الفريق العربي للهندسة العكسية
How to Compare PE of two File? - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : ENGLISH FORUM (https://www.at4re.net/f/forum-6.html)
+--- قسم : General Discussion (https://www.at4re.net/f/forum-13.html)
+--- الموضوع : How to Compare PE of two File? (/thread-3605.html)



How to Compare PE of two File? - KaMaN99 - 09-06-2023

Hello all

?i have question: How to Compare 2 PE File

i have 2 DLL file (Original file vs Patched file) and i want to Compare PE of two File

have you any idea about compare them? or have you any software about it

 help


RE: How to Compare PE of two File? - SeGNMeNT - 09-06-2023

Hex Workshop allows to compare any
​​​​​binary files.


RE: How to Compare PE of two File? - KaMaN99 - 09-06-2023

Thank you SeGNMeNT
Hex workshop compare 2 binary file
but i need to compare only PE Headers


RE: How to Compare PE of two File? - samoray - 09-06-2023

You can use PeBear for that specific task:
إقتباس :https://github.com/hasherezade/pe-bear/releases/tag/v0.6.5.2
or use  cmpdisasm_0.84  if you want to uncover the patched bytes:
إقتباس :https://mega.nz/file/pF4FkSbA#Q41khmty1KgljczZOrS6X-QLBI--GB_nWu8yzKT1_hs



RE: How to Compare PE of two File? - mounirsoltan - 11-06-2023

(09-06-2023, 01:19 PM)samoray كتب : or use  cmpdisasm_0.84  if you want to uncover the patched bytes

لقد حاولت استعماله مع هذا البرنامج (Webcam Surveyor) في محاولت كشف الباتش من خلال مقارنة ملفين dll الاصلي للوندوز و الاخر ملف الباتش لكن لم انجح لقد قمت بارفاق ملفات المقارنة مع العلم الملفين غير محميان ربما يستطيع احد عمل شرح فيديو.

download


RE: How to Compare PE of two File? - samoray - 17-06-2023

(11-06-2023, 08:14 PM)mounirsoltan كتب : لقد حاولت استعماله مع هذا البرنامج (Webcam Surveyor) في محاولت كشف الباتش من خلال مقارنة ملفين dll الاصلي للوندوز و الاخر ملف الباتش لكن لم انجح لقد قمت بارفاق ملفات المقارنة مع العلم الملفين غير محميان ربما يستطيع احد عمل شرح فيديو.

I took a quick look into your files, and it seems that the two dlls are completely different
The Original one is written in Pure Basic, while the patched one is written in  C++, which explains the different sizes.
furthermore the patched dll has been written from scratch on focusing to export Specifique functions perhaps to get the software running in a simulated environment.
the comparison is not possible in this case as the files are completely different
patches like that are made after analyzing the behaviour of the program and understanding what the dll will export to the main executable and and write your own dll which returns only the necessary bytes to the main executable


RE: How to Compare PE of two File? - mounirsoltan - 17-06-2023

شكرا اخي,لقد اخذت مدة طويلة مع البرنامج و حتى الان لم اصل لطريقة دقيقة لمعاينة exports ومعرفة قيم الباتش, برنامج (Webcam Surveyor) مثال جيد لان العديد هنا تعامل معه واستغربت عندما لم اجد تفاعل  help


RE: How to Compare PE of two File? - Cyperior - 17-06-2023

الباتش يتم في الذاكرة. لهذا من الصعب عليك معرفة الباتش حتى لو عملت dump للذاكرة قبل وبعد.