Exe Spy是一款强大的程序分析工具。它主要功能在于提供系统进程、线程、窗口和窗口消息的图形视图,便于用户对电脑运行状况有直观的认识。以便于查找和识别可能存在的故障或问题,提升电脑运行效率。

general

一方面,Exe Spy能将系统对象之间的关系进行图形化展示,让用户在视觉上容易理解各个程序之间的相互影响和联系。另一方面,Exe Spy也能具体搜索指定的窗口、线程、进程或消息,使得针对特定程序的分析跟踪变得更轻松精准。

在实际操作上,Exe Spy也值得称道。其直观易用的操作界面,让用户即使在没有深入了解电脑运行机制的情况下,也可以方便地进行各项操作。这种能在易用性和功能强大之间取得平衡的设计,是Exe Spy深受用户喜爱的重要原因。

它可以查看PE信息,包括:

  •  一般信息
  •  标头
  •  部分
  •  图书馆
  •  进口
  •  出口
  •  资源
  •  显现

附加功能包括:

  • 文件的哈希值
  • 查看x86/x64 PE的反汇编
  •  十六进制查看器
  •  字符串搜索
  • 识别用于混淆文件的加壳程序
  •  病毒总搜索
  •  熵分析

要求

  • Python 3.8+
  • Windows 10 1809+、macOS 或 Linux
    • 请参阅 https://doc.qt.io/qt-6/supported-platforms.html
    • 比上面链接中列出的版本更旧的 Linux 版本可能会正常工作

 安装

从发布页面下载最新版本。或者,使用以下方法之一。

点(推荐)

  1. pip install exespy
  2. exespy

手动的

  1. pip install -r requirements.txt
  2. python setup.py install
  3. exespy

独立式

  1. pip install -r requirements.txt
  2. python run.py

用法

要打开 PE 文件,请使用“文件”->“打开”或 Ctrl+O 并选择该文件。不同的选项卡将在可用时加载。由于 Python 的性质,较大的可执行文件可能需要几秒钟才能加载。我不建议加载大于 50MB 的 PE 文件。

文档

菜单栏有各种选项。

  •  文件
    • 打开PE:打开PE文件
    • 退出:退出程序
  •  看法
    • 使用本机风格:在本机(操作系统)主题和 Qt 融合主题之间切换
  •  选项
    • 设置 VirusTotal API 密钥:设置您的 VirusTotal API 密钥
  •  帮助
    • 关于:版本和许可证信息
    • 第三方许可证:ExeSpy 使用的第三方库的许可证

一般的

常规选项卡显示有关 PE 文件的常规信息。如果可用,它会尝试显示文件的图标,但这可能会选择错误或分辨率较低的图标。

文件信息表显示文件元数据。它不是嵌入在 PE 中,而是来自文件系统。

图像信息表显示了PE内的公共信息。签名验证行使用LIEF库来验证PE的数字签名。它不验证 PE 是否使用受信任的证书进行签名,只是验证签名是否有效。校验和行计算 PE 的校验和并将其与 PE 的嵌入校验和进行比较。某些 PE 不包含校验和,因此当不包含校验和并设置为 0x0 时,该行可能显示为无效。

标头

标头选项卡显示 PE 文件中的 DOS、文件和可选标头。 DOS 部分包括来自内部 PE 结构的名称及其所代表内容的描述,因为给定的名称可能难以理解。

Characteristics 和 DLLCharacteristics 行显示从原始值解析出的特征。

部分

部分选项卡显示 PE 文件内的部分及其所有属性。这包括已弃用的节标题变量,例如 PointerToLinenumbers ,以确保彻底性。特征栏显示部分特征。特别是 MEM_EXECUTE,这意味着该节是可执行的。

图书馆

库选项卡显示 PE 文件作为导入表的结果加载的库。它还显示从每个库导入的函数数量。

进口

导入选项卡显示 PE 文件通过导入目录表 (.idata) 中的 DLL 条目导入的函数。它还显示了相应的 DLL 名称和函数地址。

出口

导出选项卡显示 PE 导出 (.edata) 的函数。这包括函数的名称、序数值(如果通过序数导入而不是按名称使用)以及函数的地址。

如果PE不导出任何函数,则该选项卡将为空。

资源

资源选项卡显示 PE 资源表 (.rsrc) 中的所有资源。这包括资源的类型、其 ID、偏移量、语言和子语言。 ExeSpy 还使用 libmagic 来计算资源的魔力。这对于识别资源类型很有用。

要保存单个资源以供进一步分析,请右键单击该资源,然后单击“保存”。

显现

清单选项卡从其资源中提取 PE 的清单(如果有的话)。这包括一些元数据和有关文件如何工作的重要信息。例如, requestedExecutionLevel 属性显示文件是否将以更高权限运行,如果是,则将设置为 highestAvailable 或 requireAdministrator 。

如果未找到清单,则此选项卡将为空。

弦乐

字符串选项卡搜索 PE 文件内的 ASCII 字符串,类似于 UNIX strings 命令。它还显示了找到字符串的偏移量。

您可以通过在搜索框中键入内容来过滤列表。您还可以单击列标题来更改排序顺序。

默认情况下,搜索不区分大小写。您可以通过单击区分大小写的复选框来更改此设置。

要配置在将一行视为字符串之前需要多少个 ASCII 字符,请更改最小长度。

六角视图

十六进制视图选项卡是 PE 文件的基本十六进制查看器。这些列是距文件开头的偏移量、十六进制值以及十六进制值的 ASCII 解码。

由于 Python 和 Qt 一起运行相当慢,因此该选项卡可能需要一段时间才能加载。

哈希值

哈希选项卡显示 PE 文件的许多不同哈希。这些包括:

  • CRC32
  • MD5
  • SHA1
  • SHA224
  • SHA256
  •  SHA3​​84
  • SHA512
  •  SHA3​​-224
  •  SHA3​​-256
  •  SHA3​​-384
  •  SHA3​​-512
  • BLAKE2s
  • BLAKE2b

它还包括其他专门的哈希值。 imphash 是根据导入表计算的。 authentihashes 是authenticode 签名的哈希值。更多信息。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。