Trong phần này sẽ tập trung giới thiệu các công cụ liên quan tới việc xem, chỉnh sửa file nhị phân, xem cấu trúc header cho các file PE. Có rất nhiều công cụ cho phép xem, sửa nội dung file binary, xem, sửa cấu trúc file PE. Bài viết này sẽ tập trung vào nghiên cứu hai công cụ chính: LordPE và Hex Editor Neo.  Trong bài trước chúng tôi đã giới thiệu với các bạn về cấu trúc PE File. Bạn có thể tham khảo thêm tại đây.

1. Công cụ xem, sửa cấu trúc file PE

LordPE có thể download tại: http://www.woodmann.com/collaborative/tools/index.php/LordPE. Đây là một bản Portable, danh sách các file khi download về như bên dưới

Chạy file: LordPE.EXE để bắt đầu chương trình. Mở một file để xem cấu trúc PE: click button PE Editor, chọn tới file PE cần xem. Ví dụ ở đây sẽ mở file notepad.exe để xem nội dung PE header

Trong cửa sổ phía trên chúng ta có thể thấy rất nhiều tham số khác nhau của PE Header. Vậy các tham số này có ý nghĩa như thế nào, cách bố trí trên file ra sao. Chúng ta sẽ xem chi tiết qua phần:Cấu trúc PE file

2. Công cụ xem, sửa, so sánh file nhị phân

Hex Editor Neo là công cụ tương đối mạnh trong việc xem, chỉnh sửa, so sánh các file nhị phân. Bạn có thể download tại đây.

Để mở một file nhị phân, có thể kéo thả trực tiếp file vào trong giao diện của Hex Editor Neo hoặc thông qua menu File → Open. Công cụ này hỗ trợ chúng ta chỉnh sửa tại vị trí bất kỳ trong file hoặc chèn thêm vào file theo nhiều hình thức khác nhau: chèn mã Hex, chèn nội dung từ một file…

Chia sẻ bài viết này