E-Code Explorer是一款功能強大的易語言反編譯工具,主要用于破解、代碼提取等方面,可以幫助用戶對易語言編寫的軟件程序進行拆包、修改以及反編譯,同事還支持“查看樹形視圖”功能,可以以樹形視圖模式清晰的查看當前被分析文件中所包含的各種結構,支持反匯編分析以及窗體數據分析等。不僅如此,它還支持生成MAP文件、支持“查看調用的支持庫”,可以查看當前程序在運行中所使用到的所有的支持庫信息,支持“查看動態鏈接庫命令”,可以查看當前程序在運行中所使用到的所有的動態鏈接庫函數信息,功能非常強大且實用。
軟件特色
1、支持“易格式頭信息”,可以查看當前分析的易格式的頭信息。
2、支持“附加數據信息”,可以查看當前易格式頭信息的附加數據信息。其中包括易格式所調用的所有DllCmd和支持庫信息。點擊“查看全部”,可以查看所有被調用的DllCmd的詳細信息。
3、支持“程序數據段信息”,可以查看易格式所包括的所有數據段的信息。雙擊列表中的某一項,將顯示此數據段的附加信息,包括所有重定位項和輸出符號信息。選擇“查看內容”,將顯示當前選擇的數據段的實際內容。比如“@const”段顯示所有常量數據,“@form”段顯示窗體資源”。目前此功能只支持顯示“@const”段的常量數據,在以后的版本將加入對其他段的支持。選擇“查看數據”,將以十六進制方式顯示當前選擇的數據段中的數據。單擊列表項的表頭,將在下方的狀態條中顯示此項的解釋。
4、支持“重要裝載信息”,可以查看當前可執行文件和易格式在裝入過程中需要用到的各種重要數據。選擇項目后面的“>>”按鈕,將直接顯示此地址所指向的數據內容。
5、支持“查看調用的支持庫”,可以查看當前程序在運行中所使用到的所有的支持庫信息。
6、支持“查看動態鏈接庫命令”,可以查看當前程序在運行中所使用到的所有的動態鏈接庫函數信息。
7、支持“查看常量資源”,可以查看當前程序在運行中所使用到的所有的常量資源。
8、支持“查看服務接口”,可以查看當前程序在運行中所使用到的所有服務接口信息。
9、支持“查看PE導入表”,可以查看當前程序的導入表信息。
10、支持“查看PE導出表”,可以查看當前程序或DLL的導出表信息。雙擊導出函數,可以對這個函數進行反匯編分析。
11、支持“查看樹形視圖”功能,可以以樹形視圖模式清晰的查看當前被分析文件中所包含的各種結構。
12、支持“查看文件內容”功能,可以以十六進制方式查看當前文件的內容。選擇工具欄上面的“地址轉跳”功能,可以直接轉跳到您輸入的地址處。選擇“顯示中文”,可以顯示中文的字符信息。
軟件功能
1、反匯編分析:
①快速的靜態反匯編易格式可執行文件。提供方便的跳轉、調用目標地址的代碼預覽功能。
②只有經過加載的程序才能進行反匯編分析。如果尚未被加載,會進行訊問。
③如果在進程分析設之中啟用了“以DEBUG模式加載進程”,將不會出現這個提示。
④選擇轉跳跟蹤列表的任一項,可在轉跳預覽框看到當前選擇地址的反匯編結果預覽,雙擊即可轉跳到選擇的位置進行反匯編分析。
⑤在某一個常量處懸停鼠標,可以看到該常量的詳細數據情況。雙擊該常量,可以進行十六進制代碼查看。
2、窗體數據分析:
①對易格式可執行文件中包含的窗體數據分析,以樹型結構清晰的顯示窗體單元的從屬結構。
②詳細的控件屬性顯示、準確的事件處理函數定位、與反匯編模式便捷的切換
③讓使用者可以立即進入要調試的事件函數領空,避免在runtime的空間里四處打轉浪費時間。
④這一點對于調試非線性事件驅動類型的程序是必須的。
3、詳細的反匯編分析:
①導出保存詳細反匯編分析報告,詳細反匯編分析可以反匯編出程序中絕大部分的函數,同時進行符號修飾。
4、生成MAP文件:
①生成標準格式的MAP文件,可以供其它調試軟件加載使用。
②如果使用OllyDbg作為調試器,建議使用forever[RCT]為EcE特別定做的OllyDbg插件LoadMapEx來加載MAP文件。
5、支持自定義設置菜單:
①分析對象設置:設置要分析的文件類型,其中包括“標準PE可執行文件”、“標準Linux可執行文件”(目前尚不支持)、“易格式原體文件”、“其他包含易格式的文件”。同時還可以設置從某一具體偏移處開始分析(針對“其他包含易格式的文件”選項)。
②進程分析設置:選擇在“從進程加載”模式下,是否要自動分析進程的參數。可以手動設定加載參數,如進程基址和進程尺寸。在DLL加載設之中,可以設置DLL加載程序。被選擇的程序將用來調用被分析的DLL供加載分析使用。默認情況下,使用內置的LoadDLL程序進行加載。在調試加載設置中,可以選擇是否以調試模式加載被分析的程序。通過設置可以用DEBUG模式創建被分析的程序進程,并在真正的入口點中斷運行并加載。
③符號分析設置:設置符號庫相關的參數。如符號庫的加載目錄。可以顯示當前已經加載的符號庫列表及其詳細信息。也可以手工添加或卸載加載的符號庫。進行相關操作后,按下“更新”按鈕能使操作立即生效。EcE使用的符號庫是標準的易語言帶編輯信息的支持庫,可以手工為EcE添加符號庫。直接把相應的fne文件復制到EcE的安裝目錄下Symbol目錄即可。
④符號修飾設置:設置是否開啟相應的符號修飾功能。也可以選擇關閉全部的修飾。在高級修飾設置中,可以選擇是否使用實時常量分析算法(開啟后可以更精確的分析程序中使用到的常量),是否使用智能冗余代碼檢測,是否使用DLL接口自動分析(開啟后在DLL導出函數的分析中可以直接定位到真正的入口點)。
⑤服務分析設置:設置服務指針表分析算法的參數。可以選擇“自動解析服務指針”還是“手動解析服務指針”。“自動解析服務指針”使用了步進算法,在這里可以設置是否開啟這個算法。同時還可以設置自動解析的分析起始偏移和解析范圍。修改“手動解析列表”中服務制針對應項后,需按“更新”按鈕才能生效。此設置比較復雜,不正確的設置會嚴重影響到反匯編的修飾效果,請謹慎修改。
6、顯示設置:
①設置和顯示相關參數。可以完成反匯編器顯示的色彩、十六進制查看器顯示的色彩、是否在任務條顯示子窗口等設置。
7、插件管理:
①對當前加載的插件進行管理。可以動態加載、卸載插件,也可以禁用或恢復某個插件。選擇一個插件,可以看到關于這個插件的描述。
8、支持“工具”菜單功能:
①導出易格式原體:把當前分析的文件中包含的易格式原體導出保存為原體文件。
②易格式原體植入PE骨骼:把易格式原體重新封裝為標準的PE可執行文件。
③易格式重定位信息修復:如果是從正在執行的文件中直接導出的易格式原體,如果要進行重新封裝的操作,必須要先進行重定位信息修復。輸入重定位基址(導出易格式原體前易格式的基址),即可進行修復。
④插件:自動加載EcE安裝目錄下PlugIns文件夾中的保存的插件。可以在“設置”菜單的“插件管理”功能中管理所有加載的插件。
⑤“幫助”菜單:打開幫助文檔、快捷的進入EcE的網站、與作者聯系、查看關于信息。
軟件特色
1、符號修飾:可以調用易語言支持庫作為符號表,對反匯編后的代碼進行修飾,可以直接分析出函數所調用的方法,操作的屬性,使用到的常量、基本數據類型、自定義數據類型和窗口單元。極大地提高了代碼的可讀性。
2、格式分析:分析易格式可執行文件的總體結構,查看對應項的數據。分別對PE骨骼(PE頭)和易格式原體分析,以樹形結構清晰的顯示,同時輔以詳細的分析表格。
3、反匯編分析:快速的靜態反匯編易格式可執行文件。提供方便的跳轉、調用目標地址的代碼預覽功能。
4、內部數據分析:能夠分析出程序使用到的常量、API函數、服務,調用的支持庫。
5、窗體分析:對易格式可執行文件中包含的窗體數據分析。以樹型結構清晰的顯示窗體單元的從屬結構。詳細的控件屬性顯示、準確的事件處理函數定位、與反匯編模式便捷的切換,讓使用者可以立即進入要調試的事件函數領空,避免在runtime的空間里四處打轉浪費時間。這一點對于調試非線性事件驅動類型的程序是必須的。
更新日志
v0.86版本
1、加入了生成MAP文件的功能,可以生成標準格式的MAP文件,供其它調試軟件加載使用。
2、修正了上個版本的若干BUG。
3、加入了調試模式加載目標程序,可以自行選擇異常處理方法,同時可以自動中斷到真正的入口點并加載。
4、加入了動態鏈接庫文件的分析功能。可以從文件或進程中加載動態鏈接庫進行分析,也可以使用內置的LoadDLL程序進行加載。可以自動分析出DLL導出函數的真正入口點,并進行反匯編分析。
5、加入了對插件的支持。內置插件管理工具,可以動態的加載卸載或禁用插件。這個版本的EcE附帶了兩個插件:“反調試器檢測插件”和“花指令修復插件”。
6、加入了窗體預覽功能。在原先的窗體分析界面中,選擇某個被分析的窗體,可以直接預覽到這個窗體。如果選擇了窗體上某個控件,將會以明顯的標志在預覽窗口上標示出來這個控件。
7、加入實時常量分析算法,可以更精確的分析程序中使用到的各種常量。
8、加入了詳細反匯編分析功能。可以導出保存詳細反匯編分析報告。
9、支持設置信息的保存。
10、加入了安全啟動模式。
11、修正了上個版本的若干BUG。
