Obtendo informações sobre executáveis do Windows em um sistema Linux

Navegue suas respostas
0

Eu tenho um monte de executáveis do Windows com nomes ilegíveis em um sistema Linux. Qual é o método mais conveniente para examinar esses arquivos e ter alguma ideia sobre o que eles são?

Atualmente, a única coisa que tenho são os nomes dos arquivos. Acho que, pelo menos, deveríamos conseguir extrair alguns metadados, cabeçalhos, cadeias de caracteres, etc. do programa. Um analisador EXE será útil.

Soluções como copiá-las para um sistema Windows não são aceitáveis. Idealmente, existem métodos que não exigem a instalação de outro sistema, mesmo em uma máquina virtual ou vinho.

    
por Cyker 22.12.2016 / 01:10

2 respostas

1

Você pode tentar ExifTool , que, apesar de seu nome, lida com mais do que apenas arquivos de imagem.

Está empacotado como libimage-exiftool-perl no Debian / Ubuntu e perl-Image-ExifTool no RHEL / CentOS / Fedora.

Exemplo de saída: 

ExifTool Version Number         : 10.10
File Name                       : explorer.exe
Directory                       : .
File Size                       : 4.5 MB
File Modification Date/Time     : 2016:12:21 17:37:33-08:00
File Access Date/Time           : 2016:12:21 17:37:33-08:00
File Inode Change Date/Time     : 2016:12:21 17:37:52-08:00
File Permissions                : rwx------
File Type                       : Win64 EXE
File Type Extension             : exe
MIME Type                       : application/octet-stream
Machine Type                    : AMD AMD64
Time Stamp                      : 2016:11:11 01:08:32-08:00
PE Type                         : PE32+
Linker Version                  : 14.0
Code Size                       : 1736704
Initialized Data Size           : 2902528
Uninitialized Data Size         : 512
Entry Point                     : 0x9edc0
OS Version                      : 10.0
Image Version                   : 10.0
Subsystem Version               : 10.0
Subsystem                       : Windows GUI
File Version Number             : 10.0.14393.479
Product Version Number          : 10.0.14393.479
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : English (U.S.)
Character Set                   : Unicode
Company Name                    : Microsoft Corporation
File Description                : Windows Explorer
File Version                    : 10.0.14393.479 (rs1_release.161110-2025)
Internal Name                   : explorer
Legal Copyright                 : © Microsoft Corporation. All rights reserved.
Original File Name              : EXPLORER.EXE
Product Name                    : Microsoft® Windows® Operating System
Product Version                 : 10.0.14393.479
Warning                         : Possibly corrupt Version resource
    
por 22.12.2016 / 02:33
0

1) Dependendo de como os nomes são truncados, pode ser possível desestabilizá-los, mas você deve dar alguns exemplos de como eles se parecem.

2) objdump -x etc. pode copiar os formato PE cabeçalhos, importações, exportações.

3) strings pode procurar cadeias ASCII (8 bits) em todos os tipos de arquivos.

4) hexdump -C mostrará um hexdump junto com a interpretação ASCII.

5) file informará o tipo de arquivo, incluindo muitos tipos de janelas, se não for um executável.

6) biev também pode analisar os formatos EXE do Windows.

    
por 22.12.2016 / 13:42

Tags

Comando Tmux para mover o cursor para a direita / esquerda por uma palavra O que não pode ser feito com o Remote Desktop? [fechadas]