Pe Explorer, как пользоваться

Обновлено: 03.07.2024

Я обнаружил, что PE Explorer имеет больше функций, чем другие продукты, которые я пробовал, и он хорошо организован. Я могу легко найти все, что мне нужно знать о моих исполняемых файлах.

Клэй Рут,
Sargent & Lundy LLC

Я считаю, что это ОЧЕНЬ полезный инструмент для просмотра и редактирования DLL. Был удивлен, насколько он прост в использовании по сравнению с другими инструментами. Пользовательский интерфейс очень интуитивно понятен с множеством интересных функций. Действительно хорошая работа!

Анджей Яблонски,
Lionbridge Technologies

PE Explorer содержит множество мощных инструментов анализа и редактирования для работы с PE-файлами. PE Explorer позволяет заглянуть внутрь исполняемого PE-файла Windows. «PE» в PE Explorer означает «Portable Executable». PE-файл — это собственный формат исполняемых двоичных файлов (DLL, драйверов и программ) для 32-разрядных операционных систем Microsoft Windows®. PE Explorer может обрабатывать и проверять различные типы PE-файлов: EXE, DLL, SYS, MSSTYLES, OCX, SCR и другие.

Удобство было и остается нашей главной целью при разработке PE Explorer. Мы хотим предложить вам файловый редактор, избавляющий от рутинной работы по редактированию файлов. С помощью PE Explorer вы можете просматривать, редактировать и восстанавливать внутреннюю структуру PE-файлов (.EXE, .DLL и других) одним нажатием кнопки. Как только вы попробуете его, мы думаем, что вы будете использовать его ежедневно для диагностики всевозможных проблем.

  • Просмотр/редактор заголовка и раздела PE
  • Просмотр и редактор ресурсов
  • Просмотр списка экспортированных/импортированных функций API
  • Дизассемблер
  • Сканер зависимостей
  • Средство просмотра цифровой подписи
  • Статические распаковщики UPX, Upack и NsPack
  • Посмотрите, что находится внутри исполняемого файла
  • Настройте элементы графического интерфейса ваших любимых программ для Windows
  • Отследить, к чему обращается программа и какие библиотеки DLL вызываются
  • Понимать, как программа работает, ведет себя и взаимодействует с другими программами.
  • Проверка и проверка подписанных PE-файлов
  • Забудьте о копании в раздутых файлах справки только для того, чтобы найти справку по API
  • Открывайте сжатые файлы UPX, Upack и NsPack без проблем в PE Explorer без долгих обходных путей
  • Специальная поддержка приложений Delphi
  • Удобство использования всех необходимых инструментов в одном простом и понятном интерфейсе.

Выглядит сложно? См. нашу страницу часто задаваемых вопросов по PE Explorer

PE Explorer предоставляет разработчикам программного обеспечения необходимые инструменты для дизассемблирования и проверки неизвестных двоичных файлов, изменения свойств исполняемых файлов, а также настройки и перевода их ресурсов. С помощью PE Explorer вы можете применить профессиональный подход к исследованию и быстрому обратному проектированию исполняемых файлов win32 PE.

Редактор разделов< бр />

Редактор ресурсов позволяет настраивать любое приложение, редактируя и заменяя ресурсы в исполняемом файле. Помимо того, что это эффективный редактор ресурсов, PE Explorer также предоставляет несколько инструментов, которые повышают его статус до Power Coder: поиск синтаксиса функций API, сканер зависимостей, редактор разделов и мощный, но простой в использовании дизассемблер.

Распаковщик UPX позволит вам открывать сжатые UPX файлы с помощью PE Explorer, даже не подозревая об этом: файлы будут распакованы автоматически. PE Explorer R4 теперь поддерживает запутанные исполняемые файлы, упакованные с помощью Upack.

Используя возможности PE Explorer Disassembler, вы можете быстро анализировать процедуры и библиотеки, используемые исполняемым файлом вредоносного ПО, даже не активируя сам исполняемый файл, что является большим преимуществом по сравнению с отладчиками, где для анализа вредоносного кода необходимо запустить его.

Disassembler

Средства просмотра экспорта и импорта отображают информацию о точках входа, числах, именах и синтаксисе вызова экспортируемых и импортируемых функций.

PE Explorer работает на всех версиях Windows от 95 до Server 2008, Vista, 7, 8, 10 и 11.

Минимальные требования к оборудованию:
процессор Intel Pentium® или AMD K5 с тактовой частотой 166 МГц,
16 МБ ОЗУ

Чтобы получить максимальную мощность при редактировании и проверке, приобретите лицензию PE Explorer Personal за 59 долларов США. Бизнес-лицензия доступна за 115 долларов США. Когда вы используете все различные инструменты, которые интегрирует PE Explorer, вы согласитесь, что это определенно потрясающая цена. PE Explorer — это выгодная сделка с множеством функций! Он сэкономит вам часы времени и прост в использовании!

Если вы хотите только редактировать ресурсы, но вам не нужны расширенные функции PE Explorer, вам подойдет Resource Tuner. Resource Tuner доступен всего за 24,95 доллара США.

Я использую этот инструмент для файлов .SYS, поскольку являюсь системным архитектором драйверов устройств NT/XP.Мне было интересно понять, как файлы SYS взаимодействуют друг с другом, и этот инструмент позволил мне лучше понять это взаимодействие.

Доминик Кафарелли,
Sniffer Technologies,
Network Associates

Я хотел бы сказать вам, что PE Explorer, вероятно, лучший инструмент, с которым я когда-либо сталкивался. До недавнего времени я использовал множество отдельных инструментов, некоторые из которых были старыми программами в стиле командной строки, чтобы выполнить свою работу. Нет необходимости в этом сейчас. Все (ну, почти) прямо на панели инструментов.

Крис Ладжуа

«Я работаю на ассемблере, C и C++. После нескольких месяцев использования PE Explorer я удивляюсь, как мне удавалось работать без него. Это стоит каждого цента, который он стоит. Спасибо за разработку такого замечательного инструмента.

Роберт Лимож

PE Explorer предоставляет функции для дизассемблирования и проверки неизвестных двоичных файлов, изменения свойств исполняемых файлов, а также функции настройки и перевода.

Загружаемая пробная версия PE Explorer представляет собой полнофункциональную ограниченную по времени демонстрационную версию с некоторыми ограничениями. Лицензионная версия PE Explorer включает дополнительные функции, описанные внизу этой страницы. Обе версии PE Explorer включают следующие функции:

Просмотр и редактирование переносимых исполняемых (PE) файлов

  • Работа с 32-разрядными PE-файлами, такими как .EXE, .DLL, драйверы устройств (.SYS, .ACM), элементы управления ActiveX (.OCX), библиотеки Borland (.DPL и .BPL), визуальные стили XP (. MSSTYLES), расширения панели управления (.CPL), экранные заставки (.SCR) и любые другие исполняемые файлы win32.
  • Работа с поврежденными файлами: PE Explorer открывает поврежденные или упакованные файлы в безопасном режиме.
  • Проверка целостности PE-файла.
  • Вычисление и модификация контрольной суммы.
  • Изменение значения точки входа.
  • Изменение свойств файлов EXE и DLL.
  • Распаковщик UPX.
  • UPack Распаковщик.
  • Распаковщик NSPack.
  • Поддержка пользовательских подключаемых модулей для выполнения любой обработки запуска.

Зрители

  • Просмотр сведений о заголовках отображает информацию о заголовке EXE, содержащуюся в заголовке PE-файла.
  • Просмотр каталогов данных для просмотра и редактирования каталогов данных.
  • Просмотр заголовков разделов для просмотра, извлечения, пересчета или удаления разделов из тела программы.
  • Экспортировать, импортировать и отложить импорт средств просмотра.
  • Просмотр синтаксиса функций отображает синтаксис вызова функций.
  • Просмотр цифровых подписей для проверки цифровой подписи PE-файла.
  • Сканер зависимостей отслеживает цепочку зависимостей для библиотек программы.
  • Просмотр перемещений для просмотра содержимого базовой таблицы перемещений.
  • Просмотр отладочной информации отображает отладочную информацию, содержащуюся в файле.
  • Просмотр ресурсов для просмотра, удаления или извлечения практически всех типов ресурсов.

