Pe explorer как пользоваться

Обновлено: 04.07.2024


Так как мы в основном исследуем исполняемые файлы и динамические библиотеки для Windows, я брал только те РЕ-редакторы, которые работают в этой ОС. Если какой-то из инструментов поддерживает другие операционные системы и их исполняемые файлы (например, ELF), то это только плюс, но в данном случае для нас особого значения не имеет.

Мы будем выбирать утилиты на основе разумных и понятных факторов: функциональность, цена, удобство использования и частота обновления. Совсем старые решения, позволяющие редактировать бинарники для MS-DOS или Windows 9x, нам рассматривать ни к чему. Если какой-то из редакторов распространяется платно, то мы воспользуемся ознакомительной версией и отдельно отметим, какие функции в ней доступны. Но самый главный критерий будет состоять во взломе настоящего кракми.

Как ты помнишь, с помощью отладчика мы нашли в памяти адрес инструкции (см. четвертую статью «Фундаментальных основ»), которая определяет ход выполнения программы при вводе пароля. А благодаря сведениям из третьей статьи этот виртуальный адрес у нас получилось преобразовать в физический, находящийся на носителе. Таким образом, перейдя в исполняемом файле по адресу 0x402801 и заменив там инструкцию test на xor , мы получим программу, принимающую любые пароли. Меньше слов, больше дела!

PE-Explorer

Под первым номером идет довольно распространенный редактор PE-Explorer. В отличие от своего собрата Resource Tuner, он способен редактировать не только ресурсы приложения, но и код. Несмотря на свой почтенный возраст, исправно работает даже в Windows 10. К сожалению, PE-Explorer умеет работать только с 32-битными файлами и при попытке открыть 64-битный бинарник сообщает об ошибке.

Утилита обладает богатой функциональностью: отображает все элементы заголовка РЕ, определяет, к каким DLL происходит обращение, предсказывает поведение программ и логику взаимодействия с другими модулями и даже открывает запакованные UPX, UPack или NSPack файлы. Кроме того, она позволяет просматривать и редактировать секции PE-файла, исследовать содержимое таблиц импорта и экспорта и проверять наличие и целостность цифровой подписи. В качестве «вишенки на торте» тут присутствует полноценный дизассемблер.

Но это только на словах, а на деле мы его сейчас проверим. Из-за того что продукт платный, я использовал триальную версию, готовую работать на протяжении 30 дней. Об урезанных функциях ничего сказано не было.

Запустим редактор и сразу же откроем наше подопытное приложение. PE-Explorer первым делом выводит информацию о заголовке PE-файла. Для получения сведений об остальных разделах достаточно пощелкать кнопки на панели инструментов. Жмем пиктограмму Disassembler и открываем окно для выбора поддерживаемых инструкций: SSE, SSE2 и прочее. Указываем необходимые и начинаем процесс нажатием кнопки Start Now .

В открывшемся окне большую часть занимает область с дизассемблерным листингом, чуть ниже располагается шестнадцатеричный дамп. Если в заголовке нижней панели выбрать вкладку Strings, то отобразятся все строки в исследуемом приложении. Так что поиском можно найти и эталонный пароль. Однако для этого пришлось бы перебрать весь внушительный список доступных строк, так что отложим этот вариант до худших времен.

Так как мы с помощью отладчика нашли адрес инструкции, которая отвечает за ход выполнения программы, то попробуем проверить этот адрес в PE-Explorer: нажимаем Ctrl-F (или Search → Find) и вводим адрес для поиска: 402801 .



Что ж, я немного разочарован результатом дизассемблирования. Даже отладчик в этом месте показывает мне инструкцию test , а здесь я вижу лишь начало ее шестнадцатеричного кода: 0х85 . При этом я не могу редактировать код! Зачем мне все эти возможности, если утилита не позволяет делать самую базовую вещь?

Я даже не могу списать этот недочет на ограничения демоверсии, так как о ее отличиях от платной ничего толком не сказано. Допускаю, что с теми целями, для которых этот продукт предназначен (статическое изучение приложения и вектора его выполнения), он справляется хорошо. Однако нашим требованиям программа не соответствует, поэтому смело вычеркиваю PE-Explorer из списка кандидатов.

FlexHex

Думаю, нужно дать разработчику еще один шанс, поэтому рассмотрим другую утилиту Heaventools Software — hex-редактор FlexHex. Это инструмент для редактирования любых файлов, процессов или устройств в двоичном формате, ASCII и Unicode. По словам авторов, редактор умеет работать с файлами просто гигантского размера — 8 эксабайт. Кроме того, он поддерживает множество типов данных: байты, слова, двойные слова, восьмибитовые слова, различные десятичные значения со знаком и без, 32- и 64-битовые целые.

