HEX-рэдактар. Апісанне інструмента і агляд найбольш папулярных

HEX-рэдактарам называюць праграму, якая ўмее адлюстроўваць інфармацыю так, як яе "бачыць" кампутар, але, пераўтвараючы двайковыя лікі ў шаснаццаткавыя. Адкрыўшы любы файл ў падобным дадатку, карыстальнік убачыць матрыцу, якая складаецца з слупкоў і радкоў, колькасць якіх залежыць ад памеру разгляданага файла. Такім чынам, калі памяняць значэння байтаў ў рэдактары, зменіцца і змесціва адкрытага дакумента.

крыху тэорыі

Любыя дадзеныя захоўваюцца ў памяці ПК у выглядзе машынных слоў, інакш - байтаў. Кожны ўключае ў сябе 8 бітаў (двайковых разрадаў, якія прымаюць значэнне альбо "0", альбо "1"). Шляхам матэматычных вылічэнняў можна зразумець, што ў адным байце можа быць запісана лік у дыяпазоне ад 0 да 255. Калі перавесці 255 у шаснаццатковай сістэму вылічэння, яно пераўтворыцца ў FF. Гэта значыць для адлюстравання любога машыннага словы вельмі зручна выкарыстоўваць шаснаццатковы выгляд прадстаўлення. Адсюль і назва групы праграм - шаснаццатковы рэдактар.

Асноўныя элементы праграм

Акрамя апісанай вышэй матрыцы, у інтэрфейсе прадстаўленай групы прыкладанняў могуць быць і іншыя сродкі:

• Нумарацыя радкоў. Звычайна размяшчаецца ў левай частцы прыкладання. Паказвае зрушэнне першага байта радкі адносна пачатку файла.
• Зверху часцяком маецца падобная паласа лічбаў, якая паказвае зрушэнне байта адноснага левага значэння ў лініі. Склаўшы значэння радкоў, можна атрымаць нумар кожнага байта.
• У правай вобласці могуць адлюстроўвацца тыя ж дадзеныя, што і ў табліцы, але ў выглядзе тэксту (кадоўку вызначае карыстальнік).

McAfee FileInsight

Гэты HEX-рэдактар абсалютна бясплатны. Працуе толькі ў аперацыйных сістэмах сямейства Windows. У прадукце маецца ўвесь джэнтльменскі набор, такі як прагляд і рэдагаванне файла. Пры гэтым праграма валодае прыемным і зручным інтэрфейсам.

Але стандартныя функцыі - гэта мінімум, для якога можа быць выкарыстаны FileInsight. Які максімум? Пачаць трэба з магчымасці парсінга структур выкананых файлаў. Гэтага мала? Любы вылучаны фрагмент можа быць дызасэмбляваць на лета. Адзін націск - і незразумелыя лічбы становяцца чытаным лістынгаў.

Апроч іншага, гэты HEX-редатор дае мноства алгарытмаў апрацоўкі кода для абыходу убудаванай распрацоўшчыкамі абароны. Перш за ўсё, трэба звярнуць увагу на дэкадаванне метадаў абфускацыі, такіх як add, xor, Base64, shift. Скрыпты, з якімі пастаўляецца прыкладанне, ламаюць падобную криптозащиту з лёгкасцю. Большую частку дзеянняў можна аўтаматызаваць, напісаўшы простыя сцэнары на JS або Python. Часам і ствараць нічога новага не патрабуецца, бо база гэтых набрана вялікая.

Хоць FileInsight і лічыцца адным з лепшых інструментаў для рэверс-інжынірынгу, маецца на праграме і велізарны недахоп - немагчымасць апрацоўкі файлаў, якія перавышаюць 400 Мб.

Hex Editor Neo

Гэты HEX-рэдактар распаўсюджваецца ў двух версіях: бясплатнай і прасунутай. Прадукт з freeware-ліцэнзіяй - якасны, але не вартага. З асаблівасцяў можна вылучыць шырокія налады інтэрфейсу і каляровых схемаў. Прафесійны варыянт падае больш карысных магчымасцяў, якія асоба актуальныя падчас аналізу бінарных файлаў.

Напрыклад, карыстачу прадастаўляюцца магчымасці дэкадавання праграм, закриптованных агульнымі алгарытмамі. Дадаткова да гэтага ёсць функцыі, якія дазваляюць рэдагаваць лакальныя рэсурсы (аператыўная памяць, NTFS-патокі, жорсткія дыскі). Аўтаматызацыя працэсаў рэалізаваная з дапамогай скрыптоў VBS і JS.

Аднак самай галоўнай асаблівасцю праграмы з'яўляецца дизассемблер, які можа працаваць з x64, x86 і .NET-файламі. Яшчэ адна функцыя, ня якая прадстаўляецца канкурэнтамі, - стварэнне патча на аснове параўнання двух выкананых-бінарнікаў. Безумоўна ўражвае, але калі параўноўваць з FileInsight, Neo ўсё роўна прайграе. Аднак NEO можа працаваць з файламі вялікага аб'ёму.

Hiew

HEX-рэдактар Hiew не мае бясплатнай версіі. Распрацоўкамі займаецца каманда з Расіі. Пачынае сваю гісторыю прадукт яшчэ з часоў 16-бітных прыкладанняў для DOS і Windows 3.1. Hiew часта выкарыстоўваюць прафесіяналы, якія займаюцца пытаннямі кампутарнай і інфармацыйнай бяспекі. Прычыны зразумелыя: увесь спектр магчымасцяў для рэдагавання і прагляду выкананых бінарных файлаў Windows, а таксама адкампіляваных праграм Linux (ELF).

Яшчэ адна характэрная функцыя, якая дапамагае ў рэверс-інжынірынгу, - убудаваныя ў Hiew дизассемблер і асэмблер. Прычым яны працуюць, як з x86, так і з x86_64-праграмамі, падтрымліваюцца і інструкцыі працэсараў архітэктуры ARM. З вялікімі файламі рэдактар спраўляецца без якіх-небудзь складанасцяў, дазваляе выконваць нізкаўзроўневае змена дадзеных на фізічных HDD.

Вялікая колькасць дзеянняў можа быць аўтаматызавана. Для гэтага праграмісты убудавалі магчымасць стварэння скрыптоў, клавіятурных макрасаў і API-функцый, якія выкарыстоўваюцца для выкліку ўнутраных працэдур з знешніх прыкладанняў. Але да безумоўнай перамогі на ніве шаснаццатковых рэдактараў Hiew ўсё ж такі не дабраўся. Яго інтэрфейс цалкам выкананы ў стылі DOS, а адмалёўка вокнаў займаецца камандны радок (або кансоль, калі казаць пра Linux-сістэмах).