Редакторы

  • Редактор ресурсов для редактирования или замены практически всех типов ресурсов.
  • Мастер манифеста приложения для добавления ресурса манифеста в существующие приложения и маркировки приложений запрошенным уровнем выполнения, чтобы указать Vista на запуск приложений с повышенными правами.
  • Редактор характеристик для просмотра или установки флаговых битов в поле характеристик заголовка PE-файла.
  • Редактор разделов для изменения всех полей в заголовке раздела или исправления и восстановления поврежденных настроек заголовков разделов.
  • Редактор описания синтаксиса для добавления пользовательских комментариев, изменения значений или создания новых описаний библиотек.
  • Инструменты удаления отладочной информации и перемещений
  • Настройщик TimeDateStamp для преобразования всех временных меток в заголовке PE-файла в одно единое значение.

Дизассемблер

  • Поддерживает семейство Intel 80x86, Pentium и другие совместимые процессоры.
  • Наборы инструкций и расширения x86 (MMX, SSE, SSE2 и SSE3), AMD K6-2 3D-Now! расширения.
  • Удобный просмотр с помощью панелей «Найденные данные», параметров поиска и истории переходов по адресу/смещению.
  • Извлекает текстовые строки ASCII и объекты VCL из части данных файла.

PE Explorer Disassembler использует качественный алгоритм, предназначенный для реконструкции исходного кода на языке ассемблера целевых двоичных PE-файлов win32 (EXE, DLL, OCX) с максимально возможной степенью точности. Разберите приложение или библиотеку, чтобы точно понять, как они работают.

Хотя PE Explorer столь же мощный, как и более дорогие дизассемблеры, он ориентирован на простоту использования, ясность и навигацию. Когда это возможно, дизассемблирование будет отображать описательные имена, извлеченные из информации о типах среды выполнения, хранящейся внутри исполняемого файла. [ более. ]

Рабочее пространство

  • Легко отслеживать все последние файлы.
  • Добавить файлы в список избранного.
  • Дополнительная интеграция проводника Windows.
  • Настраиваемый макет и цвета.
  • Создать резервную копию целевого файла (по умолчанию включено).
  • Панель журнала записывает команды и сообщения и позволяет узнать, что происходит на каждом шаге.

PE Explorer работает на всех версиях Windows от 95 до Server 2008, Vista, 7, 8, 10 и 11.

Минимальные требования к оборудованию:
процессор Intel Pentium® или AMD K5 с тактовой частотой 166 МГц,
16 МБ ОЗУ

Некоторые функции отключены, пока не зарегистрирован PE Explorer:

  • Сохранить все ресурсы на диск сразу.
  • Параметры для создания разделов совместимости с Windows 7 и DPI-Aware в мастере манифеста. и отладочная информация.
  • Сохраните и загрузите лист разборки и все внесенные изменения, чтобы продолжить позже.
  • Параметры пометки блоков в дизассемблере как Byte, Word, DWORD, QWORD и GUID.

Варианты покупки:

Если вы хотите только редактировать ресурсы, но вам не нужны расширенные функции PE Explorer, вам подойдет Resource Tuner. Resource Tuner доступен всего за 29,95 долларов США.


Для вашего удобства ниже приведен список часто задаваемых вопросов. Обязательно просмотрите этот список, так как вполне возможно, что на ваш вопрос уже был дан ответ здесь. Если решения, которое вы ищете, здесь нет, не стесняйтесь обращаться в нашу беззаботную службу технической поддержки.

Также обратите внимание, что еще одним важным источником информации является обширная справочная система, поставляемая вместе с PE Explorer. Справочная система хорошо организована и очень проста в использовании. Более того, потратив несколько минут на просмотр справки, вы лучше ознакомитесь с программой и узнаете больше обо всех доступных функциях.

Вопросы

Распространенные вопросы

Редактор ресурсов

Экспорт средства просмотра

Дизассемблер

Часто задаваемые вопросы

В чем разница между пробной версией и полной версией?

Ваша ознакомительная копия PE Explorer представляет собой полнофункциональную ограниченную по времени демонстрационную версию с некоторыми ограничениями. Это означает, что те же возможности, что и в зарегистрированном программном обеспечении, присутствуют и в незарегистрированном. Это позволит вам опробовать все основные функции PE Explorer, чтобы убедиться, что они работают так, как вам нужно.

Некоторые второстепенные функции отключены до регистрации PE Explorer: команды меню "Сохранить все ресурсы сразу", "Удалить релокации", "Удалить отладочную информацию" и "Сохранить дизассемблирование" не работают в пробном режиме. Это также ограничено количеством дней, в течение которых вы можете использовать программное обеспечение. Пожалуйста, купите лицензию, чтобы снять эти ограничения.

Почему PE Explorer стоит так дорого по сравнению с бесплатной альтернативой, такой как Resource Hacker?

Поясним: PE Explorer не является редактором ресурсов. Это другое. Лучше. Несмотря на то, что он содержит редактор ресурсов, PE Explorer предназначен для «тяжелой работы» и не имеет ничего общего с Resource Hacker, точно так же, как Notepad не совсем бесплатная жизнеспособная альтернатива MS Word. PE Explorer предназначен для использования в различных сценариях, таких как разработка программного обеспечения, судебная экспертиза, обратный инжиниринг, расширенный анализ безопасности двоичных файлов и процессы аудита двоичных файлов, а редактор ресурсов — это лишь малая часть функций PE Explorer. Когда вы используете все различные инструменты, которые интегрирует PE Explorer, вы согласитесь, что 129 долларов — это, безусловно, потрясающая цена. Ознакомьтесь со списком возможностей

Если вы хотите только редактировать ресурсы, но вам не нужны расширенные функции PE Explorer, вам подойдет Resource Tuner.

PE Explorer дает сбой, если я использую его для проверки самого себя. Это сделано намеренно?

Да. Это было нашим намерением.

Он утверждает, что является редактором, но не позволяет мне редактировать код программы. Почему?

PE Explorer не является редактором двоичного кода. PE Explorer редактирует внутреннюю структуру PE-файлов, включая ресурсы. Если вы хотите отредактировать программный код, вам понадобится шестнадцатеричный редактор, например Flex HEX Editor.

Как я могу что-то изменить в файле EXE или DLL?

Большинство людей, которые спрашивают, как открывать/редактировать файлы .EXE или .DLL, на самом деле не понимают, с чем они пытаются иметь дело. Файлы EXE и DLL не являются простыми, традиционными текстовыми файлами ASCII, которые можно легко читать и редактировать. Вы не можете просто открыть .EXE как текстовый файл и начать редактировать или читать содержимое. Открытие EXE-файла эквивалентно открытию телевизионной коробки, чтобы посмотреть на схему внутри, вместо того, чтобы использовать пульт дистанционного управления для переключения каналов. Иногда единственной значимой информацией внутри исполняемых файлов является информация о поставщике (авторские права, товарные знаки, происхождение) и информация о версии продукта. Эти двоичные файлы имеют сложную вложенную структуру, определяемую форматом Portable Executable, и не предназначены для редактирования пользователями, а библиотеки DLL не предназначены для открытия отдельно от программ, которым они принадлежат.

Однако, если вы хотите что-то изменить в файле EXE или DLL по какой-либо причине, вы можете сделать это, изменив их ресурсы с помощью Resource Tuner. Но все равно вы никак не сможете модифицировать реальный код: ресурсы отделены от программного кода. Таким образом, вы можете внести существенные изменения в интерфейс программы, оставив код нетронутым. Вы также можете перевести интерфейс программы на другой язык.