Сложные типы данных тут могут быть определены самим пользователем — это структуры, объединения, массивы, перечисления, строки и их сочетания. Обещают прямое редактирование любых значений, в том числе шестнадцатеричных, строковых, изменение областей памяти и типизированных данных. Поддерживаются битовые операции (NOT, AND, OR и XOR над блоками данных) и, конечно же, арифметические операции: сложение, вычитание, умножение, деление и взятие остатка.

Однако главная особенность FlexHex — это возможность сравнения файлов целиком или отдельными блоками. При этом использование карт сравнения позволяет сделать процесс более интуитивным и наглядным.

Все это хорошо, но как утилита справится со взломом — нашей элементарной задачкой? Отсутствие дизассемблера сразу намекает нам, что придется работать в hex-кодах. Запустим FlexHex и откроем с его помощью наш крякмис.

Первым делом попробуем найти смещение 402801 . Кликаем Navigate → Go To и в списке слева выбираем пункт Address, а в поле Enter address вводим значение для поиска. Убеждаемся, что включен режим Hex , и нажимаем кнопку Go To.

Однако результат поиска выносит нас далеко за границы приложения. Обрати внимание, что последние читаемые символы находятся по смещению 0x3659F0 . Если напрячь память, то вспоминается, что в заголовке РЕ базовый адрес (или адрес загрузки модуля) прописан как 0x400000 . А здесь он даже не учитывается!



Я выбрал такую длинную последовательность, чтобы не было ложных срабатываний. За ключевым байтом 0x74 тут скрывается ассемблерная инструкция JZ . Чтобы сделать из нее JNZ , достаточно переписать как 0x75 . В итоге мы получим программу, кушающую любые пароли, кроме эталонного.

С помощью Search → Find открываем окно и указываем в качестве типа для поиска Hex Bytes и направление. В поле ввода пишем нашу последовательность байтов: 85 C0 74 3C 68 . Есть совпадение! Теперь ставим курсор на 74 , нажимаем Delete и вписываем на этом месте 75 . Сохраняем результат и закрываем редактор. Проверь «пропатченное» приложение, оно теперь должно работать значительно лучше. 🙂

В целом я бы не сказал, что этот редактор отличается значительным удобством и соответствует нюансам работы благородного крекера. Поэтому отдавать за него 60 долларов кровных лично я бы не стал.

Продолжение доступно только участникам

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Юрий Язев

Широко известен под псевдонимом yurembo. Программист, разработчик видеоигр, независимый исследователь. Старый автор журнала «Хакер».

Иконка PE Explorer

Дешифратор

Просмотр заголовков

Как только вы открыли PE-файл в программе откроется просмотр заголовков. Здесь можно увидеть много интересного, но изменить ничего нельзя, да и не нужно.

Просмотр заголовков в PE Explorer

Каталоги данных

Data Directories (каталоги данных) является важной частью любого исполняемого файл, потому что именно в этом массиве храниться информация о структурах (их размер, указатель на начало и т.д). Менять следует копии файлов, иначе может привести к необратимым последствиям.

Data Directories в PE Explorer

Заголовки секции

Весь важный код приложения храниться в PE Explorer в разных секциях для большей упорядоченности. Так как в этом разделе содержаться все данные, то их можно менять, меняя их расположение. Если какие-то данные менять не следует, программа уведомит вас об этом.

Заголовки в PE Explorer

Редактор ресурсов

Как известно, ресурсы являются неотъемлемой частью программы (иконки, формы, надписи). Но с помощью PE Explorer их можно менять. Таким образом, можно заменить у приложения иконку или перевести программу на русский язык. Здесь же можно сохранить ресурсы на компьютер.

Редактор ресурсов в PE Explorer

Дизассемблер

Это инструмент необходим для проведения экспресс-анализа исполняемых файлов, причем, выполнен он в более упрощенном, но не менее функциональном формате.

Дизассемблер в PE Explorer

Таблица импорта

Благодаря этому разделу в программе можно узнать несет ли вред проверяемое приложение для вашего компьютера. В этом разделе находятся все функции, которые содержаться в программе.

Таблица импорта в PE Explorer

Сканер зависимостей

Еще одно преимущество программы в борьбе с вирусами. Здесь можно увидеть зависимость с динамическими библиотеками, тем самым, распознав, несет угрозу вашему компьютеру это приложение или нет.

Дерево зависимостей в PE Explorer

Преимущества программы

  1. Интуитивно понятная
  2. Возможность изменять ресурсы
  3. Позволяет узнать о вирусах в программе еще до запуска кода

Недостатки

  1. Отсутствие русификации
  2. Платная (бесплатная версия доступная лишь 30 дней)

PE Explorer является отличным инструментом, который позволит вам защитить от заражения вирусами ваш компьютер. Конечно, ее можно использовать и в другом направлении, добавив в совершенно безобидную программу опасный код, но это делать не рекомендуется. Кроме этого, из-за возможности менять ресурсы, можно добавить рекламу или перевести программу на русский язык.

http://i018.radikal.ru/0806/39/64b98d6c0ec6t.jpg

PE Explorer предназначен для просмотра и редактирования внутренней структуры исполняемых файлов, таких как EXE, DLL, ActiveX и другие. В состав PE Explorer входят редактор ресурсов, редактор секций, дизассемблер, сканер зависимостей и другие незаменимые в работе исследователей программ инструменты. С помощью PE Explorer очень просто анализировать, редактировать или оптимизировать проблемные файлы, переводить интерфейсы на другие языки, распаковывать и восстанавливать сжатые файлы, изучать дизайн и алгоритмы, используемые в программах.

