Location:
Search - pe dump
Search list
Description: 一个PE文件编辑工具,可以编辑PE信息和区段,输入表查看,内存地址和文件地址换,还可以查看进程和Dump进程.是一个比较综合的工具.
Platform: |
Size: 32089 |
Author: 向东 |
Hits:
Description: C32asm 是一款非常不错的国产静态反编译工具,本款解决了与卡巴斯基(kab)兼容的问题,值得收藏.
C32Asm现具有如下功能:
快速静态反编译PE格式文件(Exe、Dll等)
提供Hex文件编辑功能,功能强大
提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能
提供内存反汇编功能,提供汇编语句直接修改功能,免去OPCode的直接操作的繁琐
提供反编译语句彩色语法功能,方便阅读分析,能方便自定义语法色彩
提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示
提供方便的跳转、调用目标地址的代码显示
提供汇编语句逐字节分析功能,有助于分析花指令等干扰代码
Platform: |
Size: 1119752 |
Author: caicai11 |
Hits:
Description: 加密解密技术内幕
第1章 PE文件格式深入研究
1.1 PE文件格式格式纵览
1.1.1 区块(Section)
1.1.2 相对虚拟地址(Relative Virtual Addresses)
1.1.3 数据目录
1.1.4 输入函数(Importing Functions)
1.2 PE文件结构
1.2.1 The MS-DOS头部
1.2.2 IMAGE_NT_HEADERS头部
1.2.3 区块表(The Section Table)
1.2.4 各种块(Sections)的描述
1.2.5 输出表
1.2.6 输出转向(Export Forwarding)
1.2.7 输入表
1.2.8 绑定输入(Bound import)
1.2.9 延迟装入数据(Delayload Data)
1.2.10 资源
1.2.11 基址重定位(Base Relocations)
1.2.12 调试目录(DebugDirectory)
1.2.13 NET头部
1.2.14 TLS初始化
1.2.15 程序异常数据
第2章 PE分析工具编写
2.1 文件格式检查
2.2 FileHeader和OptionalHeader内容的读取
2.3 得到数据目录(Data Dircetory)信息
2.4 得到块表(SectionTable)信息
2.5 得到输出表(ExportTable)信息
2.6 得到输入表(ImportTable)信息
第3章 Win32 调试API
3.1 Win32调试API原理
3.1.1 调试相关函数简要说明
3.1.2 调试事件
3.1.3 如何在调试时创建并跟踪一个进程
3.1.4 最主要的循环体
3.1.5 如何处理调试事件
3.1.6 线程环境详解
3.1.7 如何在另一个进程中注入代码
3.2 利用调试API编写脱壳机
3.2.1 tElock 0.98脱壳简介
3.2.2 脱壳机的编写
3.3 利用调试API制作内存补丁
3.3.1 跨进程内存存取机制
3.3.2 Debug API机制
第4章 Windows下的异常处理
4.1 基本概念
4.1.1 Windows下的软件异常
4.1.2 未公开的可靠吗
4.2 结构化异常处理(SEH)
4.2.1 异常处理的基本过程
4.2.2 SEH的分类
4.2.3 相关API
4.2.4 SEH相关数据结构
4.3 异常处理程序设计
4.3.1 顶层(top-level)异常处理
4.3.2 线程异常处理
4.3.3 异常处理的堆栈展开(Stack unwind)
4.3.4 异常处理程序设计中的几个注意事项:
4.4 SEH的简单应用
4.4.1 Win9x下利用SEH进ring0
4.4.2 利用SEH实现对自身的单步自跟踪
4.4.3 其它应用
4.5 系统背后的秘密
4.6 VC是如何封装系统提供的SEH机制的
4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构
4.6.2 数据结构组织
4.7 Windows XP下的向量化异常处理(VEH)
第5章 软件加密技术
5.1 反调试技术(Anti-Debug)
5.1.1 句柄检测
5.1.2 SoftICE后门指令
