>>2105457 (OP)
А на пикче что?

>>2105457 (OP)
PE Studio.

>>2105498
>PE Studio
о спасибо анон

>>2105499
хотя кажется не совсем то

>>2105502
а нет, оно, но столько лишней хуйни, что пиздец.

>>2105511
Есть еще PE Explorer и PE-Bear, они по сути похожи, но наборы фич немного разные. У PE Studio есть анализ через virustotal и встроенная эвристика на подозрительные импорты, мне нравится. Те две более простые.

Эх, еще бы перевод для индикаторов PEStudio, было бы вообще шикарно.

https://pastebin.com/raw/BgFmjsBQ

а pe studio довольно кастамизируемый, можно все настроить под себя, как нужно.

Точнее перевод вот этой хуйни нужен, странно что никто не перевел https://pastebin.com/raw/GnxEnVmB может вместе переведем?

Вот скрины PE Studio, если кому нужно. Могу также рег файлы дать, чтобы в шел добавить только для exe и dll.

>>2105534
Хуле там переводить, прогони через гуглопереводчик. Нахуя вообще русифицировать такие софтины? У тебя через месяц все термины осядут в голове, и ты не будешь отличать русский от английского.

>>2105550
так то разобраться могу, но чтобы не тратить время и видеть мгновенно что там приложение требует. Автор конечно намудрил, достаточно было написать Registry, Internet и т.д.

В общем-то основные пункты переведу, да и сойдет. Если надо кому скину. Пишите. Winsock, Wininet, Registry и файлы

>>2105554
хотя нет, поддержки других языков нет на уровне программы. Перевод не работает.

Палю ОПу годноту. http://fg.tcplugins.free.fr/fileinfo.htm

>>2105563
плагин и исходники для получения таблицы импорта?

>>2105566
Твои тараканы~
Заебатый логотип для 2002-го так то.

>>2105568
>Version Information Viewer Ver 2.23
plugin for Total Commander (version 5.50 and above only)
а вон оно че, для Total Commander оно, я привык к explorer-у, такие дела. PEStudio в общем подходит более менее, может потом сокращу переводы, уберу оттуда вводу и будет самое оно.

>>2105572
Modifies the Registry — это я и так знаю. Вот если бы оно показывало что конкретно записывает и модифицирует программа.

>>2105576
Поищи строки в файле. Сложно что ли?

>>2105576
ну это уже очень трудно реализуемо, если есть эта хуета, то можно запускать в sandboxie и смотреть, что программа творит

>>2105578
автор вредоносов разве их не шифруют?

>>2105578
так глянул, нихуя там не найдешь, нужно поиск писать и сразу подставлять регулярки, программа это не умеет

>>2105581
Зачем? Там же нет "Hello, I'm malware. Give me your money"
Максимум, запакуют всё чем-нить.

>>2105584
а искать чем? в PEStudio нереально, целый день будешь строки крутить и читать

>>2105585
Из приладного, OgreGUI, OllyDbg. Первое, что на ум пришло.

>>2105563
Я когда-то думал его поставить, но потом не стал - исходников нет, давно не обновлялся, и вообще лучше софт для ИБ отделять хотя бы на виртуалку во избежание зашквара - тем более, те так часто нужно анализировать новые бинарники, если ты только не вирусный аналитик.

>>2105667
Хотя нет, это другой. Я вот этот смотрел http://wincmd.ru/plugring/bitchaos.html

>>2105576
Ну ты не путай статический анализ с динамическим же. Все пути не отследишь, может, он в день рождения Обамы будет тебе в реестр срать.

А вот кстати, посоны, немного анрилейтед вопрос, давно хотел узнать. Гарантируется, что в таблице импорта перечислено все, что юзает бинарник? Скажем, можно ли закриптовать дополнительные импорты, чтобы они подгрузились уже во время выполнения? Разумеется без учета всяких хаков с 0-days в ядре.

>>2105670
Разумеется нет, см. LoadLibrary и GetProcAdress. К тому же экзешник может менять сам себя в памяти.

>>2105457 (OP)
Щеночек от наших иранских друзей - https://mzrst.com/
А если еще YARA в нем заюзать ваще заебок

pestudio параша с ограниченным функционалом в бесплатной версии

>>2105733
Ну вот я так и предполагал. Так что нет особого смысла в анализе импортов, только если бинарник срет из-за тупости создателя, а не из-за вредоносности.