Re Pack PE Explorer 1.99 R5 от ADMIN®CRACK LINK

PE Explorer Resources Crypt v1.62 Beta LINK

Отредактировано Tekton (2014-02-22 00:41:13)

Где-то читал, что это программа может распаковывать UPX. Rowdy, знаю, что она твой любимчик, не расскажешь как это делать?

Прога - лучшая! Рестораторы и иже с ними - на помойку!

А теперь о проге: версия 1.99 распаковывает упаковщики: UPX и Upack. Делается это очень просто, при открытии файла PE Explorer-ом он автоматически распаковывает их. Можешь сразу редактировать, а можешь просто сохранить файл и он сохранится уже распакованный. Так же легко он распаковывает некоторые скрамблированные UPX (это обычный UPX только с добавкой какого нибудь гадкого криптора).

Закриптована программа криптором, который находится внутри самой программы. Т.е. это такая процедура, которая стоит в коде программы, и которая не дает просмотреть ресурсы. Когда программа запускается, срабатывает данная процедура и соответственно раскриптовывает ресы.
Если видел, ранние русификаторы на эту прогу, то их все делал человек с ником Bronco.LTD. Вот он написал забавную программулину, с помощью которой можно раскриптовать ресурсы, русифицировать их и потом обратно закриптовать.
Вот эта прога: СКАЧАТЬ
Там внутри находится справка по использованию, если не разберешься, то пиши - помогу.

PE Explorer Resources Crypt v1.62 Beta

Этот инструмент предназначен больше для людей уже опытных в русификации, ну и немного в реверсинге ПО.
Программа предназначена для расшифровки форм в ресурсах программы PE Explorer, сохранения их в файлы на диск, создания скрипта ресурсов и DLL с ресурсами.
Грубо говоря программа предназначена для русификации PE Explorer.

PE Explorer v1.99 R6

Что нового:

Дизассемблер:
- добавлены параметры отметки блоков, как Byte, Word, DWORD, QWORD и GUID.

Редактор ресурсов:
- в Мастере Манифестов добавлены опции совместимости с Windows 7 и секциями DPI-Aware.

Исправлено:
- исправлена работа с ресурсами при работе в Windows Vista;
- исправлены конфликты со сторонними приложениями в Windows XP SP3.


PE Explorer - предназначен для просмотра и редактирования внутренней структуры исполняемых файлов, таких как EXE, DLL, ActiveX и других. В состав программы входят редактор ресурсов, редактор секций, дизассемблер, сканер зависимостей, анализатор цифровых подписей и другие, незаменимые в работе исследователей программ, инструменты. С помощью PE Explorer очень просто анализировать, редактировать или оптимизировать проблемные файлы, переводить интерфейсы на другие языки, распаковывать и восстанавливать сжатые файлы, изучать дизайн и алгоритмы, используемые в программах. Даже если вы продвинутый пользователь компьютера и интересуетесь начинкой файла, или же разработчик софта, мучающийся от очень сложно обнаруживаемых багов, то данная программа – лучшее решение для того чтобы решить ваши проблемы. Вы можете просмотреть, редактировать и восстанавливать внутренние структуры PE файлов одним нажатием кнопки. Работает с PE форматами такими как EXE, DLL, MSSTYLES, SYS, OCX, SCR и другими WIN32 исполняемыми файлами.

PE Explorer можно использовать в различных ИТ-областях: в разработке и тестировании программного обеспечения, в обратной разработке (реверс-инжиниринге) с целью восстановления алгоритмов, применяющихся в анализируемом файле, в антивирусных лабораториях и криминалистике, для обнаружения уязвимостей и проведения аудита безопасности для файлов, полученных из непроверенных источников.

Особенности:
- Возможность работы с поврежденными файлами в безопасном режиме.
- Проверка интеграции исполняемого файла.
- Автоматическая распаковка файлов, упакованных UPX, WinUpack, NSPack.
- Сохранение изменений в виде новых исполняемых файлов.
- Дизассемблер для восстановления первичного кода исполняемого файла.
- Анализатор зависимостей для определения минимального набора необходимых для файла библиотек.
- Средство удаления отладочной информации, заключенной внутри файла.
- Средство удаления таблиц исправлений.

Год выпуска: 2009
Версия: 1.99 Revision 6
Разработчик: Heaventools Software
Платформа: Windows 98/ME/NT/2000/XP/Vista/Windows 7
Язык интерфейса: English/Русский

Читайте также: