File Format Identifier(超级巡警病毒分析)是一款查壳脱壳工具,同时也是一款病毒分析工具,它可以自动识别文件格式,使用超级巡警的格式识别引擎,集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。
File Format Identifier功能介绍
一、查壳功能:
支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。
注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。
二、脱壳功能:
如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。
三、PE编辑功能:
本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。
其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。
四、附加数据检测:
可扫描应用程序是否包含附件数据,并提供了附加数据详细的起始位置和大小,可以用Del Overlay按钮和Save Overlay按钮进行相应的处理。
五、支持PEid插件:
点Options按钮选择Load Plugins就可以使用PEid的插件功能,无需重启FFI,插件必须放plugins目录下,然后点Plugin>>就可看到相应插件信息。
六、ReBuildPE功能:
本功能主要用于修复脱壳后的PE文件,一般用于解决脱壳后无法重新增加壳等问题,可以使用ReguildPE按钮完成该功能。七、第三方工具支持:
在Options按钮中,点击ManageTools按钮,可以在右键菜单中添加或删除IDA/OllyDBG等第三方工具,直接在FFI中启动OllyDBG、IDA等工具,打开当前文件进行反编辑。
注:添加第三方工具后,点击Plugin>>按钮可以看到添加的工具信息,点击此工具可以打开当前的处理文件。
八、过程DUMP:
点击TaskView按钮后,就可以进行流程结束,流程中模块内存的dump,目前支持三种dump方式:DumpFull、DumpPartial和DumpRegion,还支持自动修改主模块内存镜像大小。
九、引进表的抓取:
点击GetIAT按钮后,选择过程后可以抓住导入表,请在DumpFixer前填写正确的OEP信息。
如果出现无法识别的函数信息,可以设置虚拟机解密步数,在导入表信息框中尝试用右键点VMDecode解密这个函数。
如果发现捕获的导入表的信息不是你想要的,可以在导入表的信息框中用右键点DelThunk或CutThunk消失。
如果您想抓取过程中的非主模块导入表,请在Manipulationrecords窗口对应模块信息点的右键Loadthismodule,以便抓取的导入表是该模块。