5.1.3 int68子类型
5.1.4 ICECream子类型
5.1.5 判断NTICE服务是否运行
5.1.6 INT 1 检测
5.1.7 利用UnhandledExceptionFilter检测
5.1.8 INT 41子类型
5.2 反跟踪技术(Anti-Trace)
5.2.1 断点检测
5.2.2 利用SEH反跟踪
5.2.3 SMC技术实现
5.3 反加载技术(Anti-Loader)
5.3.1 利用TEB检测
5.3.2 利用IsDebuggerPresent函数检测
5.3.3 检查父进程
5.4 反DUMP技术(Anti-Dump)
5.5 文件完整性检验
5.5.1 CRC校验实现
5.5.2 校验和(Checksum)
5.5.3 内存映像校验
5.6 反监视技术(Anti-Monitor)
5.6.1 窗口方法检测
5.6.2 句柄检测
5.7 反静态分析技术
5.7.1 扰乱汇编代码
5.7.2 花指令
5.7.3 信息隐藏
5.8 代码与数据结合技术
5.9 软件保护的若干忠告
第6章 加壳软件编写
6.1 外壳编写基础
6.1.1 判断文件是否是PE格式的EXE文件
6.1.2 文件基本数据的读入
6.1.3 额外数据保留
6.1.4 重定位数据的去除
6.1.5 文件的压缩
6.1.6 资源区块的处理
6.1.7 区块的融合
6.1.8 输入表的处理
6.1.9 外壳部分的编写
6.1.10 将外壳部分添加至原程序
6.1.10 小结
6.2 加壳程序综合运用的实例
6.2.1 程序简介
6.2.2 加壳子程序(WJQ_ShellBegin())
6.2.3 PE外壳程序
6.2.4 加进Anti技术
6.2.5 通过外壳修改被加壳PE
6.2.6 VC++调用汇编子程序
第7章 如何让壳与程序融为一体
7.1 序
7.1.1 为何需要壳和程序一体化
7.1.2 为阅读此章节需要的知识
7.1.3 基于此章节用的的例子程序说明
7.2 欺骗检查壳的工具
7.2.1 fi是如何检查壳的
7.2.2 欺骗fi
7.3 判断自己是否给脱壳了
7.3.1 判断文件尺寸
7.3.2 检查标记
7.3.3 外部检测(使用dll)
7.3.4 hook 相关的api(防止loader和调试api)
7.4 使用sdk把程序和壳溶为一体
7.4.1 sdk的意义
7.4.2 做一个带sdk的壳
7.5 后记:关于壳和程序的思考
第8章 Visual Basic 6 逆向工程
8.1 简介
8.2 P-code传奇
8.3 VB编译奥秘
8.4 VB与COM
8.5 VB可执行程序结构研究
8.6 VB程序事件解读
8.7 VB程序图形界面(GUI)解读
8.8 VB程序执行代码研究
8.9 我们的工具
8.10 VB程序保护篇
附录A 在Visual C++中使用内联汇编
附录B 在Visual Basic中使用汇编
Platform: |
Size: 1389111 |
Author: vachel |
Hits:
Description: Windows PE文件格式分析与PEDUMP的实现-Windows PE File Format Analysis and realization of PEDUMP
Platform: |
Size: 1012736 |
Author: zhangyi |
Hits:
Description: pe结构分析器windows界面-pe windows interface structure analyzer
Platform: |
Size: 210944 |
Author: 索骥超 |
Hits:
Description: 一个PE文件编辑工具,可以编辑PE信息和区段,输入表查看,内存地址和文件地址换,还可以查看进程和Dump进程.是一个比较综合的工具.-PE stamp text instance, met with startled件Tools, you can meet信startled PE Core messaging 区 kill, HUAI 入 barrels查vessels, twitter Rui Jian-hua Address address text件away, Morrison查you can ship most vehicles Core Dump most vehicles. Did instance, gave birth to war chariot magnetic lift stamp cavity Tools.
