تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
How to Compare PE of two File?
#1
Hello all

?i have question: How to Compare 2 PE File

i have 2 DLL file (Original file vs Patched file) and i want to Compare PE of two File

have you any idea about compare them? or have you any software about it

 help
أعضاء أعجبوا بهذه المشاركة :
#2
Hex Workshop allows to compare any
​​​​​binary files.
أعضاء أعجبوا بهذه المشاركة : KaMaN99 , rce3033
#3
Thank you SeGNMeNT
Hex workshop compare 2 binary file
but i need to compare only PE Headers
أعضاء أعجبوا بهذه المشاركة :
#4
You can use PeBear for that specific task:
إقتباس :https://github.com/hasherezade/pe-bear/r...g/v0.6.5.2
or use  cmpdisasm_0.84  if you want to uncover the patched bytes:
إقتباس :https://mega.nz/file/pF4FkSbA#Q41khmty1K...u8yzKT1_hs
أعضاء أعجبوا بهذه المشاركة : TeRcO , alihmoda1970 , rce3033 , Venox , KaMaN99 , H@wk0 , mounirsoltan
#5
(09-06-2023, 01:19 PM)samoray كتب : or use  cmpdisasm_0.84  if you want to uncover the patched bytes

لقد حاولت استعماله مع هذا البرنامج (Webcam Surveyor) في محاولت كشف الباتش من خلال مقارنة ملفين dll الاصلي للوندوز و الاخر ملف الباتش لكن لم انجح لقد قمت بارفاق ملفات المقارنة مع العلم الملفين غير محميان ربما يستطيع احد عمل شرح فيديو.

download
أعضاء أعجبوا بهذه المشاركة : KaMaN99
#6
(11-06-2023, 08:14 PM)mounirsoltan كتب : لقد حاولت استعماله مع هذا البرنامج (Webcam Surveyor) في محاولت كشف الباتش من خلال مقارنة ملفين dll الاصلي للوندوز و الاخر ملف الباتش لكن لم انجح لقد قمت بارفاق ملفات المقارنة مع العلم الملفين غير محميان ربما يستطيع احد عمل شرح فيديو.

I took a quick look into your files, and it seems that the two dlls are completely different
The Original one is written in Pure Basic, while the patched one is written in  C++, which explains the different sizes.
furthermore the patched dll has been written from scratch on focusing to export Specifique functions perhaps to get the software running in a simulated environment.
the comparison is not possible in this case as the files are completely different
patches like that are made after analyzing the behaviour of the program and understanding what the dll will export to the main executable and and write your own dll which returns only the necessary bytes to the main executable
أعضاء أعجبوا بهذه المشاركة : mounirsoltan , rce3033 , KaMaN99
#7
شكرا اخي,لقد اخذت مدة طويلة مع البرنامج و حتى الان لم اصل لطريقة دقيقة لمعاينة exports ومعرفة قيم الباتش, برنامج (Webcam Surveyor) مثال جيد لان العديد هنا تعامل معه واستغربت عندما لم اجد تفاعل  help
أعضاء أعجبوا بهذه المشاركة : KaMaN99
#8
الباتش يتم في الذاكرة. لهذا من الصعب عليك معرفة الباتش حتى لو عملت dump للذاكرة قبل وبعد.
من طلب العلا ... سهر الليالي
أعضاء أعجبوا بهذه المشاركة : rce3033 , KaMaN99


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 5 ) ضيف كريم