Я даже не смог открыть ни одного dll-файла. Все, что выскочило, когда я открыл его, было целой кучей цифр.

Вот что такое DLL. Если вы ожидаете увидеть комикс внутри, забудьте об этом. PE Explorer обеспечивает наиболее удобное представление данных. Что вам нужно, так это хорошее понимание функций программирования и, как минимум, умение читать и понимать эти числа.

Что такое PE-файл. Я слышал о них, но думал, что моя ОС не может их запустить? У меня, вероятно, будет один на моем ПК? И если да, хотел бы я изучить его?

«PE» в данном контексте означает «Portable Executable» — формат файла, используемый EXE-файлами, DLL-файлами, элементами управления ActiveX и другими исполняемыми файлами в 32-разрядной версии Windows. Термин «переносимый исполняемый файл» был выбран потому, что целью было иметь общий формат файлов для всех разновидностей Windows на всех поддерживаемых процессорах.

PE-файл — это 32-разрядный исполняемый файл, разработанный Microsoft для платформы NT (и W9x). Другими известными типами исполняемых файлов, которые работают на платформах MS, являются «MZ» (DOS), «NE» и «LE», но эти 16-битные форматы устарели (но они все еще будут работать). Откройте исполняемый файл в шестнадцатеричном редакторе, и первые два значения в файле будут «MZ» — да, заголовок DOS все еще там. Просканируйте 128 байт, и вы должны найти значения «PE» — именно здесь вступает в действие формат PE.

Для получения более подробной информации загрузите PE Explorer и обратитесь к обширной справочной системе, поставляемой вместе с PE Explorer. Справочная система хорошо организована и очень проста в использовании. Более того, потратив несколько минут на просмотр справки, вы лучше ознакомитесь с программой и узнаете больше обо всех доступных функциях.

Не все PE-файлы имеют расширение 'exe'. Другие известные PE-файлы имеют расширения «dll», «scr», «sys», «cpl» и «ocx» и даже «msstyles», представленные в Windows XP. Также обратите внимание, что не все PE-файлы будут работать сами по себе - например, dll. PE-файлы, которые запускаются сами по себе, включают exe, scr и cpl.

Более подробную информацию можно найти в статье Мэтта Питрека, опубликованной в журнале Microsoft Developer Journal за февраль 2002 г.: An In-Depth Look in the Win32 Portable Executive File Format.

Является ли PE Explorer инструментом разработчика или его может использовать обычный пользователь компьютера?

Каждый может воспользоваться этим программным обеспечением. Будучи доступным инструментом разработчика, PE Explorer делает потенциального покупателя каждого, кто заинтересован в изучении программ Windows. Программа представляет собой простой в использовании инструмент для всех пользователей, но для понимания некоторых функций требуются продвинутые знания в области программирования. Использование PE Explorer предполагает некоторые базовые знания внутренней структуры PE-файлов.

Будет ли в будущем версия для 64-битных исполняемых файлов?

Да. В версии 2 мы добавим 64-битную версию.

Планируется ли локализация PE Explorer на немецкий и/или другие языки?

Да. Версия 2 будет иметь многоязычный интерфейс.

Открыть файл

Я сразу же получил сообщение об ошибке типа "Этот файл, вероятно, поврежден, запакован или сжат". Что я могу сделать?

Ничего. Это не рассматривается как ошибка. Мы не собираемся побеждать попытки безопасности других авторов программного обеспечения. PE Explorer автоматически распаковывает только файлы, сжатые с помощью UPX, Upack и NsPack. Подробнее об ошибках открытия файлов.

Когда я пытаюсь вернуть свою DLL обратно, я получаю следующую ошибку: Невозможно создать новый файл изображения, исходный файл, вероятно, был запакован. Есть подсказки?

Имейте в виду, что ваша dll может быть перегружена! Наше программное обеспечение распаковывает только файлы, сжатые с помощью UPX, Upack и NsPack. Поэтому, если ваша dll была упакована каким-либо другим сторонним упаковщиком, вы должны распаковать ее перед модификацией. В противном случае, скорее всего, вы не сможете создать новый файл изображения.

Что такое упаковщики?

Упаковщики — это утилиты, которые значительно сжимают переносимые исполняемые файлы Windows (EXE, DLL и т. д.), оставляя их на 100 % функциональными. Они изменяют исполняемые файлы, чтобы включить процедуру расшифровки, которая выполняется первой. В результате получается исполняемый файл меньшего размера с одним дополнительным разделом внутри, и этот раздел выполняется при запуске для распаковки, и исполняемый файл работает как обычно. Большинство упаковщиков шифруют данные и ресурсы и защищают exe-файлы от обратной разработки.

Я сразу же получил сообщение об ошибке типа "Несовместимо" и "типа NE". Что такое файл типа "NE"?

PE Explorer работает только с файлами PE. Файл NE (или «Новый исполняемый файл») — это 16-разрядное приложение, предназначенное для работы в старых версиях Windows 3.xx.

Будет ли PE Explorer работать с NE и другими 16-битными файлами?

Нет. Формат NE устарел.

Если PE Explorer не работает с файлами типа NE, есть ли у вас продукт, который работает?

Нет. В любом случае, знание 16-битного формата не имеет смысла, особенно с учетом того, что на рынке появились 64-битные процессоры.

Ваш инструмент говорит, что у него есть какая-то внутренняя ошибка, поэтому он открывается в БЕЗОПАСНОМ РЕЖИМЕ. Почему?

Если при открытии файла возникает ошибка, PE Explorer открывает этот файл в безопасном режиме. В безопасном режиме нельзя работать с данными, вызвавшими ошибку. Это не гарантирует, что данные исключенного файла не содержат ошибок, но во многих случаях позволяет работать с поврежденными файлами (например, со сжатыми файлами). Например, если раздел «Импорт» следует за разделом «Ресурс», вы обычно не можете открыть такой файл в бинарном анализаторе. PE Explorer предоставляет решение, позволяя вам работать с поврежденными/упакованными/зашифрованными файлами и исследовать внутреннюю работу приложений и dll.

Сохранить файл

Если я открою исполняемый файл в PE Explorer, а затем перейду к SaveAs и сохраню исполняемый файл под другим именем БЕЗ НИКАКИХ изменений, а затем сравню два файла с помощью шестнадцатеричного редактора, в файле будет МНОЖЕСТВО изменений. . Почему есть изменения, хотя я их не вносил?

PE Explorer предоставляет две функции, которые автоматически выполняются при открытии файла: распаковка файлов, сжатых с помощью UPX, Upack и NsPack, и проверка ошибок.

Если ваш целевой файл был запакован с помощью UPX, он автоматически распаковывался и сохранялся в распакованном виде. PE Explorer не перепаковывает ранее упакованные файлы. Вот почему исходный размер файла увеличивается. Подробности смотрите в файле журнала.

Следующее, что делает PE Explorer, — перекомпилирует файловые ресурсы в соответствии со спецификацией файла MS PE. Это также может быть причиной изменения исходного размера файла после простой операции «Сохранить как».

Если вы не хотите вносить какие-либо изменения, просто не сохраняйте.

Редактор ресурсов

Как я могу приступить к редактированию файловых ресурсов PE?

Эта страница: Учебные пособия по настройке ресурсов охватывают некоторые из наиболее популярных функций редактора ресурсов. Узнайте, как Resource Tuner может помочь вам индивидуально настроить ваши любимые приложения.

Как мне экспортировать все ресурсы, редактировать их и импортировать обратно?

В текущей версии Редактора ресурсов нет функции импорта. Мы признаем потенциальную ценность этой функции, но она будет доступна только в версии 2.

Почему PE Explorer сообщает мне, что значки, которые я выбрал для замены, имеют другой размер, разрядность и глубину цвета? Вы можете это исправить?

Когда Windows готовится отобразить значок, например ярлык на рабочем столе, он выбирает значок из группы значков на основе определенных критериев. Небрежное изменение размеров значков может привести к Большой беспорядку значков: когда вы возитесь со значками, они перестают быть правильными значками.

Как я могу редактировать ресурсы из командной строки?

Resource Tuner Console — версия редактора ресурсов для пакетной обработки командной строки, доступная для загрузки. Подробнее о консоли RT.

Мне нужен инструмент командной строки для изменения значка в exe-файле. У вас есть это?

Да, у нас есть консоль Resource Tuner. Поскольку в исполняемом файле может быть несколько значков, инструмент поддерживает файлы ресурсов значков (файлы с расширением .ICO), которые содержат одно или несколько изображений с разным размером пикселей и/или глубиной цвета. Если файл .ico содержит более одного изображения, весь набор значков будет добавлен или изменен (в зависимости от настроек EditMode и ChangeMode) одновременно. RTC принимает ввод из файла сценария. Примеры сценариев можно найти в пакете Resource Tuner Console.

Экспорт средства просмотра

Как получить параметры экспорта функции? У меня есть имя функции, но оно почти бесполезно, если я не могу определить параметры.

Если у вас нет исходного кода и документации по API, все, что у вас есть, это машинный код. PE Explorer предоставляет дизассемблер. Есть только один способ выяснить параметры: запустить дизассемблер и прочитать вывод дизассемблера. К сожалению, эту задачу обратной разработки интерфейса нельзя автоматизировать.

PE Explorer поставляется с описаниями для 39 различных библиотек, включая основные библиотеки операционной системы Windows (например, KERNEL32, GDI32, USER32, SHELL32, WSOCK32), ключевые графические библиотеки (DDRAW, OPENGL32) и другие. Но PE Explorer не может предоставить наборы описаний для всех библиотек или функций, когда-либо написанных человечеством.

Дизассемблер

Что такое дизассемблер?

Дизассемблер — это компьютерная программа, которая переводит машинный язык в язык ассемблера, выполняя операцию, обратную ассемблеру. Дизассемблер отличается от декомпилятора тем, что он нацелен на язык высокого уровня, а не на ассемблер.Дизассемблер, вывод дизассемблера, часто форматируется для удобочитаемости, а не для ввода в ассемблер, что делает его в основном инструментом обратного проектирования. Хотя это может не принести вам никакой пользы, если вы уже не знаете ассемблера.

Возможна ли настоящая декомпиляция?

Нет, конечно. Полностью автоматическая декомпиляция невозможна — ни один декомпилятор не может точно воспроизвести исходный код.

Что ж, не хотелось бы разрушать ваши иллюзии, но PE Explorer не декомпилирует код. Он дизассемблирует код, что является задачей преобразования машинного кода в ассемблерный, но не генерирует код C или C++ из дизассемблированного вывода. Это очень сложная задача.

Он выдает результаты в формате ассемблера, который я совсем не понимаю. Есть ли у вас другие продукты/плагины, которые могут отображать его на английском языке?

Очевидно, что в исполняемом файле больше нет синтаксиса исходного языка. Декомпилятору было бы очень сложно интерпретировать последовательность инструкций машинного языка (ASM), которые существуют в исполняемом файле, и решить, какой была исходная исходная инструкция.

Я только что запустил дизассемблер exe-файла и хочу изменить в нем код. Но как мне вернуть его обратно в формат приложения?

Результаты, созданные дизассемблером PE Explorer, предназначены только для сравнения. Сгенерированный вывод не может быть перекомпилирован как есть и не оптимизирован для использования памяти и процессора.

Почему нельзя было сделать дизассемблер более удобным (список функций API и т. д.)?

Будет - в будущих версиях. Список того, что нужно сделать, очень длинный и кажется бесконечным.

