StudyPE+是一款PE32&PE64查看/分析集成工具,提供了丰富的PE编辑功能,还可以对PE 内多种数据进行搜索,还拥有有限的图片及文本格式文件查看功能!
功能介绍
支持PE32、PE64、.net PE,提供丰富的PE分析功能。
提供丰富的PE编辑功能。
提供 RVA FOA 互相转换功能。
提供 PE 反汇编及反汇编编辑、比较功能。
提供 PE 内多种数据搜索功能。
有限的查壳功能。
有限的 PE 资源查看处理功能。
有限的图片及文本格式文件查看功能。
使用说明
1. 所有含有列表的页面都可以使用右键菜单选择相应的功能。
2. 大多数显示的图片都可以使用右键菜单选择相应的功能。
3. 所有的表格都可以【双击鼠标中键】复制整个表格到剪贴板。
4. 所有的表格都可以【双击鼠标右键】复制当前行到剪贴板。
5. 部分表格具有在位编辑的功能,你可以直接编辑列表框中的数据,但是并不是所有列表框均有这样的功能,下边详细介绍中会说明哪些列表框可以直接编辑。
6. 在【十六进制编辑窗口】打开的状态下,【鼠标左键】点击任何表格有效行都可以在【十六进制编辑窗口】看到对应的数据。
7. 大多数文本框都处于只读状态,你可以复制数据,但是不可以直接修改它。如果你确实想要修改,请在【十六进制编辑窗口】中修改。
8. 大多数编辑 PE 的功能、PE 相关工具及进程相关工具都有对应的菜单,你也可以从主界面的菜单选择使用它们。
【打开一个文件】
你可以通过拖拽拖入一个文件或者菜单:【文件】- 【打开文件】或者点击工具栏图标的方式打开一个文件进行分析。如果是 PE 文件或者 PE 的快捷方式,程序会对直接 PE 展开详细分析。
如果是文本文件,或者是图形文件,本工具是一个基本的图片查看工具。如果是其他文件,本工具将显示其十六进制代码。
当然你也可以选择只关注 PE 的功能。
你可以通过菜单的【选项】-【参数设置】或者工具 栏的【设置】按钮,打开参数设置对话框,选择只使用 PE 相关的功能。
参数设置对话框还有一些其他的设置。当然他们很容易理解。比如【安全使用十六进制窗 口】,它意味着十六进制窗口的数据只能看,不能编辑。
更新日志
【更新历史】ver 1.11 build 111 2020.05.1,发布。
■修复了导出表无法显示中文api的问题(E语言特例)。(感谢 踏雪无痕)
■完善交互信息,状态栏增加更多的交互信息提示。
■打开第二个PE文件不再关闭rva、Hex窗口,tab窗口只显示有内容的标签。
■取消了对非PE文件、DosExe的查看、编辑功能。
■修正高DPI的显示错位问题。(感谢 层林尽染)
■修正增加导出函数时,序号忘了+base的显示错误。(感谢 做仰望星空的人)
■修正删除导出表后未自动刷新的错误。
■修正PE 没有导出表时,无法添加导出表的错误,对没有导出表的PE文件,可从菜单项添加导出表。
■修正导入表页面的一个右键菜单错误。
■完善导出表分析逻辑,修正以序号导入的函数错误。
■增加以序号添加导出函数功能。
■修正替换区段未自动刷新的错误。(感谢 随和的人℡)
■修正十六进制窗口无法向前跳转地址及自动更新页面按钮等错误。(感谢 林峰)
■增加分析显示导入表、导出表函数汇编代码的功能。(感谢 魔刀王子)
■完善菜单中的最近打开文件显示。
■增加修正PE文件校验和(CheckSum)功能。
■修正一处release版代码被优化导致的内存错误闪退。
■打开第二个PE文件时,页面不自动切换到第一页了。
■修复区段合并时的一处逻辑错误。
■完善动态/固定基址的界面显示方式,修复菜单项显示的错误。
■人性化修改时间戳界面功能,减少操作步骤。
■修复重建PE导致程序退出的问题。(感谢 【快乐】★917)
■修复.net下拉列表框闪退的情况。(感谢 本人已完美治疗)
■修复关闭文件按钮未彻底清理上个文件信息的问题。
■修复汇编代码转机器码工具历史数据未清理的问题。(感谢 ylyn)
■修复追加数字签名的菜单错误。(感谢 易航)
ver 1.10 beta 3 2018.10.30,发布。
■修复了一些被壳瞎改导致的资源读取错误。
■完善危险操作的提示窗口。
■继续完善人机友好界面。
■修复了汇编对比中size为0的Bug。
■完善了进程区域转存中的显示方式。
■修复使用ASLR时候多调用一次导致线程出错的问题。
■修正界面上的错误文字。
■增加部分快捷键支持。
ver 1.10 beta 1 2018.09.27,内部发布。
■软件界面大幅度调整。
■完善对文件头一些数据的解释。
■深度查壳的功能,以前版本去掉了,现予以恢复。。
■首页增加对程序图标的提取和替换功能。
■完善对图标组资源的解析显示方式。
■光标资源改为以图形方式显示。
■优化代码,提高软件运行速度。
■完善右键菜单。几乎所有页面都有右键菜单。
■改用浮动式16进制代码对话框和浮动式RVA-FOA转换工具。
■提供给EXE、DLL增/减导出表函数的功能。(感谢 wzmooo)
■解决GetTickCount64在32位系统无法识别的错误。(感谢 Hello C)
■解决了内存泄漏的问题。
■增加拖入快捷方式也能直接打开PE文件的功能。
■完善对UTF-8文本资源的解析。
■完善对输出文件信息文本的对齐方式。
■增加部分列表框的直接编辑功能。
■增加磁性对话框自动吸附功能。(感谢 TheEnd)
■修复了部分图标资源无法识别的问题。
■为重定位数据加上汇编解释(如果是汇编指令的话)。
■修正重建PE中删除空区段崩溃的错误。
■修正添加多个DLL多个API时识别的错误。
■添加API时可以添加没有函数名只有序号的函数了。
■为十六进制编辑窗口增加只读模式及响应方式。
■增加替换PNG图标的功能。
■增加汇编代码转机器码功能及汇编代码搜索功能。
■完善了重定位表数据解释的显示方式。
■补充完善帮助文档。
■修正了添加导出函数的函数计数错误。(感谢 wzmooo)
■修正了添加导入函数、添加导出函数时未处理附加数据的错误。
■修正了末尾区段数据对齐上的隐患。
ver 1.09 beta 6 2018.08.25,内部发布。
■完善WinXP的支持拖拽功能。(感谢 老伙计)
■修正版本检测时忘记abs的错误。
■修正替换图标时,在x64版下ulonglong数据类型错定为dword的错误。(感谢 Glacier)
■修正链接错误。(感谢 Mr. HE)
■修正x86版中十六进制显示的地址错误。
■修正vb程序添加区段遇到的Bound Import Directory错误。(感谢 踏雪无痕)
■修正vb程序添加API遇到的Bound Import Directory错误。(感谢 踏雪无痕)
■完善区段属性字段。(感谢 Check)
■增加资源另存为文件功能。(感谢 Check)
■增加16进制编辑,复制粘贴,用00填充功能。(感谢 冷月孤心)
■增加多个标签页的十六进制窗口显示功能。
■附加数据在区段表中直观显示。
■增加FirstThunk的rva显示,可以很直观的在OD里找到函数地址了。(感谢 Mr. HE)
■增加固定PE基址(禁用ASLR)/使用动态PE基址(ASLR)功能。(感谢 wzmooo)
■集成大数2-36进制转换功能。
■修正某些PE乱改资源导致的读取失败而退出的问题。(感谢 心宇)
ver 1.08 beta 9 2018.08.21,发布。
■增加PEClean功能。(感谢 wzmooo)
■增加识别资源中图片的功能(JPG/GIF/PNG)如有可能,尽量以图片显示。
■修复Win10兼容性问题及其他bug。
■优化冗余代码及一些啰嗦的判断。
■提高了软件运行速度。
ver 1.07 beta 1 2015.05.04,发布。
■增加x86版,同时补充了x86可以使用的PEID插件功能。
■修复一处小错误。
■修复Xp兼容性问题。
■修复右键菜单打开文件失败的错误。
ver 1.06 beta 8 2015.04.28,发布。
■修复完善其他bug及增强对那些被壳乱改的PE的兼容性。
■去掉不必要的按钮,改为右键菜单。
■增加双击鼠标中键复制整个列表框到剪贴板功能。
■增加RebuildPE功能。
■修正对空区段的处理问题。
■其他小的错误。
ver 1.06 beta 7 2015.02.04 - 2015.04.09,未发布。
■完善导出表的解析功能。(感谢 Nisy)
■修复未正确解析x64进程模块的问题。(感谢 沉默是金)
■修复Windows8 的兼容性问题。(感谢 small-Q)
ver 1.06 beta 6 2014.10.04 - 2015.04.09,未发布。
■改写为x64版。
■增加.net framework类型PE的基本分析标签页。
■增加PE x64 异常表的分析标签页。
■增加PE 内多种搜索功能。
■增强的RVA FOA转换功能。
■界面变化,增加菜单,改用虚拟列表等内容。
■增强的十六进制代码编辑 / 查看功能。
ver 1.04 beta 4 2013.03.04 - 2013.03.05,发布。
■修复右键打开显示不全的问题。(感谢 cwx)
■改自动升级为手动升级。(感谢 cwx)
ver 1.04 beta 3 2013.01.11 - 2013.02.14,发布。
■文件汇编代码比较功能地址改为以Rva显示。
■全面山寨lordPE的功能,全面支持32位系统,但由于权限问题在64位系统下只能显示32位程序的进程。
■测试了64位系统下的运行情况并修正64位系统下的部分错误。
■ 增加重定位标签页。
ver 1.04 beta 2 2012.12.26 - 2013.xx.xx,未发布。
■增加和peid一致的sdk,支持Peid插件。
■增加解析文件版本资源、菜单资源。
■增加文件汇编代码比较功能。
■细化界面,增加按钮的tips,增加软件自定义参数配置。
■优化查壳的特征码,支持程序入口点扫描方式(快)和整区段扫描方式(较慢)。
■增加资源Ico Bmp另存功能,增加替换软件图标功能。
■增加 PE64 反汇编功能。
■修正RVA FOA转换bug。
■修正删除区段后修正数据表。
■修正时间戳计算bug。(感谢 csjwaman)
■修改区段属性不方便,做成勾选项。(感谢 cwz)
■修正反汇编未能识别的代码导致死循环的问题。(感谢 cxj98)
■修正导出表RVA bug。(感谢 bambooqj)
■重写读取资源中的字符串函数,修正unicode转ansi的bug。
■增加异常检测。(感谢 Taoist/ka)
ver 1.04 beta 2012.12.25
■增加tga wmf格式支持。
■增加对未知后缀的文本文件的识别。
■非可识别文件格式以十六进制显示。
■修正PE64 overlay识别的错误。
■删除CXimage的png导出表。
■增加说明文档。
ver 1.03 2012.12.24 修正删除资源段后资源表不能正确访问导致崩溃的问题及界面问题。
ver 1.02 2012.11.30 - 2012.12.21 重写大部分代码,发布。
■支持查看DosEXE、PE32、PE64。
■提供PE区段处理功能。
■提供RVA FOA互相转换功能。
■提供增加Api函数功能。
■提供Overlay附加数据处理功能。
■提供查看代码段反汇编代码的功能。
■基本的查壳功能。
■基本的图片及文本格式文件查看功能。
ver 0.95
2012.08.07 修正bug,发布。
■支持查看PE32、PE64;
■提供给PE增加区段功能。
■提供RVA转FOA功能。
ver 0.94
2012.08.01 第一个发布的版本,版本号参见peid。
ver 0.01
2011.11.14 学习PE,有写这个东东的打算,从控制台版本开始。
zaas 2018.10.01
