Поддерживаемые форматы файлов
- PE32
- PE32+
- COFF Object File
- MSVC IntermediateLanguage AnonCOFF Object File (MSVC CxxIL)
- ExtendedObj (BIGobj)
- Objects Library
Поддерживаемые архитектуры
- Intel x86
- AMD64
- ARM7
- ARM7 Thumb
- ARM8-64
- Intel IA64
- Hybrid (CHPE, ARM64X, ARM64EC)
Краткий перечень разбираемых структур и заголовков
- PE: IMAGE_DOS_HEADER, IMAGE_FILE_HEADER, IMAGE_OPTIONAL_HEADER, IMAGE_OPTIONAL_HEADER64 и список директорий с дополнительными сведениями о некоторых полях
- PE: Таблица символов COFF
- PE: Таблица секций с подсчётом энтропии содержимого и поддержкой длинных имён из таблицы символов
- PE: Таблица импорта (с деманглингом имён MS-компилятора)
- PE: Таблица связанного импорта
- PE: Таблица отложенного импорта
- PE: Таблица экспорта с дополнительными сведениями
- PE: Таблица ресурсов с дополнительными сведениями о некоторых типах ресурсов и подробным просмотром
- PE: Таблица настройки адресов (Base Relocations) для всех поддерживаемых архитектур с определнием целевого адреса и интерпретацией содержимого (Импорт, Отложенный импорт, экспорт, таблицы из директории настройки, ANSI и UNICODE-строки)
- PE: Краткие сведения о подписи, сертификатах подписи и УЦ (Authenticode Signature)
- PE: Директория настроек загрузки образа с разбором таблиц SEH, GFID, битовая карта CFG, GIAT, CFG LongJumps, CHPE Metadata, ARM64X Metadata, Dynamic Value Reloc Table, Enclave Configuration, Volatile Metadata, CFG EH Continuations с дополнительными сведениями о некоторых полях
- PE: Директория отладки с дополнительными сведениями о содержимом CODEVIEW, POGO, VC FEATURE, REPRO, FPO, EXDLL CHARACTERISTICS, SPGO
- PE: Таблица настроек TLS с дополнительными сведениями и таблица коллбеков TLS
- PE: Таблица данных для раскрутки стека с полными данными заголовка, кодами раскрутки для архитектур x64 (включая версию 2 с кодами для эпилога), arm, arm64, ia64, цепи для x64, специфичных для языка данных (C Scope, C++ FuncInfo, C++ EH4, C++ DWARF LSDA) и просмотром в HEX-режиме
- PE: Разбор заголовков, таблиц и метаданных директории COM Descriptor включая часть набора заголовков NGEN и ReadyToRun
- PE: Декодирование RICH-подписи с указанием используемого инструмента, выполняемого действия, полной версии инструмента и версии VisualStudio, к которой инструмент относится
- PE: Таблица IAT с описанием элементов таблицы
- PE: Типичные для приложений VB5 и VB6: информация о проекте, DLLCall-импорте, подключаемых модулях, таблице объектов
- PE: Обнаружение строк в ANSI и Unicode кодировках
- PE: График энтропии
- OBJ: IMAGE_FILE_HEADER, ANON_OBJECT_HEADER, ANON_OBJECT_HEADER_V2, IMPORT_OBJECT_HEADER
- OBJ: Таблица символов COFF с декодированием @comp.id и @feat.00, а также дополнительных символов
- OBJ: Таблица секций и релокаций для выбранной секции
- OBJ: Таблица данных для раскрутки стека с полными данными заголовка, кодами раскрутки для архитектур x64 (включая версию 2 с кодами для эпилога), arm, arm64 и цепи для x64
- OBJ: Таблица значений xFG-хеша функций
- OBJ: Таблица символов CodeView
- OBJ: Таблица типов CodeView
- OBJ: Таблица типов MSVC CxxIL (.cil$db)
- OBJ: Таблица символов MSVC CxxIL (.cil$gl)
- OBJ: Таблица локальных символов MSVC CxxIL (.cil$sy)
- LIB: Список записей архива
- LIB: Первая и вторая (при наличии) записи компоновщика
- LIB: Сводная таблица элементов импорта IMPORT_OBJECT_HEADER, если таковые имеются в файле
- LIB: Записи /ECSYMBOLS/ и /XFGHASHMAP/
Скриншоты с примерами
TBD
Секция находится в разработке