Platform: |
Size: 50176 |
Author: 向东 |
Hits:
Description: List PE-data of EXE-files:
-Dump of DOS file header
-Dump of PE file header
-Dump of PE optional file header
Platform: |
Size: 191488 |
Author: progfin2008 |
Hits:
Description: PEDUMP程序自从1994年的版本以来,已经有了明显的改善。它可以显示在PE里的每一个数据类型,包括:
IMAGE_NT_HEADERS
输入/输出表
资源
基址重定位
debug目录
延迟装入输入表
绑定输入描述符
IA-64异常处理表
TLS初始化数据
.NET运行时头部
除了可导出PE可执行文件外,PEDUMP也能导出COFF格式的OBJ文件、COFF输入库(新的和旧的格式)、COFF符号表和DBG文件。
PEDUMP是一个命令行程序,不带任何选项对我刚刚描述的文件类型去运行,将会有一个包括许多有用数据结构的缺省导出。几个可以有额外输出的选项列在如下:
==============================================
/A dump里包括所有的内容
/B 显示基址重地位
/H 包括区段的16进制形式dump
/I 包括输入地址表thunk地址
/L 包括行号信息
/P 包括PDATA(运行时函数)
/R 包括详细的资源(字符串表和对话框)
/S 显示符号表 -dfdfdfdghhjjiww dkfd f skf df dfk skfdf k skf df
Platform: |
Size: 64512 |
Author: 王一 |
Hits:
Description: Pe dump source code for advanced developers
Platform: |
Size: 5120 |
Author: palaniyappan |
Hits:
Description: Mem Copier This source code of my old program to copying memory image it saves copied image to file so ye you can dump raw pe image using it-Mem Copier This is source code of my old program to copying memory image it saves copied image to file so ye you can dump raw pe image using it
Platform: |
Size: 3704832 |
Author: croner |
Hits:
Description: 反汇编利器:W32asm无极版
C32asm 是一款非常不错的国产静态反编译工具!
C32Asm现具有如下功能:
快速静态反编译PE格式文件(Exe、Dll等)
提供Hex文件编辑功能,功能强大
提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能
提供内存反汇编功能,提供汇编语句直接修改功能,免去OPCode的直接操作的繁琐
提供反编译语句彩色语法功能,方便阅读分析,能方便自定义语法色彩
提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示
提供方便的跳转、调用目标地址的代码显示
提供汇编语句逐字节分析功能,有助于分析花指令等干扰代码 -Disassembly tool for _W32asm Promise Edition
Platform: |
Size: 313344 |
Author: 未来 |
Hits:
Description: 一个简单的调试器
主要功能 :1.单步步入 2.单步步过 3.运行 4.自动步过 5.指令记录 6.自动步入 7.跳出函数体 8.dump被调试进程 9.INT3断点 10.硬件断点 11.多内存断点 12.API断点 13.对DLL导出函数的反汇编 14.导入函数名的解析 15.内嵌了一个PE查看工具默认显示被调试程序的PE信息.可以选择查看其他的程序PE信息.
所有的功能都可以使用命令和菜单 快捷键来完成,可以拖拽
-A simple debugger interface simple cottage Windbg. Main features: 1. Single step into the 2 single-step through 3 run 4 automatically step through 5 command record 6 automatically into 7 out of a function body 8.dump debugging process 9.INT3 breakpoint 10. hardware breakpoints 11 and more memory breakpoint 12.API breakpoint 13. DLL export functions for disassembly 14 import function name resolution 15. built a PE View the default display tool program being debugged PE information. can choose to view information about other programs PE all the functions you can use keyboard shortcuts and menu commands to complete, you can drag and drop. code issues in the hope of useful to you Oh. See specific use Help menu
Platform: |
Size: 661504 |
Author: 曹林开 |
Hits:
Description: DaDumper is PE management tool, by this i mean that you can dump any part of a PE file,
or you can use pre-defined dumps. (DOS Header,...)
With this tool you can also view/modify the PE Header and the sections of the PE Header.
You can also view the PE file in HEX mode..
And more...
Platform: |
Size: 112640 |
Author: Lefteris Kalamaras |
Hits:
Description: 解析PE结构,拥有分析PE数据结构和添加节DUMP等功能。-PE analytic structure, with analysis of the data structure and add a section PE DUMP function.
Platform: |
Size: 9188352 |
Author: 曾佐雄 |
Hits:
Description: evokeCert is a tool written in WinAPI/CryptoAPI to revoke, undo revoke, or dump certificates from PE or cert files.
Platform: |
Size: 7873 |
Author: adhitya_1978@ymail.com |
Hits: