studype幫助概況頁(yè)面

替換圖 改變基 【PE頭頁(yè)面 在位編 添加區(qū) 插入?yún)^(qū) 刪除區(qū) 編輯區(qū) 替換區(qū) 追加數(shù)字簽名/附加數(shù) 查看、刪除，另存數(shù)字簽名/附加數(shù) 添加 其 增加/刪除導(dǎo)出函 在位編 其 替換圖 另存資 【.net頁(yè)面 【其他PE相關(guān)功能 PE清理工 PE重建工 PE文件的Asm分析功 Asm編輯功 匯編代碼轉(zhuǎn)Hex代碼工 插件功 進(jìn)程功 參數(shù)設(shè) 務(wù)必信 參考資 感謝【軟件說(shuō)明】支持PE32、PE64、.netPE，提供豐富的PERVAFOAPEPEPE行的實(shí)際地址Va中轉(zhuǎn)換，這個(gè)浮動(dòng)窗口可以讓你隨時(shí)隨地的轉(zhuǎn)換這幾個(gè)數(shù)據(jù)?！净静僮髡f(shuō)明】【打開(kāi)一個(gè)文件】式打開(kāi)一個(gè)文件進(jìn)行分析。如果是PE文件或者PEPE展開(kāi)詳當(dāng)然你也可以選擇只關(guān)注PE的功能。你可以通過(guò)菜單的【選項(xiàng)】-【參數(shù)設(shè)置】或者工具欄的【設(shè)置】按鈕，打開(kāi)參數(shù)設(shè)置框，選擇只使用PE相關(guān)的功能。頁(yè)面說(shuō)明【概況頁(yè)面替換圖本功能支持ICO格式和PNG格式的圖標(biāo)。但是要注意，新圖標(biāo)文件大小過(guò)原有圖標(biāo)文件大小。這些基本信息都在框上顯示著呢。需要說(shuō)明的是，顯示哪個(gè)圖標(biāo)是系統(tǒng)自PE文改變基額外數(shù)據(jù)處理特征碼分析在這個(gè)頁(yè)面，你已經(jīng)看到PE文件可能的加殼類(lèi)型了，如果初步檢查沒(méi)有結(jié)果，或許會(huì)在userdb文件里進(jìn)一步搜索PE文件的特征碼，當(dāng)然這會(huì)相對(duì)比較耗時(shí)。學(xué)分析如果你想知道這個(gè)PE文件里邊用了什么樣的學(xué)工具，你可以點(diǎn)擊這個(gè)按鈕，搜索一下文件里的學(xué)特征碼，這樣你在這個(gè)PE文件的時(shí)候就心中有數(shù)，可能軟件的方式是用了這些MD5，SHA512或者其他的，誰(shuí)知道呢?！綪Eheader和OptionalHeader的基本信息?！緮?shù)據(jù)表頁(yè)面】 在位編需要說(shuō)明的是，數(shù)據(jù)表支持在位編輯。但是你只能編輯rvasize兩項(xiàng)，其他項(xiàng)依賴(lài)于這【區(qū)段頁(yè)面清理空區(qū)段添加區(qū)插入?yún)^(qū)刪除區(qū)編輯區(qū)在位編輯區(qū)段替換區(qū)向下合并區(qū)段擴(kuò)大最后一個(gè)區(qū)段追加數(shù)字簽名/附加查看、刪除，另存/附加數(shù)【導(dǎo)入表頁(yè)面】名字的導(dǎo)入函數(shù)顯示其名稱(chēng)，沒(méi)有名稱(chēng)只有序號(hào)的函數(shù)其hint和名稱(chēng)顯示為“-添加選擇你想要添加的函數(shù)（Shift+鼠標(biāo)左鍵多選以及雙擊函數(shù)列表項(xiàng)添加到右邊列其【導(dǎo)出表頁(yè)面】出表dll及函數(shù)位置。/輸入函數(shù)在位編rvafunctionname可以編輯。因?yàn)楸砀裰衅淦洹举Y源頁(yè)面PE文件里的資源。點(diǎn)擊每項(xiàng)資源都可以顯示其內(nèi)容。如果是圖形資替換圖另存資信息，你得到的也只是其16進(jìn)制數(shù)據(jù)。【重定位頁(yè)面】顧名思義，重定位頁(yè)面展示PE文件的重。Exe文件的重可有可無(wú)，所以【異常頁(yè)面PE文件的異常信息。需要特別說(shuō)明的是，x86文件沒(méi)有異常表的信息，本頁(yè)面及用于x64的PE文件。本頁(yè)面展示.netFramework文件的基本信息。正如大家所知道的，.netPEPE并不【其他PE相關(guān)功能PE相關(guān)其他功能。這些功能不依賴(lài)于某一項(xiàng)操作，所以放在單獨(dú)的位置。你可以從菜單選擇使用他們，有些可以從圖標(biāo)快捷使用。當(dāng)你打開(kāi)了一個(gè)PE文PE清理-【工具】-【清理工具Peclean…PE重建-【工具】-PE文件…如果你了解PE文件，這些選項(xiàng)都一目了然。唯一需要解釋的是：項(xiàng)Dosheader數(shù)據(jù)的原因。PE文件Asm分析功-【工具】-/修改匯編代碼…】BeaEnginex86x64OD的Va的方式。GotoOEPPE頭里邊指定的EP，并不是指脫殼后的OEP，抱歉讓有些期望自動(dòng)脫殼的朋友失望了。Asm編輯-jmp401000h如果你輸入的匯編代碼是合法的，你將在【Opcodehex代/OpcodeOpcode長(zhǎng)度一致，否則PE文件運(yùn)行會(huì)不會(huì)出錯(cuò)。如果長(zhǎng)度不一致，請(qǐng)手動(dòng)補(bǔ)充N(xiāo)op或者在【十六進(jìn)制編輯窗口】手動(dòng)輸入0x90。匯編對(duì)比功能工具位置：菜單--【匯編代碼比較…為了保護(hù)自己的知識(shí)，對(duì)修改后的文件加了殼或者其他保護(hù)措施，本工具無(wú)法比較出正PE文件，也可以比較進(jìn)程以及進(jìn)程中的模塊。本工具預(yù)設(shè)只能對(duì) 匯編代碼轉(zhuǎn)Hex代碼工具工具位置：菜單--【匯編代碼轉(zhuǎn)機(jī)器碼…PE文件才能做匯編代碼到機(jī)器碼的轉(zhuǎn)換。你也可以直接輸入?yún)R編代PE文件的機(jī)器碼轉(zhuǎn)匯編代碼的工具？我以前寫(xiě)過(guò)一個(gè)把字符串轉(zhuǎn)換為匯編代碼，用于在OD/x64Dbg/Ida中直接粘貼的工具要不要繼承到本軟件中來(lái)？思…選擇轉(zhuǎn)換的模式是x86文件搜索功能工具位置：菜單--【在文件中搜索…如圖所示，你可以選擇搜索十六進(jìn)制代碼、常數(shù)、unicode字符串、ansi字符串或者匯編代插件功本程序直接集成Scylla，對(duì)應(yīng)x86版本支Scylla_x86，x64版本Scylla_x64。對(duì)x86版，直接支持Peid的插件，你可以想要加載的Peid插件copy到本軟件所在的plugins_x86Peid插件編寫(xiě)不規(guī)范，有可能會(huì)導(dǎo)致本軟件。如果這種情況發(fā)生，請(qǐng)移除（刪除）相應(yīng)的插件?！酒渌δ苁M(jìn)制編輯窗口大數(shù)進(jìn)制轉(zhuǎn)換功能工具位置：菜單--【大數(shù)進(jìn)制轉(zhuǎn)換器…Sha256計(jì)算或者PE文件中有這樣的數(shù)據(jù)時(shí)，或許你需要知道這