В чем польза дизассемблера, если все, что он дает вам, это просто нечитаемый формат сборки?

В листинге разборки используется мнемоника Intel. Знакомство с мнемоникой Intel помогает при чтении списков. Также помогает хорошее понимание формата файла PE. Описание формата можно найти в справке PE Explorer.

Дизассемблер PE Explorer обеспечивает дополнительную обработку данных заголовка раздела PE-файла. Дизассемблер переводит двоичные цифры машинного языка, из которых состоит PE-файл, в инструкции на языке ассемблера и отображает результаты как наилучшее приближение к тому, как исходные инструкции могли выглядеть для человека, который их написал. Интерпретация вносит неточность точно так же, как письмо, написанное на английском, затем переведенное на китайский, а затем переведенное обратно на английский, может содержать ошибки.

Дизассемблер PE Explorer по умолчанию обрабатывает распространенные варианты, но его также можно настроить для обработки необычных вариантов. Преимущество наличия листинга дизассемблирования пропорционально пониманию языка ассемблера.

Ура! PE Explorer спас мою беду, чтобы восстановить некоторые подпрограммы и константы из dll, исходный код которой был изменен, а старая версия никогда не сохранялась. Уже одно это стоило покупной цены.

Тим Андерсон,
Predator Software, Inc.

Это один из самых превосходных инструментов для анализа двоичных заголовков, которые я когда-либо видел. Я только что купил копию PE Explorer и WinHex для дома, так как считаю, что они отлично дополняют друг друга.

Олли Уайтхаус,
@stake, Inc.

Одной из причин, по которой я купил PE Explorer, был дизассемблер. Хорошая вещь. Другая причина заключается в графическом интерфейсе — он действительно полезен при попытке получить обзор данного PE-файла.

Джеральд Бойхельт,
Sun Microsystems, Inc.

PE Explorer – это самая многофункциональная программа для проверки внутренней работы вашего собственного программного обеспечения и, что более важно, сторонних приложений и библиотек Windows, для которых у вас нет исходного кода.

PE Explorer позволяет открывать, просматривать и редактировать различные типы исполняемых файлов 32-разрядной Windows (также называемые PE-файлами), начиная от обычных, таких как EXE, DLL и элементы управления ActiveX, и заканчивая менее знакомыми типами, такими как как SCR (экранные заставки), CPL (апплеты панели управления), SYS, MSSTYLES, BPL, DPL и другие (включая исполняемые файлы, работающие на платформе MS Windows Mobile).

Снимки экрана PE Explorer

PE Explorer дает вам возможность заглянуть внутрь этих двоичных файлов PE, выполнить статический анализ, раскрыть большое количество информации о функции исполняемого файла и собрать как можно больше информации об исполняемом файле, не запуская его.< /p>

PE Explorer оставляет вам лишь минимальную работу, чтобы получить анализ части программного обеспечения. После того, как вы выбрали файл, который хотите изучить, PE Explorer проанализирует файл и отобразит сводную информацию о заголовке PE и всех ресурсах, содержащихся в PE-файле. Отсюда инструмент позволяет вам исследовать определенные элементы в исполняемом файле.

Помимо того, что это эффективный редактор ресурсов, PE Explorer также предоставляет несколько инструментов, которые повышают его статус до уровня Power Coder: поиск синтаксиса функций API, сканер зависимостей, редактор разделов, распаковщик UPX и мощный, но простой в использовании дизассемблер. С помощью PE Explorer вы можете просматривать и проверять неизвестные двоичные файлы, проверять и редактировать свойства файлов EXE и DLL, а также исправлять и восстанавливать внутреннюю структуру любых PE (переносимых исполняемых файлов) одним нажатием кнопки. PE Explorer предназначен для использования в различных сценариях, таких как разработка программного обеспечения, судебная экспертиза, обратный инжиниринг, расширенный анализ безопасности двоичных файлов и процессы аудита двоичных файлов.

Читайте также: