⑴File Format Identifier(超级巡警病毒分析是一款查壳脱壳工具,同时也是一款病毒分析工具,它可以自动识别文件格式,使用超级巡警的格式识别引擎,集查壳虚拟机脱壳PE文件编辑PE文件重建导入表抓取(内置虚拟机解密某些加密导入表)进程内存查看/DUMP附加数据处理文件地址转换PEID插件支持MD计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。
⑵支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。
⑶注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。
⑷如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。
⑸三PE编辑功能:
⑹本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。
⑺其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。
⑻四附加数据检测:
⑼可扫描应用程序是否包含附件数据,并提供了附加数据详细的起始位置和大小,可以用Del Overlay按钮和Save Overlay按钮进行相应的处理。
⑽五支持PEid插件:
⑾点Options按钮选择Load Plugins就可以使用PEid的插件功能,无需重启FFI,插件必须放plugins目录下,然后点Plugin>>就可看到相应插件信息。
⑿六ReBuildPE功能:
⒀本功能主要用于修复脱壳后的PE文件,一般用于解决脱壳后无法重新增加壳等问题,可以使用ReguildPE按钮完成该功能。七第三方工具支持:
⒁在Options按钮中,点击ManageTools按钮,可以在右键菜单中添加或删除IDA/OllyDBG等第三方工具,直接在FFI中启动OllyDBGIDA等工具,打开当前文件进行反编辑。
⒂注:添加第三方工具后,点击Plugin>>按钮可以看到添加的工具信息,点击此工具可以打开当前的处理文件。
⒃八过程DUMP:
⒄点击TaskView按钮后,就可以进行流程结束,流程中模块内存的dump,目前支持三种dump方式:DumpFullDumpPartial和DumpRegion,还支持自动修改主模块内存镜像大小。
⒅九引进表的抓取:
⒆点击GetIAT按钮后,选择过程后可以抓住导入表,请在DumpFixer前填写正确的OEP信息。
⒇如果出现无法识别的函数信息,可以设置虚拟机解密步数,在导入表信息框中尝试用右键点VMDecode解密这个函数。
⒈如果发现捕获的导入表的信息不是你想要的,可以在导入表的信息框中用右键点DelThunk或CutThunk消失。
⒉如果您想抓取过程中的非主模块导入表,请在Manipulationrecords窗口对应模块信息点的右键Loadthismodule,以便抓取的导入表是该模块。