EXE & DLL Dosya Görüntüleyici

Bir Windows programını indirdiğinizde, o dosyanın kendisi gerçekte ne olduğuna dair en dürüst kaynaktır. EXE / PE Görüntüleyici bu dosyayı tarayıcınızda açar ve iç yapısını çözer — Windows’taki her .exe, .dll, .sys, .drv, .ocx, .scr ve .cpl dosyasının paylaştığı Portable Executable (PE) biçimini — böylece çift tıklamadan önce programın kendisi hakkında ne beyan ettiğini okuyabilirsiniz. Yalnızca baytları okur; programı asla çalıştırmaz, değiştirmez ve hiçbir yere yüklemez.

Her PE dosyası küçük bir DOS başlığıyla başlar (tanıdık “MZ” imzası ve “This program cannot be run in DOS mode” mesajı), ardından Windows’un gerçekte yüklediği asıl PE başlığı gelir. Görüntüleyici bu başlıktan makine türünü okur ve dosyanın 32-bit (PE32, x86) mi, 64-bit (PE32+, x64) mu, ARM64 mı, yoksa Itanium veya RISC-V gibi daha sıra dışı bir mimari mi olduğunu söyler. Ayrıca dosyanın karakteristiklerini çözerek normal bir uygulamayı bir dinamik bağlantı kütüphanesinden (DLL) veya çekirdek sürücüsünden ayırır ve alt sistem alanını okuyarak programın grafik bir pencere mi, bir konsol mu, yoksa native/sürücü ortamı mı beklediğini gösterir. Yalnızca bu birkaç alan bile gizemli bir yürütülebilir dosya hakkında en sık sorulan soruyu yanıtlar: bu nasıl bir şey ve makinemde çalışır mı?

Mimarinin ötesinde başlık; bir derlenme zaman damgası, dosyayı üreten linker sürümü ve hedeflediği minimum Windows sürümünü taşır. Görüntüleyici zaman damgasını okunabilir bir tarihe çevirir, ancak bu değerin dosyanın içinde olduğunu ve sıfırlanabileceğini ya da taklit edilebileceğini dürüstçe belirtir — bu yüzden ne zaman derlendiğinin kanıtı değil, bir ipucu olarak gösterilir. Araç ayrıca sertifika (Security) veri dizinini kontrol ederek dosyanın dijital olarak imzalı olup olmadığını söyler. Kasıtlı olarak yalnızca bir imzanın varlığını bildirir, geçerliliğini değil: bir Authenticode sertifika zincirini tam olarak doğrulamak bir tarayıcının güvenilir biçimde yapabileceği bir şey değildir, dolayısıyla bir imzanın “geçerli” olduğunu iddia etmek yanıltıcı olurdu.

En kullanışlı panellerden biri dosyanın import’larını listeler — bağımlı olduğu harici DLL’ler ve her birinden çağırdığı belirli fonksiyonlar. Bir yürütülebilir dosya davranışı hakkında çok şeyi burada açığa vurur: WININET veya WS2_32’den ağ fonksiyonları import eden bir program açıkça internetle konuşur; GDI32 ve USER32’den yoğun import yapan biri pencere çizer; CRYPT32 kullanan biri sertifika veya şifreleme işler. Geliştiriciler bu görünümü bağımlılıkları anlamak ve “eksik DLL” hatalarını teşhis etmek için kullanır; meraklı kullanıcılar ise bilinmeyen bir .exe’nin neler yapabileceğine dair kabaca fikir edinmek için. DLL’ler için Export paneli bunun tersini yapar ve bir kütüphanenin diğer programlara sunduğu fonksiyonları, ordinalleriyle birlikte listeler.

Bölümler paneli dosyayı kendi bileşen bölgelerine ayırır — genellikle kod için .text, veri için .data ve .rdata, kaynaklar için .rsrc, yer değiştirmeler için .reloc — ve her birinin sanal boyutunu, ham boyutunu ve okuma/yazma/çalıştırma izinlerini gösterir. Her bölüm için ayrıca, baytların ne kadar rastgele göründüğünü 0 ile 8 arasında ölçen Shannon entropisini hesaplar. Sıradan kod ve veri rahatça 7’nin altındadır; 8.0’a yaklaşan değerler genellikle içeriğin sıkıştırılmış veya şifrelenmiş olduğu anlamına gelir; bu da bir paketleyicinin imzasıdır. Görüntüleyici yaygın paketleyici ve koruyucuların bıraktığı bölüm adlarını tanır — UPX, ASPack, Themida, VMProtect, MPRESS ve diğerleri — ve bunları gördüğünde bir “Paketleyici tespit edildi” notu gösterir. Paketleme tümüyle meşrudur (pek çok ticari yazılım boyut küçültmek için paketli dağıtılır), ancak bilmek faydalıdır; çünkü paketli bir dosya, çalışma zamanında kendini açana dek gerçek import’larını ve metinlerini gizler.

