按下后会出现 [区段编辑器] 视窗。
    主要功能有:
    ★显示详细的区段资讯
    ★可检视编辑区段名称、大小、执行属性等相关资讯。
    ★清除选定的区段名称
    ★对区段进行自动修复
    ★从磁碟载入区段
    ★储存区段到磁碟
    ★增加一个新的区段
    ★从档案中删除区段
    ★从 PE 头部中删除区段 (区段内容实质还在)
    ★用指定的资料填充区段
     [子系统] 后的 [ > ] 按钮可以显示 PE 档案的详细资讯,支援详细编辑 PE 档案的 Dos 头部,NT 头部等资讯,支援检视 PE 档案的输出表、输入表资讯,本项目功能太细緻具体请参考介面。
       
    四、额外资料侦测:
    可扫瞄应用程式是否包含额外资料,并提供了额外资料详细的起始位置和大小,可以用 [清除 Ovl] 按钮和 [转存 Ovl] 按钮进行相应的处理。 五、支援 PEid 外挂:
    按 [选项] 按钮选择 [载入外挂] 就可以使用 PEid 的外挂功能,无需重启 FFI,外挂必须放在 [plugins] 目录下,然后按 [外挂 >>  就可看到相应的外挂资讯。
     
    六、重建 PE 功能:
    本功能主要是用来对脱壳后的 PE 档案进行修复,一般可用来解决脱壳后无法重新加壳等问题,使用 [重建 PE] 按钮即可完成此功能。   
       
    七、第三方工具支援:
    在 [选项] 按钮中,按 [管理工具] 按钮,可以用右键功能表加入/删除 IDA/OllyDBG 等第三方工具,这样就可以直接在 FFI 里启动 OllyDBG、IDA 这些工具来开启现用的档案进行反组译。
    注:加入第三方工具后,按 [外挂 >>] 按钮就可以看到您所加入的工具资讯了,按下即可用此工具开启现用的档案进行处理。
          
    八、处理序转存:
    按 [工作检视] 按钮后,可以进行处理序的中止,处理序中模组记忆体的转存,目前支援三种转存方式:完整转存、部分转存和区域转存,还支援自动修正主模组记忆体映像大小。
       
    九、连络我们:
    如果您遇到什幺问题,或者有什幺建议,或者需要我们再加入新功能,可以透过按 [传送电子邮件给我们] 来寄送邮件给我们,如果您认为目前正在处理的档案对我们改进 FFI 功能或者修正其 bug 有益,也可以把它当作附件传送给我们。 

    File Format Identifier v13 超级巡警病毒分析工具