PE查看工具编写 - 解密系列【工具篇】
PE破解实例

前几天在论坛上下载了个一我爱背单词软件,发现这款软件不错,然后就到他的首页上看看,发现一个我爱学音标软件,直接在论坛上找找,找不到这方面的破解文件,只能自己动手了!1、看了很多教程第一步就是查有没有加壳。
但是是P-code的,记得以前在看雪那里看过fly大大有一篇也是说这个VB程序用VBExplorer 和WKT VBDebugger以下简称WKT来追码的。
但是我水平不够,我只能说说爆破,,这里先提一句高手可以给点意见,菜菜们可以自己动手,说的不对的地方还希望各位大大们能批评指正!2、在网上找了好几个工具vb decompiler这个感觉不错,我们用他先来分析一下先看看对对象树里面的forms发现这两个可一个是本地注册form一个是开启软件就弹出的注册窗口我们双击lgRegisterForm 旁边窗口弹出VERSION 5.00Begin VB.Form lgRegisterForm 'Offset: 0005F7A6Caption = "ЗлКдИлЧ??бВл"BackColor = &HE0E0E0&ScaleMode = 1AutoRedraw = FalseFontTransparent = TruePicture = "lgRegisterForm.frx":0BorderStyle = 0 'NoneIcon = "lgRegisterForm.frx":3005LinkTopic = "Form1"MaxButton = 0 'FalseClientLeft = 0ClientTop = 105ClientWidth = 8115ClientHeight = 5850StartUpPosition = 3 'Windows DefaultBegin Timer timerInit 'Offset: 00062B0A Enabled = 0 'FalseInterval = 1000Left = 7050Top = 3570EndBegin Timer timerFreeRegister 'Offset: 00062B2F Enabled = 0 'FalseInterval = 1500Left = 1170Top = 3060EndBegin TextBox teRegCode 'Offset: 00062B5C BackColor = &HF5F5F5&Left = 2760Top = 4320Width = 2985Height = 285TabIndex = 0BeginProperty FontName = "宋体"Size = 10.5Charset = 134Weight = 400Underline = 0 'FalseItalic = 0 'FalseStrikethrough = 0 'FalseEndPropertyEndBegin PictureBox Picture1 'Offset: 00062B91BackColor = &HFFFFFF&ForeColor = &H0&Left = 150Top = 435Width = 7830Height = 1095TabIndex = 1ScaleMode = 1AutoRedraw = FalseFontTransparent = TrueBorderStyle = 0 'NoneBegin Label lbWarn 'Offset: 00062BC1Caption = " 您用来注册本软件的注册码是非法的,或您在试用期过后仍然使用过本软件。
【VIP专享】教你PE系统下 破解系统密码

事先声明 本教程本着维护系统 故障排除之用途 想要利用此进行恶意更就是自己设的系统密码 时间一长 忘记 了 导致了无法进入系统的情况 恳求破解或更改系统密码的方法 其实这个很简单 利用 我 们熟知的 PE 系统(前提是 PE 系统内带系统密码破解工具) 就可以实现 推荐 使用老毛 桃 PE 最终修改版 今天 就以此为例 来讲解 如何破解 系统密码 大部分人 密码忘记 无法进入系统 运行 PE 就需要 利用 U 盘 来启动系统了 关于如何制 作启动 U 盘 本论坛就有很多此方面教程 不再赘言 不过 有些朋友是什么情况啊 就是老 爸 老妈 老哥 老姐 设了一个密码 自己不知道 他们利用此账户 限制自己使用电脑时间 自己想破解此 就很简单了 因为 起码 你可以进去系统了 那就可以直接将 PE 系统安装在 硬盘上了 就省去了制作启动 U 盘那一步 后面 不管怎么说 殊途同归 只要我们进入了 PE 系统 就好说了 进入 PE 系统后 开始—— 程序—— Windows 系统维护—— Windows 用户密码修复
即开始了我们的破解之旅 这是 我们的破解工具的界面
6.培养学生观察、思考、对比及分析综合的能力。过程与方法1.通过观察蚯蚓教的学实难验点,线培形养动观物察和能环力节和动实物验的能主力要;特2征.通。过教对学观方察法到与的教现学象手分段析观与察讨法论、,实对验线法形、动分物组和讨环论节法动教特学征准的备概多括媒,体继课续件培、养活分蚯析蚓、、归硬纳纸、板综、合平的面思玻维璃能、力镊。子情、感烧态杯度、价水值教观1和.通过学理解的蛔1虫.过观适1、察于程3观阅 六蛔寄.内列察读 、虫生出蚯材 让标容生3根常蚓料 学本教活.了 据见身: 生,师的2、解 问的体巩鸟 总看活形作 用蛔 题线的固类 结雌动态业 手虫 自形练与 本雄学、三: 摸对 学动状习人 节蛔生结4、、收 一人 后物和同类 课虫活构请一蚯集 摸体 回并颜步关 重的动、学、蚓鸟 蚯的 答归色学系 点形教生生让在类 蚓危 问纳。习从 并状学理列学平的害 题线蚯四线人 归、意特出四生面体以形蚓、形类 纳大图点常、五观玻存 表及动的鸟请动文 本小引以见引、察璃现 ,预物身类 3学物明 节有言及的、导巩蚯上状 是防的体之生和历 课什根蚯环怎学固蚓和, 干感主是所列环史 学么据蚓节二样生练引牛鸟 燥染要否以举节揭 到不上适动、区回习导皮类 还的特分分蚯动晓 的同节于物让分答。学纸减 是方征节布蚓物起 一,课穴并学蚯课生上少 湿法。?广的教, 些体所居归在生蚓前回运的 润;4泛益学鸟色生纳.靠物完的问答动原 的4蛔,处目类 习和活环.近在成前题蚯的因 ?了虫以。标就 生体的节身其实端并蚓快及 触解寄上知同 物表内特动体结验和总利的慢我 摸蚯生适识人 学有容点物前构并后结用生一国 蚯蚓在于与类 的什,的端中思端线问活样的 蚓人飞技有 基么引进主的的考?形题环吗十 体生行能着 本特出要几变以动,境?大 节活的1密 方征本“特节化下物.让并为珍 近习会形理切 法。课生征有以问的小学引什稀 腹性态解的 。2课物。什游题主.结生出么鸟 面和起结蛔关观题体么戏:要利明蚯?类 处适哪构虫系察:的特的特用确蚓等 ,于些特适。蛔章形殊形征板,这资 是穴疾点于可虫我态结式。书生种料 光居病是寄的们结构,五小物典, 滑生?重生鸟内学构,学、结的型以 还活5要生类部习与.其习巩鸟结的爱 是如原活生结了功颜消固类构线鸟 粗形何因的存构腔能色化练适特形护 糙态预之结的,肠相是系习于点动鸟 ?、防一构现你动适否统。飞都物为结蛔。和状认物应与的行是。主构虫课生却为和”其结的与题、病本理不蛔扁的他构特环以生?8特乐虫形观部特8征境小理三页点观的动位点梳相组等、这;,哪物教相,理适为方引些2鸟,育同师.知应单面导鸟掌类结了;?生识的位学你握日构解2互.。办特生认线益特了通动手征观识形减点它过,抄;察吗动少是们理生报5蛔?物,与的解.参一了虫它和有寄主蛔与份解结们环些生要虫其。蚯构都节已生特对中爱蚓。会动经活征人培鸟与飞物灭相。类养护人吗的绝适这造兴鸟类?主或应节成趣的为要濒的课情关什特临?就危感系么征灭来害教;?;绝学,育,习使。我比学们它生可们理以更解做高养些等成什的良么两好。类卫动生物习。惯根的据重学要生意回义答;的3.情通况过,了给解出蚯课蚓课与题人。类回的答关:系线,形进动行物生和命环科节学动价环值节观动的物教一育、。根教据学蛔重虫点病1.引蛔出虫蛔适虫于这寄种生典生型活的线结形构动和物生。理二特、点设;置2.问蚯题蚓让的学生生活思习考性预和习适。于穴居生活的形态、结构、生理等方面的特征;3养学生观察、思考、对比及分析综合的能力。过程与方法1.通过观察蚯蚓教的学实难验点,线培形养动观物察和能环力节和动实物验的能主力要;特2征.通。过教对学观方察法到与的教现学象手分段析观与察讨法论、,实对验线法形、动分物组和讨环论节法动教特学征准的备概多括媒,体继课续件培、养活分蚯析蚓、、归硬纳纸、板综、合平的面思玻维璃能、力镊。子情、感烧态杯度、价水值教观1和.通过学理解的蛔1虫.过观适1、察于程3观阅 六蛔寄.内列察读 、虫生出蚯材 让标容生3根常蚓料 学本教活.了 据见身: 生,师的2、解 问的体巩鸟 总看活形作 用蛔 题线的固类 结雌动态业 手虫 自形练与 本雄学、三: 摸对 学动状习人 节蛔生结4、、收 一人 后物和同类 课虫活构请一蚯集 摸体 回并颜步关 重的动、学、蚓鸟 蚯的 答归色学系 点形教生生让在类 蚓危 问纳。习从 并状学理列学平的害 题线蚯四线人 归、意特出四生面体以形蚓、形类 纳大图点常、五观玻存 表及动的鸟请动文 本小引以见引、察璃现 ,预物身类 3学物明 节有言及的、导巩蚯上状 是防的体之生和历 课什根蚯环怎学固蚓和, 干感主是所列环史 学么据蚓节二样生练引牛鸟 燥染要否以举节揭 到不上适动、区回习导皮类 还的特分分蚯动晓 的同节于物让分答。学纸减 是方征节布蚓物起 一,课穴并学蚯课生上少 湿法。?广的教, 些体所居归在生蚓前回运的 润;4泛益学鸟色生纳.靠物完的问答动原 的4蛔,处目类 习和活环.近在成前题蚯的因 ?了虫以。标就 生体的节身其实端并蚓快及 触解寄上知同 物表内特动体结验和总利的慢我 摸蚯生适识人 学有容点物前构并后结用生一国 蚯蚓在于与类 的什,的端中思端线问活样的 蚓人飞技有 基么引进主的的考?形题环吗十 体生行能着 本特出要几变以动,境?大 节活的1密 方征本“特节化下物.让并为珍 近习会形理切 法。课生征有以问的小学引什稀 腹性态解的 。2课物。什游题主.结生出么鸟 面和起结蛔关观题体么戏:要利明蚯?类 处适哪构虫系察:的特的特用确蚓等 ,于些特适。蛔章形殊形征板,这资 是穴疾点于可虫我态结式。书生种料 光居病是寄的们结构,五小物典, 滑生?重生鸟内学构,学、结的型以 还活5要生类部习与.其习巩鸟结的爱 是如原活生结了功颜消固类构线鸟 粗形何因的存构腔能色化练适特形护 糙态预之结的,肠相是系习于点动鸟 ?、防一构现你动适否统。飞都物为结蛔。和状认物应与的行是。主构虫课生却为和”其结的与题、病本理不蛔扁的他构特环以生?8特乐虫形观部特8征境小理三页点观的动位点梳相组等、这;,哪物教相,理适为方引些2鸟,育同师.知应单面导鸟掌类结了;?生识的位学你握日构解2互.。办特生认线益特了通动手征观识形减点它过,抄;察吗动少是们理生报5蛔?物,与的解.参一了虫它和有寄主蛔与份解结们环些生要虫其。蚯构都节已生特对中爱蚓。会动经活征人培鸟与飞物灭相。类养护人吗的绝适这造兴鸟类?主或应节成趣的为要濒的课情关什特临?就危感系么征灭来害教;?;绝学,育,习使。我比学们它生可们理以更解做高养些等成什的良么两好。类卫动生物习。惯根的据重学要生意回义答;的3.情通况过,了给解出蚯课蚓课与题人。类回的答关:系线,形进动行物生和命环科节学动价环值节观动的物教一育、。根教据学蛔重虫点病1.引蛔出虫蛔适虫于这寄种生典生型活的线结形构动和物生。理二特、点设;置2.问蚯题蚓让的学生生活思习考性预和习适。于穴居生活的形态、结构、生理等方面的特征;3.线形动物和环节动物的主要特征。
pe explorer 用法

pe explorer 用法PE Explorer是一款功能强大的可执行文件(EXE和DLL)编辑器和资源编辑器。
它提供了许多高级功能,帮助开发人员和逆向工程师分析和修改二进制文件。
本文将向您介绍PE Explorer的用法,并以一步一步的方式回答有关其功能和操作的问题。
一、PE Explorer的介绍PE Explorer是由Heaventools Software开发的一款Windows可执行文件编辑器。
它可以显示和编辑二进制文件的各个部分,包括PE头、节表、导入表、导出表、资源、重定位表等。
PE Explorer提供了一个直观的图形用户界面,允许用户在不同的视图(HEX、字符串、导入/导出等)之间切换,并提供了许多工具来修改二进制文件。
二、PE Explorer的功能1. PE头信息查看和编辑:PE Explorer可以解析并显示PE文件的头部信息,包括标识、节表、导入/导出表、资源、重定位表等。
用户可以对这些信息进行编辑和修改。
2. 节表编辑:PE Explorer可以显示PE文件的节表,并允许用户对每个节进行编辑和修改。
用户可以修改节的属性、名称、大小等。
3. 导入表和导出表编辑:PE Explorer可以显示PE文件的导入表和导出表,并允许用户对它们进行编辑。
用户可以添加或删除导入/导出函数,修改函数名称等。
4. 资源编辑:PE Explorer在一个视图中显示PE文件的资源,包括图片、图标、对话框、字符串等。
用户可以导入、导出和编辑这些资源。
5. 重定位表编辑:PE Explorer可以显示和编辑PE文件的重定位表。
用户可以修改重定位表中的地址,以解决代码在不同基址上的运行问题。
6. 代码分析和反汇编:PE Explorer具有内置的反汇编器,可以显示和分析PE文件中的代码。
用户可以查看反汇编代码、函数调用图和伪代码。
7. 脱壳和调试:PE Explorer具有脱壳功能,可以提取和解密加壳的可执行文件。
PE文件加密处理.

6S概述PE 文件加密,俗称对 PE 文件加壳。
通过加壳,修改了原程序的执行文件的组织结构,同时保护和隐藏了一些软件开发商的重要信息。
在运行加过壳的程序时,首先执行的程序实际上是外壳的程序,而这个外壳程序负责把原始的程序在内存中解压缩,并把控制权交还给解开后的真正的程序,由于一切工作都是在内存中运行,使用者根本不知道也不需要知道其运行过程,最终的执行结果和加壳之前是一样的。
对于一个软件开发商来说, 要想了解 PE文件加密处理的技术,第一步必须要研究 PE文件格式,研究 PE 文件格式不但可以给我们洞悉 Windows 结构的良机, 而且对于如何去保护自己开发的软件,有非常好的帮助,下面我们来介绍一下 PE 文件的相关知识。
PE 文件介绍PE文件的意思就是 Portable Executable (可移植的执行体。
它是 Win32环境自身所带的执行体文件格式。
它的一些特性继承自 Unix 的 Coff(commonobject file format文件格式。
“portable executable” (可移植的执行体意味着此文件格式是跨win32平台的:即使Windows 运行在非 Intel的 CPU上,任何 win32平台的 PE装载器都能识别和使用该文件格式。
当然,移植到不同的 CPU 上 PE 执行体必然得有一些改变。
所有 win32执行体都使用 PE文件格式, 包括动态库 NT的内核模式驱动程序 (kernel mode drivers 。
EXE 与 DLL 的差别完全是语义上的。
它们使用格式,其实都是 PE 文件格式。
唯一的区别就是其中有一个字段标识出是EXE还是 DLL, 还有很多 DLL 的扩展比如 OCX,CPL 等都是 PE 文件格式。
对于最新.NET的可执行文件格式, 它也是与当前的 Win32的 PE 文件格式兼容的。
但是实际上,在运行时期, .NET还是按元数据和中间语言来组织数据的, 它只是使用了 PE 文件的框架而已。
PE制作工具集

PE制作及修改常用工具一.核心文件类(PECMD.exe&Pelogon.exe)(Pecmd和Pelogon版本要对应)收集有PE2.8版PE2.9版PE3.2版和最新版PE3.3 二.PE安装软件类:1.老毛桃的PE安装器2.PE 安装器:winPE图形化安装工具3.引导文件编辑器三.PE制作类:1.vistape12rc1-base2.winpe_made_easy_1.0.0.3.exe3.Bartbuilder四.Dos系统启动或合盘类:1.Easyboot2.时空淘气包Aeromgr.3.Grub4dos五.Iso 制作类:1. UltraIso2.Winiso 3.Isobound4.cdimagegui.exe5.img2iso.exe六.Image文件制作类:1.WinImage2.VDM七.PE文件修改编辑类(一)Bin文件修改类:1.UltraEdit2.Winhex(二)Txtseup、Pecmdini编修类:1.Txtsetup.exe2.Pecmd.iniEdit1.XCAB2.MakeCAB3.CabExplorer4.WinCAB.exe5.WinRAR九.制作WIM文件工具1.Wimtool2.Wimnt.exe十.测试类(虚拟机)1.Vmware2.VPC3.qemu-0.8.1-windows4.WINCMD.exe十一.图片处理类:1.必备软件:PhotoShop (背景画面处理)、Color颜色表2.可选软件:FireWork 、Acdsee、HyperSnap、Icolove、PhotoTrub 十二.PE制作模板:1.WinPE(easyboot合盘模板).iso2.winpe(ram方式启动模板).iso。
PECompact壳研究与解密脱壳-电脑资料

PECompact壳研究与解密脱壳-电脑资料因为PECompact有2种加壳方式,我也拜读了DiKeN的"PECompact的OEP的简易查找方法",于是想深入研究一下.这是98的Notepad.exe使用PECompact(JCALG1)压缩过的结果0040AB20 >EB 06 JMP SHORT NOTEPAD.0040AB28<==第一条指令0040AB22 68 CC100000 PUSH 10CC<======这就是程序的原始OEP的RVA地址这是这是98的Notepad.exe使用PECompact(aPLib)压缩过的结果0187:0040AB1F 68EB0668CC PUSH DWORD CC6806EB<==第一条指令0187:0040AB24 1000 ADC [EAX],AL0187:0040AB26 00C3 ADD BL,AL0187:0040AB28 9C PUSHF0187:0040AB29 60 PUSHA这样就不能用DiKeN的"PECompact的OEP的简易查找方法"来找程序的OEP了.于是我手动跟踪了一下,并做了记录:Notepad.exe使用PECompact(JCALG1)压缩过0187:0040AAFF 65EB06 JMP SHORT 0040AB080187:0040AB02 68CC100000 PUSH DWORD 10CC0187:0040AB07 C3 RET0187:0040AB08 9C PUSHF0187:0040AB09 60 PUSHA0187:0040AB0A E802000000 CALL 0040AB11 //这里按F8继续.0187:0040AB0F 33C0 XOR EAX,EAX0187:0040AB13 83C004 ADD EAX,BYTE +04......按F12,到了这里0187:0040AB77 F3A5 REP MOVSD0187:0040AB79 8BFB MOV EDI,EBX0187:0040AB7B C3 RET //光标停在这里0187:0040AB7C BDCF400000 MOV EBP,40CF0187:0040AB81 8BF7 MOV ESI,EDI......再按F12,到了这里0187:0040D551 68CC104000 PUSH DWORD 004010CC 0187:0040D556 C20400 RET 04 //返回OEP 处了!0187:0040D5598BB55B974000 MOV ESI,[EBP+0040975B]到了OEP直接Makepe.Notepad.exe使用PECompact(aPLib)压缩0187:0040AB1F 68EB0668CC PUSH DWORD CC6806EB 0187:0040AB24 1000 ADC [EAX],AL0187:0040AB26 00C3 ADD BL,AL0187:0040AB28 9C PUSHF0187:0040AB29 60 PUSHA0187:0040AB2A E802000000 CALL 0040AB31 //F8进去后0187:0040AB2F 33C0 XOR EAX,EAX0187:0040AB31 8BC4 MOV EAX,ESP......按F120187:0040AB97 F3A5 REP MOVSD0187:0040AB9B C3 RET //停在这里0187:0040AB9C BDCF400000 MOV EBP,40CF......再按F120187:0040D54F 9D POPF0187:0040D550 50 PUSH EAX0187:0040D551 68CC104000 PUSH DWORD 004010CC 0187:0040D556 C20400 RET 04 //又返回OEP了,怎么这么简单?这里还有一点要说明,我发现使用PECompact压缩过的程序,用PROCDUMP或LordPE就算Dump出来还是不能使用对于Dump出来的程序必须要修改入口地址才可以记得以前在脱PECompact的壳时用PROCDUMP来Dump就非法,顺便用TRW跟了一下,有一点点体会如下:记得在TRW中输入Faults on,然后用PROCDUMP脱壳吧,然后TRW就跳出来了0187:004055C3 8B7D10 MOV EDI,[EBP+10]0187:004055C6 56 PUSH ESI0187:004055C7 51 PUSH ECX0187:004055C8 AC LODSB //停在这里,于是下断 bpx eip-1之后就F50187:004055C9 AE SCASB0187:004055CA 750B JNZ 004055D70187:004055CC 803F00 CMP BYTE [EDI],00然后重新运行PROCDUMP,继续脱壳0187:004055C3 8B7D10 MOV EDI,[EBP+10]0187:004055C6 56 PUSH ESI0187:004055C7 51 PUSH ECX //断在这里让我们来修改吧a eip+1nop回车F5看看是不是正常脱壳了啊!当然也可以直接修改主程序,以后就不用这样反复修改了!查找8B 7D 10 56 51 AC AE,改为8B 7D 10 56 51 90 AE就可以了!不知道会不会有什么不对,还请高手指正!后记,其实我在跟踪的时候并不是上面写的时候那么容易,本来我是一步一步慢慢走的,后来跟了几遍,就发现了这个规律,所以没有详细写跟踪过程,只是把自己的总结写了出来,如果有什么不足或欠缺,还请多多指教,本人才疏学浅,还需要大家的帮助修正一点错误关于Procdump的修改,当时没有发现,如果修改了主程序,使用脱壳脚本的时候会有问题,建议保留原来的备份.修改的程序作为专门脱用未修改程序脱壳时非法的工具。
【优质】pe系统改用户密码-精选word文档 (6页)

本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!== 本文为word格式,下载后可方便编辑和修改! ==pe系统改用户密码篇一:pe工具破解系统密码工具介绍1. 软件名字:通用PE工具箱(英文:Ton8PE_V5.0)2. 该pe系统可以安装到U盘、当前系统。
(如果系统是正常的就安装到当前系统)1. 软件安装步骤2. 软件安装步骤3. 软件安装步骤备注:1.安装到当前系统;2、制作U盘启动的话,需要格式化U盘哦!(另外还需在电脑bios里设置为U盘启动)设置方法请百度,电脑不一样,设置方法也不一样。
4. 软件安装步骤备注:1.这个等待时间我们设置10s就可以了!(反应慢的话就设置长一点)软件安装完成开机启动界面如下图备注:按下键选择“通用PE工具箱”篇二:如何用windows pe破解XP的开机密码(管理员密码)如何用windows pe破解XP的开机密码(是管理员密码)我想知道详细的步骤如何破解XP开机密码当WindowsXP登录密码丢失时,我们可以针对不同的情况采用不同的办法来解决:(1)如果在安装WindowsXP时,Administrator密码设置为空。
大家可以在系统引导的时候按F8进入安全模式,这里的Administrator口令为空,可以直接进入,进入后对帐户和密码进行设置即可。
(2)如果设置了Administrator口令,解密的方法是:方法1、用密码重设盘设新密码进入安全模式登录到WindowsXP后,按下“CtrlAltDel”组合键,出现“Windows安全”窗口,点击选项中“更改密码”按钮,出现更改密码窗口。
这个窗口中,将当前用户的密码备份,点击左下角“备份”按钮,激活“忘记密码向导”,按照提示创建密码重设盘。
如果在WindowsXP的登录窗口输入了错误的密码,就会弹出“登录失败”窗口,如果你的确想不起来自己的密码是什么时,可点击“重设”按钮,启动密码重设向导,通过刚才所创建的密码重设盘,重新设定密码,登录WindowsXP。
解密工具大全

解密工具大全以下含扩了从系统密码到应用软件、最高深的BIOS到最常见的ZIP、RAR 压缩文件几乎所有的密码解读、解密工具(共计102条),以方便大家使用。
建议迅雷下载。
唯有一点请朋友们切记:不要将这些超级解密工具用于非法的或有损他人利益的情况!!1、1-2-3 Key 6.3.859/demos/123kd.exe可以帮助你恢复加了密码的Lotus1-2-3文件,支持Lotus1-2-3所有版本和多种语言密码。
使用上相当简单,叁个部奏即可完成密码恢复。
只需执行1-2-3Key,在将Lotus1-2-3文件(*.wk1、*.wk3、*.wk4、*.123)拖曳到1-2-3Key的视窗上即可将密码恢复,请勿将此程序用于不法用途!...2、123 Write All Stored Passwords (WASP) 2.01/download/123wasp_setup.exe可以将Windows操作系统密码清单(*.PWL)中的密码显示出来的软件.使用相当简单,执行后按下界面上的「AnalyzePasswordFileContent」即可将Windows操作系统密码清单(*.PWL)内的各项程序使用者名称和密码显示于界面上,这时你即可将这些使用者名称和密码记录下来,请勿将此软件用于不法用途!.../password ... RecoveryInstall.exe邮件帐号解密工具,目前支持OutlookExpress及Outlook邮件工具,只要打开邮件工具,再打开ABFPasswordRecovery,就会将所有帐户(包含邮件、新闻群组..等)列出来,并将「****」星号部分的密码显示出来。
...4、Accent Access Password Recovery 2.02/store/a2pr_202_setup.exe MicrsoftAccess97/2000密码破解工具!该软件虽然非常小巧,但功能还算不错,大家可以下载试一试。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文t; PE
IMAGE_DOS_HEADER STRUCT { WORD e_magic // DOS可执行文件标记 。。。。。。 DWORD e_lfanew // 指向PE文件头(+3ch) } PIMAGE_DOS_HEADER ENDS
PIMAGE_DOS_HEADER pDH = NULL;
FileOptionalHeader 读取
PIMAGE_OPTIONAL_HEADER GetOptionalHeader(LPVOID ImageBase) { PIMAGE_DOS_HEADER pDH = NULL; PIMAGE_NT_HEADERS pNtH = NULL; PIMAGE_OPTIONAL_HEADER pOH = NULL; if( !IsPEFile(ImageBase) ) return NULL; pDH = (PIMAGE_DOS_HEADER)ImageBase; pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH -> e_lfanew); pOH = &pNtH -> OptionalHeader; return pOH; }
wsprintf()
• FileHeader 和 FileOptionalHeader 的信息若要 以十六进制方式显示在编辑控件上,我们可以利 用一个强大的函数: wsprintf() 将欲显示的值进行 格式化。 • 参考代码: • ShowFileHeaderInfo() • ShowOptionalHeaderInfo()
FileHeader 读取
PIMAGE_FILE_HEADER GetFileHeader(LPVOID ImageBase) { PIMAGE_DOS_HEADER pDH = NULL; PIMAGE_NT_HEADERS pNtH = NULL; PIMAGE_FILE_HEADER pFH = NULL; if( !IsPEFile(ImageBase) ) return NULL; pDH = (PIMAGE_DOS_HEADER)ImageBase; pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH -> e_lfanew); pFH = &pNtH -> FileHeader; return pFH; }
工具篇 -- PEInfo
• 实践是检验学习成果的唯一标准!通过本章节的 学习,大家可以学会自己编写一个PE结构的分析 工具,这对于理解PE格式和相关原理非常有帮助 的^~^
• 程序预览:PEInfo.exe
• 编程思路:文件格式检查 -> FileHeader读取 -> FileOptionalHeader读取 -> 数据目录表读取 -> 区块表读取 -> 输出表读取 -> 输入表读取
• 判断pDH -> e_magic == ‘MZ’; 并通过 pDH -> e_lfanew 找到 IMAGE_NT_HEADERS
文件格式检查
IMAGE_NT_HEADERS STRUCT { DWORD Signature IMAGE_FILE_HEADER FileHeader IMAGE_OPTIONAL_HEADER32 OptionalHeader } PIMAGE_NT_HEADERS ENDS PIMAGE_NT_HEADERS pNTH = NULL;
• 检测pNTH -> Signature == ‘PE’; • 至此,我们确定他符合PE文件的特征。 • 具体C++(API编程即将推出)实现代码:
FileHeader 读取
PIMAGE_NT_HEADERS GetNtHeaders(LPVOID ImageBase) { if( !IsPEFile(ImageBase) ) return NULL; PIMAGE_NT_HEADERS pNtH; PIMAGE_DOS_HEADER pDH; pDH = (PIMAGE_DOS_HEADER)ImageBase; pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH ->e_lfanew); return pNtH; }
工具篇 -- PEInfo
• PE格式分析工具的编写并不难,主要就是对PE格 式的各个结构进行定位。 • 我们在头文件里边定义了一个MAP_FILE_STRUCT 结构来存放有关信息。
typedef struct _MAP_FILE_STRUCT { HANDLE hFile; // 文件句柄 HANDLE hMapping; // 映射文件句柄 LPVOID ImageBase; // 映像基址 } MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;