[Assembly] PE Analyzer

Nome della release: PE Analyzer
Linguaggio di programmazione: MASM32
Versione: 0.9.9 (Pre-Stable)
Descrizione: Lo scopo iniziale del software doveva essere quello di mostrare come analizzare un PE header in Assembly, tuttavia, mi sembra ora interessante sviluppare un software più completo (verrà aggiornato in futuro).
Data di pubblicazione: 20/10/2014
Ultimo Aggiornamento: 10/12/2014
Licenza: GNU/GPL v.3
Download: Mediafire (Zip) | Mega (Zip) | Zip contenente exe e codice (il codice è presente anche nel listato al termine del post).
Screenshot (Version 0.9.9, Pre-Stable):


Altro:

Versione 0.9.9
Con la nuova versione 0.9.9 PE Analyzer esegue ora le seguenti operazioni:

1. Verifica validità DOS Header;


2. Verifica validità NT Header;


3. Mostra il file Offset ed il menu;


4. Permette di visualizzare la Section Table;


5. *Permette di aggiungere una nuova sezione;


6. Mostra la Import Table (New!)

*La nuova sezione non puo' superare gli 8 caratteri (se ne vengono inseriti di più, il nome viene troncato). La grandezza, specificata di seguito, deve essere un valore numerico (decimale).

Migliorie della nuova versione (0.9.9): sono stati corretti alcuni piccoli bug, apparsi in realtà sviluppando questa nuova versione (problemi con i buffer e con l'output, nulla di che); alcune parti di codice sono state modificate rendendo possibile la visualizzazione della nuova sezione senza dover ricaricare l'exe; è stato introdotto un comodissimo menu, finalmente! Ed infine, è stata introdotta la possibilità di vedere la Import Table, con i risultati mostrati a video modulo per modulo: al termine di ogni modulo e relative funzioni, se si preme un tasto qualsiasi, si vedrà il blocco successivo, se si preme ESC si torna al menu.


Avvertenza: il software sembra funzionare, ma per evitare problemi, prima di aggiungere una sezione ad un exe, fate una copia dello stesso, così in caso di problemi dovrete solo copiare di nuovo l'eseguibile nella locazione precedente.
La nuova versione sembra comunque stabile, e non ha causato problemi agli eseguibili (nemmeno la precedente, in realtà).
L'unico problema puo' essere causato se viene inserita una nuova sezione troppo grande per lo spazio a disposizione, o comunque se viene inserita una sezione e lo spazio non è sufficiente (inserirò questo tipo di controllo, ma al momento una copia dell'eseguibile vi salva da imprevisti di questo tipo).

Teoricamente dovrebbe essere compatibile con la stragrande maggioranza dei processori x86; in caso di problemi informatemi, così upperò una versione che gira su processori inferiori al 686 (ma non credo ci saranno di questi problemi).
Dovrebbe girare su 32 e 64bit (io ho compilato con MASM32 su Windows 7 a 64bit).

Il peso dell'eseguibile è passato da 5.50KB a 6,50KB (su disco 8KB). Ed il codice ha qualche riga in più (circa 300).
Se avete domande sul codice o altro, scrivete pure qui sotto.

Di seguito il codice (la procedura più grande è readImportDescriptor, ma sotto ce ne sono altre come RVAToOffset):


Edited by RootkitNeo - 23/12/2014, 00:35

Ahhh!! Quanto fastcallamento Windowso!!!

Carino, bel lavoro

Eh, il fastcallamento è comodo!

Grazie!

Post principale modificato con il download, la descrizione, ed il codice della nuova versione: 0.9.9!