У меня есть куча исполняемых файлов Windows с искаженными именами в системе Linux. Какой самый удобный способ проверить эти файлы и получить представление о том, что они из себя представляют?

В настоящее время у меня есть только имена файлов. Я думаю, что по крайней мере мы должны быть в состоянии извлечь некоторые метаданные программы, заголовки, строки и т.д. Анализатор EXE будет полезен.

Такие решения, как их копирование в систему Windows, неприемлемы. В идеале есть методы, которые не требуют установки другой системы, даже на виртуальной машине или в Wine.

|источник

2 ответа2

1

Вы можете попробовать ExifTool, который, несмотря на свое название, обрабатывает не только файлы изображений.

Он упакован как libimage-exiftool-perl для Debian/Ubuntu и perl-Image-ExifTool для RHEL/CentOS/Fedora.

Пример вывода:

ExifTool Version Number         : 10.10
File Name                       : explorer.exe
Directory                       : .
File Size                       : 4.5 MB
File Modification Date/Time     : 2016:12:21 17:37:33-08:00
File Access Date/Time           : 2016:12:21 17:37:33-08:00
File Inode Change Date/Time     : 2016:12:21 17:37:52-08:00
File Permissions                : rwx------
File Type                       : Win64 EXE
File Type Extension             : exe
MIME Type                       : application/octet-stream
Machine Type                    : AMD AMD64
Time Stamp                      : 2016:11:11 01:08:32-08:00
PE Type                         : PE32+
Linker Version                  : 14.0
Code Size                       : 1736704
Initialized Data Size           : 2902528
Uninitialized Data Size         : 512
Entry Point                     : 0x9edc0
OS Version                      : 10.0
Image Version                   : 10.0
Subsystem Version               : 10.0
Subsystem                       : Windows GUI
File Version Number             : 10.0.14393.479
Product Version Number          : 10.0.14393.479
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : English (U.S.)
Character Set                   : Unicode
Company Name                    : Microsoft Corporation
File Description                : Windows Explorer
File Version                    : 10.0.14393.479 (rs1_release.161110-2025)
Internal Name                   : explorer
Legal Copyright                 : © Microsoft Corporation. All rights reserved.
Original File Name              : EXPLORER.EXE
Product Name                    : Microsoft® Windows® Operating System
Product Version                 : 10.0.14393.479
Warning                         : Possibly corrupt Version resource
|источник
0

1) В зависимости от того, как искажаются имена, может быть возможно их убрать, но вы должны привести несколько примеров, как они выглядят.

2) objdump -x и т.д. Может выводить заголовки формата PE , импортировать, экспортировать.

3) strings могут искать (8-битные) строки ASCII во всех видах файлов.

4) hexdump -C покажет вам hexdump вместе с интерпретацией ASCII.

5) file сообщит вам тип файла, включая многие типы окон, если это не исполняемый файл.

6) biev также может анализировать форматы Windows EXE.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .