欢迎使用世界上第一款易格式可执行文件分析器
E-Code Explorer 0.80 正式版
版权所有(C) 2004-2005 monkeycz。保留所有权利
=========================================================
如果您发现软件有Bug或者您对软件的功能有好的建议,请告诉我。
建议您在使用EcE之前,先详细的浏览一遍本文档,以便更好的了解和使用软件提供的各项功能。
【作者信息】
软件作者:monkeycz
电子信箱:monkeycz[AT]hotmail.com
作者BLOG:http://monkeycz.blogbus.com
【发布网站】
E-Code Explorer的发布网站为:http://monkeycz.pediy.com。关于EcE的一切相关信息以此网站发布的信息为准。
如果您需要下载新版本、了解软件的功能、查看帮助信息等,请登陆这个网站。
网站还设有留言本,方便用户与作者的沟通。如果您有任何看法,可以通过留言本向作者留言。
【使用帮助】
本软件的功能:反汇编调试由易语言编译生成的易格式可执行文件,分析内部结构,查看其中的各项数据。
操作指南:
1。“文件”菜单
(1)打开文件:
选择打开文件后,会出现选择打开对象窗口,你可以选择从磁盘中载入文件或从进程附加两种方式进行分析。选择窗口右下角的设置按钮,可以立即进行分析设置。
在选择从进程载入后出现的进程列表窗口里,可以查看、载入进程,也可以结束进程。
在选择要载入的文件后,会询问是否使用多线程技术进行分析。一般来说只要不是配置很低的机器,就不需要使用多线程分析,选择“否”即可。
稍等片刻,窗口下面的信息栏显示“报告信息已全部生成”表示分析完成。
(2)关闭文件
关闭正在分析的文件。
(3)导出分析报告
将当前的分析结果以报告文件方式保存在磁盘上。生成的报告文件为标准的文本文件。
(4)退出
退出E-Code Explorer。
2。“查看”菜单
选择各个选项,即可查看当前分析的易格式可执行文件的结构信息。分析易格式可执行文件的总体结构,查看对应项的数据。分别对PE骨骼(PE头)和易格式原体分析,以树形结构清晰的显示,同时辅以详细的分析表格。
(1)选择“易格式头信息”,可以查看当前分析的易格式的头信息。
(2)选择“附加数据信息”,可以查看当前易格式头信息的附加数据信息。其中包括易格式所调用的所有DllCmd和支持库信息。点击“查看全部”,可以查看所有被调用的DllCmd的详细信息。
(3)选择“程序数据段信息”,可以查看易格式所包括的所有数据段的信息。双击列表中的某一项,将显示此数据段的附加信息,包括所有重定位项和输出符号信息。选择“查看内容”,将显示当前选择的数据段的实际内容。比如“@const”段显示所有常量数据,“@form”段显示窗体资源”。目前此功能只支持显示“@const”段的常量数据,在以后的版本将加入对其他段的支持。选择“查看数据”,将以十六进制方式显示当前选择的数据段中的数据。单击列表项的表头,将在下方的状态条中显示此项的解释。
(4)选择“重要装载信息”,可以查看当前可执行文件和易格式在装入过程中需要用到的各种重要数据。选择项目后面的“>>”按钮,将直接显示此地址所指向的数据内容。
(5)选择“查看调用的支持库”,可以查看当前程序在运行中所使用到的所有的支持库信息。
(6)选择“查看动态链接库命令”,可以查看当前程序在运行中所使用到的所有的动态链接库函数信息。
(7)选择“查看常量资源”,可以查看当前程序在运行中所使用到的所有的常量资源。
(8)选择“查看服务接口”,可以查看当前程序在运行中所使用到的所有服务接口信息。
(9)选择“查看树形视图”功能,可以以树形视图模式清晰的查看当前被分析文件中所包含的各种结构。
(10)选择“查看文件内容”功能,可以以十六进制方式查看当前文件的内容。选择工具栏上面的“地址转跳”功能,可以直接转跳到您输入的地址处。选择“显示中文”,可以显示中文的字符信息。
注意:如果不明白某一项分析内容的含义,可以将鼠标悬停在当前项的提示文字上或者单击分析列表的表头,在下面的提示栏中将出现此处分析内容的详细解释。
3。“分析”菜单
(1)反汇编分析
快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。
只有经过加载的程序才能进行反汇编分析。如果尚未被加载,会进行讯问。
开始加载后,等待被分析的文件加载成功,选择等待对话框的确定按钮。
进入反汇编窗口后,左上方是转跳跟踪列表,左下方是转跳预览框,右面就是反汇编结果。
主要功能通过顶部的工具栏和右键菜单来实现。可以完成“转跳”、“转跳返回”、“转跳位置”、“刷新”、“到入口点”、“到开始处”、“单行复制”、“全部复制”等功能。
在反汇编结果区域,鼠标双击转跳命令,可以进行转跳跟踪。同时Ctrl+方向键右、Ctrl+方向键左也可以方便的实现跟踪转跳,转跳返回的功能。PageUp键、PageDown键、方向键上、方向键下可以进行翻页。
选择转跳跟踪列表的任一项,可在转跳预览框看到当前选择地址的反汇编结果预览。双击即可转跳到选择的位置进行反汇编分析。
(2)窗体数据分析
对易格式可执行文件中包含的窗体数据分析。以树型结构清晰的显示窗体单元的从属结构。详细的控件属性显示、准确的事件处理函数定位、与反汇编模式便捷的切换,让使用者可以立即进入要调试的事件函数领空,避免在runtime的空间里四处打转浪费时间。这一点对于调试非线性事件驱动类型的程序是必须的。
打开要分析的文件后,即可查看窗体数据分析结果。可以显示当前程序中窗体成员的使用情况、属性和事件处理函数。
双击列出的窗体单元的成员,可以查看选择的窗口成员的属性和事件处理函数信息。事件栏可以看到当前窗口成员所处理的事件名称和对应的函数地址。双击事件项,即可反汇编显示此事件处理函数。
4。“设置”菜单
(1)分析设置
分析对象设置:设置要分析的文件类型,其中包括“标准PE可执行文件”、“标准Linux可执行文件”(目前尚不支持)、“易格式原体文件”、“其他包含易格式的文件”。同时还可以设置从某一具体偏移处开始分析(针对“其他包含易格式的文件”选项)。在0.70以上版本中,加入了对“易格式捕捉者”的支持。“易格式捕捉者”可以根据设定的易格式特征码,从当前被分析的数据中自动分析易格式的基址。选择了“启动易格式捕捉者”,在打开要分析分析文件的时候,会弹出“易格式捕捉者”的窗口。可以选择从哪一个疑似易格式基址进行分析,也可以查看疑似基址附近的数据。如果有多个分析结果,即为疑似基址,需要用户自己进行选择。在这里可以选择是否要启动“易格式捕捉者”,同时也可以配置易格式特征码,供“易格式捕捉者”分析用。只有当“分析对象类型”为“其他包含易格式的文件”时,才能够使用这项功能。
进程分析设置:选择在“从进程加载”模式下,是否要自动分析进程的参数。可以手动设定加载参数,如进程基址和进程尺寸。
符号分析设置:设置符号库相关的参数。如符号库的加载目录。可以显示当前已经加载的符号库列表及其详细信息。也可以手工添加或卸载加载的符号库。进行相关操作后,按下“更新”按钮能使操作立即生效。EcE使用的符号库是标准的易语言带编辑信息的支持库,可以手工为EcE添加符号库。直接把相应的fne文件复制到EcE的安装目录下Symbol目录即可。
符号修饰设置:设置是否开启相应的符号修饰功能。也可以选择关闭全部的修饰。
服务分析设置:设置服务指针表分析算法的参数。可以选择“自动解析服务指针”还是“手动解析服务指针”。“自动解析服务指针”使用了步进算法,在这里可以设置是否开启这个算法。同时还可以设置自动解析的分析起始偏移和解析范围。修改“手动解析列表”中服务制针对应项后,需按“更新”按钮才能生效。此设置比较复杂,不正确的设置会严重影响到反汇编的修饰效果,请谨慎修改。
如果您对无意中修改了某些设置而又不知道应该如何恢复,可以按下“默认”按钮,即可把设置项更新为最初的内容。
(2)显示设置
设置和显示相关参数。可以完成反汇编器显示的色彩、十六进制查看器显示的色彩、是否在任务条显示子窗口等设置。
5。“工具”菜单
提供了若干个默认加载的实用工具和插件功能(尚未开放)
(1)导出易格式原体
把当前分析的文件中包含的易格式原体导出保存为原体文件。
(2)易格式原体植入PE骨骼
把易格式原体重新封装为标准的PE可执行文件。
(3)易格式重定位信息修复
如果是从正在执行的文件中直接导出的易格式原体,如果要进行重新封装的操作,必须要先进行重定位信息修复。输入重定位基址(导出易格式原体前易格式的基址),即可进行修复。
(4)插件
插件功能尚未开放。
6。“帮助”菜单
打开帮助文档、快捷的进入EcE的网站、与作者联系、查看关于信息。
【历史】
★0.80版 - 2005年09月26日
1。加入了反汇编功能。支持地址转跳、调用跟踪返回、目标地址代码预览、符号修饰、自定义环境颜色等功能。
2。加入了窗体数据分析功能。可以直接显示控件列表及其属性、事件、事件处理函数。
3。加入了符号库分析功能。支持标准的带调试信息的易语言支持库作为符号文件。
4。加入了全局符号修饰功能。可以修饰核心服务、全局方法、常量、基本数据类型、自定义数据类型、窗体控件。
5。加入了更多的分析设置选项。方便自行设置调试环境。
6。加入了颜色设置,可以对反汇编部分和十六进制文件查看部分设置环境颜色。
7。修改整体界面结构,支持窗口缩放和最大化。一些经常用到的窗口还支持“总在最前”的功能。
8。新设计的软件“关于”画面和启动闪屏画面。
9。改进了十六进制查看器的算法,大幅提高了查看速度。同时修改了拖拽显示,使其定位准确。
10。加入了几个新的分析报告表格,分析结果更加详尽。
11。修正了若干BUG,提高了软件的稳定性和准确性。
★0.70版 - 20
E-Code Explorer 0.80版
4星 · 超过85%的资源 需积分: 50 152 浏览量
2006-01-06
11:27:29
上传
评论 2
收藏 9.06MB RAR 举报 
EcE-5086.rar (89个子文件) 
ExtMenu.fne 208KB krnln.fnr 1.05MB
历史.txt 3KB iext.fnr 212KB debug.log 0B
PlugIns iext5.fne 320KB disasm.dll 112KB Example 示例程序.e 5KB
ASProtect加壳后的示例程序.exe 567KB 示例程序.exe 535KB edroptarget.fne 152KB iext2.fne 264KB Dump 示例程序.ecf 4KB E-Code Explorer.exe 1.44MB shell.fne 56KB 帮助.txt 7KB 自述文件.txt 11KB EThread.fne 48KB Procs32.dll 10KB Symbol ExtMenu.fne 208KB eLIBpp.fne 74KB mylib.fne 77KB EDataStructure.fne 92KB Exmlrpc.fne 88KB spec.fne 40KB sock.fne 52KB ELIB.fne 11KB ERawSock.fne 72KB eWord2000.fne 224KB HtmlView.fne 224KB OPenGL.fne 468KB xplib.fne 76KB iext6.fne 232KB HYExtLib.fne 156KB downlib.fne 240KB iext5.fne 320KB WNet.fne 144KB SqliteDB.fne 320KB portio.fne 48KB btdownload.fne 344KB xWindow.fne 168KB ESpeechEngine.fne 168KB ePY.fne 392KB EChartBar.fne 228KB krnln.fne 1.38MB eDirTree.fne 136KB edroptarget.fne 152KB iext2.fne 264KB dp1.fne 124KB console.fne 60KB iext.fne 280KB shell.fne 56KB eAPI.fne 316KB eHook.fne 28KB ESSLayer.fne 116KB cncnv.fne 236KB PhoneCortrol.fne 400KB RegEx.fne 164KB pop3.fne 156KB eCompress.fne 176KB twain.fne 184KB ewizard.fne 128KB eOALib.fne 2.68MB EInterProcess.fne 116KB eCalc.fne 164KB eImgConverter.fne 536KB EXMLParser.fne 92KB CnCalendar.fne 256KB iext3.fne 356KB EThread.fne 48KB mysql.fne 932KB internet.fne 192KB ePPT2000.fne 260KB shellEx.fne 13KB Q_tip.fne 292KB NewLib.fne 152KB ogrelib.fne 724KB eExcel2000.fne 232KB Taolibv1.fne 449KB EdirectX.fne 356KB isapi.fne 124KB script.fne 164KB Javalib.fne 188KB eNetIntercept.fne 176KB eMMedia.fne 276KB eGrid.fne 408KB eDB.fne 220KB Symbol.dll 40KB 版权声明.txt 1KB
普通网友
- 粉丝: 882
- 资源: 2万+
- 1
- 2
前往页