Kaynaklar & İkonlar paneli, aracın günlük kullanıcılar için değerini kanıtladığı yerdir. Windows bir programın ikonlarını PE kaynak ağacında, tek tek görüntü girişlerine işaret eden bir grup-ikon dizini olarak saklar; görüntüleyici bu ağacı dolaşır, ham görüntü verisinden geçerli bir .ico dosyası yeniden oluşturur — hem klasik BMP ikonlarını hem de modern PNG sıkıştırmalı olanları işleyerek — ve tüm çok boyutlu .ico’yu indirmenize ya da herhangi bir boyutu PNG olarak dışa aktarmanıza izin verir. Bir uygulamadan yüksek çözünürlüklü ikonu almak istediyseniz, bunu birkaç tıklamada yapar. Aynı panel, bir yazarın gömdüğü yayıncı meta verisini göstermek için sürüm kaynağını (VS_VERSIONINFO) okur: CompanyName, ProductName, FileDescription, FileVersion, ProductVersion, OriginalFilename, InternalName ve LegalCopyright. Bir dosya uygulama manifesti gömdüğünde ham XML de gösterilir; bu da istenen yetki düzeylerini ve beyan edilen Windows uyumluluğunu açığa çıkarabilir.

Tanımlama ve itibar için Hash’ler paneli SHA-256, SHA-1 ve MD5’i tamamen tarayıcınızda hesaplar; dosyayı parçalar hâlinde okuyarak büyük ikili dosyaların bile belleği tüketmemesini sağlar. Her hash’in tek tıkla kopyalama düğmesi vardır. Bir hash, dosyanın tam baytlarının küçük bir parmak izidir; bu da dosyanın kendisini ifşa etmeden bir üçüncü tarafa o dosyayı sormanın doğru yoludur — bu yüzden görüntüleyici, o SHA-256 için VirusTotal raporunu açan bir “Hash’i VirusTotal’da ara” düğmesi sunar. URL’de yalnızca hash gider; dosya asla yüklenmez. Hash VirusTotal tarafından zaten biliniyorsa topluluğun tarama sonuçlarını görürsünüz; bilinmiyorsa bu yokluk da bilgilendiricidir.

İsteğe bağlı bir Metin Dizileri paneli, ikili dosyadan okunabilir ASCII ve UTF-16 metnini talep üzerine çıkarır; bu da kodun içine gömülü URL’leri, dosya yollarını, hata mesajlarını ve yapılandırma ipuçlarını açığa çıkarabilir. Son olarak bir Güvenlik Sinyalleri paneli, yukarıdaki yapısal gözlemleri toplar — imzalı mı imzasız mı, paketli mi değil mi, bellek ve işlem manipülasyonu import’larının varlığı ve sıra dışı yazılabilir-ve-çalıştırılabilir bölümler — ve bunları nötr etiketler olarak sunar. Bunun ne olduğu ve ne olmadığı konusunda net olmak önemlidir: bunlar yapısal sinyallerdir, bir antivirüs hükmü değil. Araç bir dosyanın “güvenli” veya “zararlı” olduğunu söyleyemez ve söylemez. Size dosyanın kendisi hakkında beyan ettiği gerçekleri verir ve ihtiyaç duyduğunuzda sizi gerçek bir itibar servisine yönlendirir.

Her şey yerel olarak çalışır. Bıraktığınız dosya tarayıcının File API’si ile okunur ve yalnızca oturumunuz süresince bellekte ayrıştırılır; hiçbir şey saklanmaz, önbelleğe alınmaz veya bir sunucuya gönderilmez; bunu tarayıcınızın Ağ (Network) sekmesinde doğrulayabilirsiniz. Bu da EXE / PE Görüntüleyici’yi kurulum dosyalarını, kütüphaneleri ve sürücüleri incelemek için hızlı ve gizli bir dosya dedektifi yapar — ister bir bağımlılığı denetleyen bir geliştirici olun, ister bilinmeyen bir indirmeyi inceleyen bir BT yöneticisi, ister yalnızca bir .exe’ye güvenmeden önce ne olduğunu bilmek isteyen biri.