PE查看工具编写 - 解密系列【工具篇】

前几天在论坛上下载了个一我爱背单词软件，发现这款软件不错，然后就到他的首页上看看，发现一个我爱学音标软件，直接在论坛上找找，找不到这方面的破解文件，只能自己动手了！1、看了很多教程第一步就是查有没有加壳。

但是是P-code的，记得以前在看雪那里看过fly大大有一篇也是说这个VB程序用VBExplorer 和WKT VBDebugger以下简称WKT来追码的。

但是我水平不够，我只能说说爆破，，这里先提一句高手可以给点意见，菜菜们可以自己动手，说的不对的地方还希望各位大大们能批评指正！2、在网上找了好几个工具vb decompiler这个感觉不错，我们用他先来分析一下先看看对对象树里面的forms发现这两个可一个是本地注册form一个是开启软件就弹出的注册窗口我们双击lgRegisterForm 旁边窗口弹出VERSION 5.00Begin VB.Form lgRegisterForm 'Offset: 0005F7A6Caption = "ЗлКдИлЧ??бВл"BackColor = &HE0E0E0&ScaleMode = 1AutoRedraw = FalseFontTransparent = TruePicture = "lgRegisterForm.frx":0BorderStyle = 0 'NoneIcon = "lgRegisterForm.frx":3005LinkTopic = "Form1"MaxButton = 0 'FalseClientLeft = 0ClientTop = 105ClientWidth = 8115ClientHeight = 5850StartUpPosition = 3 'Windows DefaultBegin Timer timerInit 'Offset: 00062B0A Enabled = 0 'FalseInterval = 1000Left = 7050Top = 3570EndBegin Timer timerFreeRegister 'Offset: 00062B2F Enabled = 0 'FalseInterval = 1500Left = 1170Top = 3060EndBegin TextBox teRegCode 'Offset: 00062B5C BackColor = &HF5F5F5&Left = 2760Top = 4320Width = 2985Height = 285TabIndex = 0BeginProperty FontName = "宋体"Size = 10.5Charset = 134Weight = 400Underline = 0 'FalseItalic = 0 'FalseStrikethrough = 0 'FalseEndPropertyEndBegin PictureBox Picture1 'Offset: 00062B91BackColor = &HFFFFFF&ForeColor = &H0&Left = 150Top = 435Width = 7830Height = 1095TabIndex = 1ScaleMode = 1AutoRedraw = FalseFontTransparent = TrueBorderStyle = 0 'NoneBegin Label lbWarn 'Offset: 00062BC1Caption = " 您用来注册本软件的注册码是非法的，或您在试用期过后仍然使用过本软件。

pe explorer 用法PE Explorer是一款功能强大的可执行文件（EXE和DLL）编辑器和资源编辑器。

它提供了许多高级功能，帮助开发人员和逆向工程师分析和修改二进制文件。

本文将向您介绍PE Explorer的用法，并以一步一步的方式回答有关其功能和操作的问题。

一、PE Explorer的介绍PE Explorer是由Heaventools Software开发的一款Windows可执行文件编辑器。

它可以显示和编辑二进制文件的各个部分，包括PE头、节表、导入表、导出表、资源、重定位表等。

PE Explorer提供了一个直观的图形用户界面，允许用户在不同的视图（HEX、字符串、导入/导出等）之间切换，并提供了许多工具来修改二进制文件。

二、PE Explorer的功能1. PE头信息查看和编辑：PE Explorer可以解析并显示PE文件的头部信息，包括标识、节表、导入/导出表、资源、重定位表等。

用户可以对这些信息进行编辑和修改。

2. 节表编辑：PE Explorer可以显示PE文件的节表，并允许用户对每个节进行编辑和修改。

用户可以修改节的属性、名称、大小等。

3. 导入表和导出表编辑：PE Explorer可以显示PE文件的导入表和导出表，并允许用户对它们进行编辑。

用户可以添加或删除导入/导出函数，修改函数名称等。

4. 资源编辑：PE Explorer在一个视图中显示PE文件的资源，包括图片、图标、对话框、字符串等。

用户可以导入、导出和编辑这些资源。

5. 重定位表编辑：PE Explorer可以显示和编辑PE文件的重定位表。

用户可以修改重定位表中的地址，以解决代码在不同基址上的运行问题。

6. 代码分析和反汇编：PE Explorer具有内置的反汇编器，可以显示和分析PE文件中的代码。

用户可以查看反汇编代码、函数调用图和伪代码。

7. 脱壳和调试：PE Explorer具有脱壳功能，可以提取和解密加壳的可执行文件。

6S概述PE 文件加密,俗称对 PE 文件加壳。

通过加壳,修改了原程序的执行文件的组织结构,同时保护和隐藏了一些软件开发商的重要信息。

在运行加过壳的程序时,首先执行的程序实际上是外壳的程序,而这个外壳程序负责把原始的程序在内存中解压缩,并把控制权交还给解开后的真正的程序,由于一切工作都是在内存中运行,使用者根本不知道也不需要知道其运行过程,最终的执行结果和加壳之前是一样的。

对于一个软件开发商来说, 要想了解 PE文件加密处理的技术,第一步必须要研究 PE文件格式,研究 PE 文件格式不但可以给我们洞悉 Windows 结构的良机, 而且对于如何去保护自己开发的软件,有非常好的帮助,下面我们来介绍一下 PE 文件的相关知识。

PE 文件介绍PE文件的意思就是 Portable Executable (可移植的执行体。

它是 Win32环境自身所带的执行体文件格式。

它的一些特性继承自 Unix 的 Coff(commonobject file format文件格式。

“portable executable” (可移植的执行体意味着此文件格式是跨win32平台的:即使Windows 运行在非 Intel的 CPU上,任何 win32平台的 PE装载器都能识别和使用该文件格式。

当然,移植到不同的 CPU 上 PE 执行体必然得有一些改变。

所有 win32执行体都使用 PE文件格式, 包括动态库 NT的内核模式驱动程序 (kernel mode drivers 。

EXE 与 DLL 的差别完全是语义上的。

它们使用格式,其实都是 PE 文件格式。

唯一的区别就是其中有一个字段标识出是EXE还是 DLL, 还有很多 DLL 的扩展比如 OCX,CPL 等都是 PE 文件格式。

对于最新.NET的可执行文件格式, 它也是与当前的 Win32的 PE 文件格式兼容的。

但是实际上,在运行时期, .NET还是按元数据和中间语言来组织数据的, 它只是使用了 PE 文件的框架而已。

PE制作及修改常用工具一．核心文件类(PECMD.exe&Pelogon.exe)（Pecmd和Pelogon版本要对应）收集有PE2.8版PE2.9版PE3.2版和最新版PE3.3 二．PE安装软件类：1．老毛桃的PE安装器2．PE 安装器：winPE图形化安装工具3．引导文件编辑器三．PE制作类：1．vistape12rc1-base2．winpe_made_easy_1.0.0.3.exe3．Bartbuilder四．Dos系统启动或合盘类：1．Easyboot2．时空淘气包Aeromgr.3．Grub4dos五．Iso 制作类：1． UltraIso2．Winiso 3．Isobound4．cdimagegui.exe5．img2iso.exe六．Image文件制作类：1．WinImage2．VDM七．PE文件修改编辑类（一）Bin文件修改类：1．UltraEdit2．Winhex（二）Txtseup、Pecmdini编修类：1．Txtsetup.exe2．Pecmd.iniEdit1.XCAB2.MakeCAB3.CabExplorer4.WinCAB.exe5.WinRAR九．制作WIM文件工具1.Wimtool2．Wimnt.exe十．测试类（虚拟机）1．Vmware2．VPC3．qemu-0.8.1-windows4．WINCMD.exe十一.图片处理类：1．必备软件：PhotoShop (背景画面处理)、Color颜色表2．可选软件：FireWork 、Acdsee、HyperSnap、Icolove、PhotoTrub 十二.PE制作模板：1．WinPE(easyboot合盘模板).iso2．winpe(ram方式启动模板).iso。

PECompact壳研究与解密脱壳-电脑资料因为PECompact有2种加壳方式,我也拜读了DiKeN的"PECompact的OEP的简易查找方法",于是想深入研究一下.这是98的Notepad.exe使用PECompact(JCALG1)压缩过的结果0040AB20 >EB 06 JMP SHORT NOTEPAD.0040AB28<==第一条指令0040AB22 68 CC100000 PUSH 10CC<======这就是程序的原始OEP的RVA地址这是这是98的Notepad.exe使用PECompact(aPLib)压缩过的结果0187:0040AB1F 68EB0668CC PUSH DWORD CC6806EB<==第一条指令0187:0040AB24 1000 ADC [EAX],AL0187:0040AB26 00C3 ADD BL,AL0187:0040AB28 9C PUSHF0187:0040AB29 60 PUSHA这样就不能用DiKeN的"PECompact的OEP的简易查找方法"来找程序的OEP了.于是我手动跟踪了一下,并做了记录:Notepad.exe使用PECompact(JCALG1)压缩过0187:0040AAFF 65EB06 JMP SHORT 0040AB080187:0040AB02 68CC100000 PUSH DWORD 10CC0187:0040AB07 C3 RET0187:0040AB08 9C PUSHF0187:0040AB09 60 PUSHA0187:0040AB0A E802000000 CALL 0040AB11 //这里按F8继续.0187:0040AB0F 33C0 XOR EAX,EAX0187:0040AB13 83C004 ADD EAX,BYTE +04......按F12,到了这里0187:0040AB77 F3A5 REP MOVSD0187:0040AB79 8BFB MOV EDI,EBX0187:0040AB7B C3 RET //光标停在这里0187:0040AB7C BDCF400000 MOV EBP,40CF0187:0040AB81 8BF7 MOV ESI,EDI......再按F12,到了这里0187:0040D551 68CC104000 PUSH DWORD 004010CC 0187:0040D556 C20400 RET 04 //返回OEP 处了!0187:0040D5598BB55B974000 MOV ESI,[EBP+0040975B]到了OEP直接Makepe.Notepad.exe使用PECompact(aPLib)压缩0187:0040AB1F 68EB0668CC PUSH DWORD CC6806EB 0187:0040AB24 1000 ADC [EAX],AL0187:0040AB26 00C3 ADD BL,AL0187:0040AB28 9C PUSHF0187:0040AB29 60 PUSHA0187:0040AB2A E802000000 CALL 0040AB31 //F8进去后0187:0040AB2F 33C0 XOR EAX,EAX0187:0040AB31 8BC4 MOV EAX,ESP......按F120187:0040AB97 F3A5 REP MOVSD0187:0040AB9B C3 RET //停在这里0187:0040AB9C BDCF400000 MOV EBP,40CF......再按F120187:0040D54F 9D POPF0187:0040D550 50 PUSH EAX0187:0040D551 68CC104000 PUSH DWORD 004010CC 0187:0040D556 C20400 RET 04 //又返回OEP了,怎么这么简单?这里还有一点要说明,我发现使用PECompact压缩过的程序,用PROCDUMP或LordPE就算Dump出来还是不能使用对于Dump出来的程序必须要修改入口地址才可以记得以前在脱PECompact的壳时用PROCDUMP来Dump就非法,顺便用TRW跟了一下,有一点点体会如下:记得在TRW中输入Faults on,然后用PROCDUMP脱壳吧,然后TRW就跳出来了0187:004055C3 8B7D10 MOV EDI,[EBP+10]0187:004055C6 56 PUSH ESI0187:004055C7 51 PUSH ECX0187:004055C8 AC LODSB //停在这里,于是下断 bpx eip-1之后就F50187:004055C9 AE SCASB0187:004055CA 750B JNZ 004055D70187:004055CC 803F00 CMP BYTE [EDI],00然后重新运行PROCDUMP,继续脱壳0187:004055C3 8B7D10 MOV EDI,[EBP+10]0187:004055C6 56 PUSH ESI0187:004055C7 51 PUSH ECX //断在这里让我们来修改吧a eip+1nop回车F5看看是不是正常脱壳了啊!当然也可以直接修改主程序,以后就不用这样反复修改了!查找8B 7D 10 56 51 AC AE,改为8B 7D 10 56 51 90 AE就可以了!不知道会不会有什么不对,还请高手指正!后记,其实我在跟踪的时候并不是上面写的时候那么容易,本来我是一步一步慢慢走的,后来跟了几遍,就发现了这个规律,所以没有详细写跟踪过程,只是把自己的总结写了出来,如果有什么不足或欠缺,还请多多指教,本人才疏学浅,还需要大家的帮助修正一点错误关于Procdump的修改,当时没有发现,如果修改了主程序,使用脱壳脚本的时候会有问题,建议保留原来的备份.修改的程序作为专门脱用未修改程序脱壳时非法的工具。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==pe系统改用户密码篇一：pe工具破解系统密码工具介绍1. 软件名字：通用PE工具箱（英文:Ton8PE_V5.0）2. 该pe系统可以安装到U盘、当前系统。

（如果系统是正常的就安装到当前系统）1. 软件安装步骤2. 软件安装步骤3. 软件安装步骤备注：1.安装到当前系统；2、制作U盘启动的话，需要格式化U盘哦！（另外还需在电脑bios里设置为U盘启动）设置方法请百度，电脑不一样，设置方法也不一样。

4. 软件安装步骤备注：1.这个等待时间我们设置10s就可以了！（反应慢的话就设置长一点）软件安装完成开机启动界面如下图备注：按下键选择“通用PE工具箱”篇二：如何用windows pe破解XP的开机密码(管理员密码)如何用windows pe破解XP的开机密码（是管理员密码）我想知道详细的步骤如何破解XP开机密码当WindowsXP登录密码丢失时，我们可以针对不同的情况采用不同的办法来解决：(1)如果在安装WindowsXP时，Administrator密码设置为空。

大家可以在系统引导的时候按F8进入安全模式，这里的Administrator口令为空，可以直接进入，进入后对帐户和密码进行设置即可。

(2)如果设置了Administrator口令，解密的方法是：方法1、用密码重设盘设新密码进入安全模式登录到WindowsXP后，按下“CtrlAltDel”组合键，出现“Windows安全”窗口，点击选项中“更改密码”按钮，出现更改密码窗口。

这个窗口中，将当前用户的密码备份，点击左下角“备份”按钮，激活“忘记密码向导”，按照提示创建密码重设盘。

如果在WindowsXP的登录窗口输入了错误的密码，就会弹出“登录失败”窗口，如果你的确想不起来自己的密码是什么时，可点击“重设”按钮，启动密码重设向导，通过刚才所创建的密码重设盘，重新设定密码，登录WindowsXP。

解密工具大全以下含扩了从系统密码到应用软件、最高深的BIOS到最常见的ZIP、RAR 压缩文件几乎所有的密码解读、解密工具（共计102条），以方便大家使用。

建议迅雷下载。

唯有一点请朋友们切记：不要将这些超级解密工具用于非法的或有损他人利益的情况！！1、1-2-3 Key 6.3.859/demos/123kd.exe可以帮助你恢复加了密码的Lotus1-2-3文件，支持Lotus1-2-3所有版本和多种语言密码。

使用上相当简单，叁个部奏即可完成密码恢复。

只需执行1-2-3Key，在将Lotus1-2-3文件(*.wk1、*.wk3、*.wk4、*.123)拖曳到1-2-3Key的视窗上即可将密码恢复，请勿将此程序用于不法用途！...2、123 Write All Stored Passwords (WASP) 2.01/download/123wasp_setup.exe可以将Windows操作系统密码清单(*.PWL)中的密码显示出来的软件.使用相当简单，执行后按下界面上的「AnalyzePasswordFileContent」即可将Windows操作系统密码清单(*.PWL)内的各项程序使用者名称和密码显示于界面上，这时你即可将这些使用者名称和密码记录下来，请勿将此软件用于不法用途！.../password ... RecoveryInstall.exe邮件帐号解密工具，目前支持OutlookExpress及Outlook邮件工具，只要打开邮件工具，再打开ABFPasswordRecovery，就会将所有帐户(包含邮件、新闻群组..等)列出来，并将「****」星号部分的密码显示出来。

...4、Accent Access Password Recovery 2.02/store/a2pr_202_setup.exe MicrsoftAccess97/2000密码破解工具！该软件虽然非常小巧，但功能还算不错，大家可以下载试一试。