У меня есть куча исполняемых файлов Windows с искаженными именами в системе Linux. Какой самый удобный способ проверить эти файлы и получить представление о том, что они из себя представляют?

В настоящее время у меня есть только имена файлов. Я думаю, что по крайней мере мы должны быть в состоянии извлечь некоторые метаданные программы, заголовки, строки и т.д. Анализатор EXE будет полезен.

Такие решения, как их копирование в систему Windows, неприемлемы. В идеале есть методы, которые не требуют установки другой системы, даже на виртуальной машине или в Wine.

2 ответа2

1

Вы можете попробовать ExifTool, который, несмотря на свое название, обрабатывает не только файлы изображений.

Он упакован как libimage-exiftool-perl для Debian/Ubuntu и perl-Image-ExifTool для RHEL/CentOS/Fedora.

Пример вывода:

ExifTool Version Number         : 10.10
File Name                       : explorer.exe
Directory                       : .
File Size                       : 4.5 MB
File Modification Date/Time     : 2016:12:21 17:37:33-08:00
File Access Date/Time           : 2016:12:21 17:37:33-08:00
File Inode Change Date/Time     : 2016:12:21 17:37:52-08:00
File Permissions                : rwx------
File Type                       : Win64 EXE
File Type Extension             : exe
MIME Type                       : application/octet-stream
Machine Type                    : AMD AMD64
Time Stamp                      : 2016:11:11 01:08:32-08:00
PE Type                         : PE32+
Linker Version                  : 14.0
Code Size                       : 1736704
Initialized Data Size           : 2902528
Uninitialized Data Size         : 512
Entry Point                     : 0x9edc0
OS Version                      : 10.0
Image Version                   : 10.0
Subsystem Version               : 10.0
Subsystem                       : Windows GUI
File Version Number             : 10.0.14393.479
Product Version Number          : 10.0.14393.479
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : English (U.S.)
Character Set                   : Unicode
Company Name                    : Microsoft Corporation
File Description                : Windows Explorer
File Version                    : 10.0.14393.479 (rs1_release.161110-2025)
Internal Name                   : explorer
Legal Copyright                 : © Microsoft Corporation. All rights reserved.
Original File Name              : EXPLORER.EXE
Product Name                    : Microsoft® Windows® Operating System
Product Version                 : 10.0.14393.479
Warning                         : Possibly corrupt Version resource
0

1) В зависимости от того, как искажаются имена, может быть возможно их убрать, но вы должны привести несколько примеров, как они выглядят.

2) objdump -x и т.д. Может выводить заголовки формата PE , импортировать, экспортировать.

3) strings могут искать (8-битные) строки ASCII во всех видах файлов.

4) hexdump -C покажет вам hexdump вместе с интерпретацией ASCII.

5) file сообщит вам тип файла, включая многие типы окон, если это не исполняемый файл.

6) biev также может анализировать форматы Windows EXE.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .