原创易语言版_EXE分析器[PE解析]_可分析DLL函数_导入函数_分析软件三大头_移动表
a.可分进程shuj:
1.进程列表
2.进程模块 模块名 模块句柄 模块基址 模块大小 模块路径
3.通过特征码扫描易语言的程序
b.移动EXE文件到分析器即可对这个软件进行分析
1.可以快速分析PE的一些信息
比如
当前选中程序路径:D:\Program Files (x86)\Tencent\WeChat\WeChat.exe
模块句柄:0x00400000
主模块地址:0x00400000
主模块大小:0x00005000
模块数量:74
内存镜像基址:0x00400000
内存镜像大小:0x00079000
节数量:6
所有头大小:1024
c.分析DOS头:
PE标志 标志PE头的地址
d.分析NT头
e.可以分析标准PE头
1.机器码
2.节的数量
3.PE文件的特征值
4.可选PE头的大小
5.符号的数量
...
f.分析可选PE头
1.机器型号
2.链接器版本
3.代码节的RVa
4.shuj节rva
5.内存中节对其和文件对其值
6.ImaeBase 镜像基址
7.SizeOfImage 整个程序在内存中占用的空间
8.所有头大小
9.程序入口点
.....
g.可以分析shuj目录地址
1.导入表
2.导出表
3.zy表
4.IAT表
5.绑定导入表
......
j.可以分析节表
Name: .text [节名称]
VirtualSize[内存中大小(对齐前的长度)]
VirtualAddress[节区在内存中的偏移地址(RVA)]
SizeOfRawData[文件中大小(对齐后的长度)]
PointerToRawData [文件中偏移(OffSet)]
Characteristics[标志(块属性)]
l.可以分析DLL软件到哪些函数,可以分析DLL导出了哪些函数
p.可以分析软件的重定位表
以及移动导出表操作,移动导入表操作,偏移转换器。
