PETotal V1.7（可自定义识别壳的特征码，新增添加导入函数功能，方便花指令调用）

ithurricane

应一些热心朋友的建议，我把特征码拿到文件里面读取了，
这样可以自定义特征码了，非常感谢大家的建议~~~

这次的改善点：
1. 检查壳和编译信息的特征码信息，转移到外部文件中，支持自定义特征码
这次新增的功能：
1. 新增添加导入函数功能，方便花指令调用函数

总结一下到目前为止的功能吧：
1. 支持换肤
2. 可以看可执行文件（exe，dll，sys）的版本信息，
PE头信息（可用于效验文件的三个字段）和
这个可执行文件使用的DLL和函数，以及输出地函数接口
3. 支持拖拽功能，可以直接拖拽文件到界面，即可分析
4. 可以检查可执行文件是否已经数字签名了
5..可以探测一部分加壳的信息和编译器的信息
6. 可以自动添加花指令，免杀功能
也可以手动添加空白Section，然后修改入口地址，自己通过第三方工具加花指令
7. 支持添加自定义花指令
8. 支持自定义shellcode探框的消息内容
9. 新增提取图标和位图的资源文件功能
10. 文件捆绑功能
12. 支持拖入快捷方式分析，直接拖入桌面的快捷方式即可分析
13. 附加数据的分析和提取附加数据
14. 自定义查壳/编译器信息的特征码
15. 可添加导入函数，方便花指令调用函数

特征码格式如下：
# 特征码位置索引; 特征码; 壳/编译器名称; 是否从头往下查询（如果有位置索引请置0）
例子：
0106090A;E8E9FFFF;Micorsoft Visual C++ 2005/2008;0
0106090A是特征码相对于程序入口点所处位置，第01位，第06位，以此类推。。。
E8E9FFFF就是这些位置分别对应的特征码，第01位是E8，第06位是E9，以此类推。。。
Micorsoft Visual C++ 2005/2008就是要显示的信息
最后一个0是说按照位置索引来查找，
如果是1就是说从头开始一次查找，这个时候位置索引项目请置0
以分号（;）间隔，一行为一条特征码，#号作为注释行


来看一下添加导入函数的效果：
首先选择一个DLL，下拉框会自动取得DLL导出函数


选择想要添加的函数点击添加增加到列表框里面，然后点击保存按钮


最后看一下PESniffer.dll里的两个函数已经添加到导入列表里面了


最后感谢大家的支持和关注，
有什么疑问和好的建议，欢迎联系我，谢谢~~~

sfl4800

收下了。

zq784161329

谢了，收下了

87714769

好东西，谢谢！

李东国

好工具事半功倍啊

ithurricane

谢谢大家的支持～～～

不知道有人知道贝壳安全吗？
http://bbs.beike.cn/thread-5331-1-1.html
企图把我的软件列入黑名单啊。。。

88776655a

再来个建议，DLL重定位修复和PE重建有没有加？

ithurricane

再来个建议，DLL重定位修复和PE重建有没有加？
88776655a 发表于 2010-3-2 19:49

多谢你的建议，我会考虑加进去的，呵呵

a2213572

這個軟體更新的很快!
感謝您的更新

0xdeath

好东西 支持