File Format Identifier v1.4 - 超級巡警病毒分析工具
一、偵殼功能:
支援檔案拖曳,目錄拖曳,可設定右鍵對檔案和目錄的偵殼功能,除了 FFI 自帶殼庫 unpack.avd 外,還可以使用外部殼庫 (必須命名為 userdb.txt,此殼庫格式相容 PEID 殼庫格式,可以把自己收集的 userdb.txt 放入增強殼偵測功能)。
註:如果是使用外部殼庫裡的特徵所查出來的殼,在殼資訊後面會有 * 標示。
二、脫殼功能:
如果在偵殼後,[脫殼] 按鈕可用,則表示可以對當前處理檔案進行脫殼處理,採用虛擬機脫殼技術,您不必擔心當前處理檔案可能危害系統。
三、PE 編輯功能:
本程式主介面可顯示被檢查的程式的入口點/入口點實體偏移,區段等資訊,並且提供強大的編輯功能。
其中 [EP 區段] 後的 [ > ] 按鈕可以編輯現用的檔案區段,按下後會出現 [區段編輯器] 視窗。
主要功能有:
★顯示詳細的區段資訊
★可檢視編輯區段名稱、大小、執行屬性等相關資訊。
★清除選定的區段名稱
★對區段進行自動修復
★從磁碟載入區段
★儲存區段到磁碟
★增加一個新的區段
★從檔案中刪除區段
★從 PE 頭部中刪除區段 (區段內容實質還在)
★用指定的資料填充區段
[子系統] 後的 [ > ] 按鈕可以顯示 PE 檔案的詳細資訊,支援詳細編輯 PE 檔案的 Dos 頭部,NT 頭部等資訊,支援檢視 PE 檔案的輸出表、輸入表資訊,本項目功能太細緻具體請參考介面。
四、額外資料偵測:
可掃瞄應用程式是否包含額外資料,並提供了額外資料詳細的起始位置和大小,可以用 [清除 Ovl] 按鈕和 [轉存 Ovl] 按鈕進行相應的處理。五、支援 PEid 外掛:
按 [選項] 按鈕選擇 [載入外掛] 就可以使用 PEid 的外掛功能,無需重啟 FFI,外掛必須放在 [plugins] 目錄下,然後按 [外掛 >> 就可看到相應的外掛資訊。
六、重建 PE 功能:
本功能主要是用來對脫殼後的 PE 檔案進行修復,一般可用來解決脫殼後無法重新加殼等問題,使用 [重建 PE] 按鈕即可完成此功能。
七、第三方工具支援:
在 [選項] 按鈕中,按 [管理工具] 按鈕,可以用右鍵功能表加入/刪除 IDA/OllyDBG 等第三方工具,這樣就可以直接在 FFI 裡啟動 OllyDBG、IDA 這些工具來開啟現用的檔案進行反組譯。
註:加入第三方工具後,按 [外掛 >>] 按鈕就可以看到您所加入的工具資訊了,按下即可用此工具開啟現用的檔案進行處理。
八、處理序轉存:
按 [工作檢視] 按鈕後,可以進行處理序的中止,處理序中模組記憶體的轉存,目前支援三種轉存方式:完整轉存、部分轉存和區域轉存,還支援自動修正主模組記憶體映像大小。
九、連絡我們:
如果您遇到什麼問題,或者有什麼建議,或者需要我們再加入新功能,可以透過按 [傳送電子郵件給我們] 來寄送郵件給我們,如果您認為目前正在處理的檔案對我們改進 FFI 功能或者修正其 bug 有益,也可以把它當作附件傳送給我們。
