Heaventools

   English English  Deutsch Deutsch

startseite  produkte  pe explorer  feature tour

PE Explorer Disassembler

Win32 PE Disassembler: einfach und schnell

Der PE Explorer Disassembler wurde als leicht zu bedienende Alternative zu anderen Disassembler- programmen gestaltet. Daher wurden einige Funktionen, die man in anderen Produkten findet, ausgelassen, um die Benutzung einfach und schnell zu gestalten.

Was wir versucht haben, ist die Möglichkeiten von etwas wie IDA Pro zu erreichen, aber dabei viel weniger Arbeit und Kenntnisse zu erfordern, indem der Disassemblier-Prozess weitgehender automatisiert wurde. Der Disassembler des PE Explorers geht davon aus, dass manuelles Bearbeiten des neuen Codes nötig sein wird. Um die zusätzliche Handarbeit leichter zu gestalten, verwendet der Disassembler dennoch einen speziellen Algorithmus, der nur dafür entwickelt wurde, den Quellcode der Zieldatei so exakt wie möglich in Assemblersprache zu rekonstruieren.

Leistungsstark, wie die anderen, teureren Disassemblerprogramme, konzentriert sich PE Explorer sowohl auf Benutzerfreundlichkeit als auch auf leichtes Navigieren. Wir haben einen guten Disassembler für einen vernünftigen Preis. Falls Reverse-Engineering von Software und Verfolgen von Code, Quellcode-Bewertung, Testen und Überprüfen des Schadenpotentials zu Ihrem täglichen Job gehören, spart PE Explorer viel Zeit!

Der Disassembler unterstützt die meisten allgemeinen Intel x86 -Befehlssätze und Erweiterungen (MMX, 3DNow!, SSE, SSE2 und SSE3). Vor dem Disassemblieren zeigt das Fenster "Optionen" folgende Optionen:

Options window

Unverarbeitete Daten analysieren - Beim Vorgang des Disassemblierens werden einige nicht analysierte Datenblöcke entdeckt, denen eine direkte Adresse bezüglich der bekannten Programm-Routinen fehlt. Durch das Aktivieren dieser Option versucht der Disassembler, Inhalte dieser indirekt adressierten Blöcke zu entdecken, um sicherzugehen, ob sie Code oder bekannte Datentypen enthalten. Das Aktivieren dieser Option verbessert die Qualität der Disassemblierung.

Nach dem Drücken von Start Now beginnt der Disassemblierungsprozess mit der Identifikation des zum Erzeugen der Anwendung verwendeten Compilers. Die Kenntnis darüber, wie ein Compiler eine Anwendung erzeugt, hilft das Ergebnis der Rekonstruktion der Datenstrukturen zu verbessern. Weiter kann dadurch die Identifikation von Objekten, Prozeduren, Variablen und Datentypen mit einer sehr viel höheren Präzision erfolgen. Während des Disassemblierungsprozesses zeigt das Processing Info Fenster die folgenden Informationen:

Processing Info Fenster

Je nach Ausstattung Ihres Rechners kann der Disassemblierungsprozess von Dateien größer einem Megabyte mehrere Minuten in Anspruch nehmen. Im Allgemeinen benötigt jedes Byte der Binärdatei ca. 40 Bytes Speicherverarbeitung. Eine 1 MB Datei würde also 40 MB Hauptspeicher, eine 2 MB Datei 80 MB usw. erfordern.

Das Hauptfenster des Disassemblers wird nach dem Abschluss des Prozesses geöffnet:

Disassembler

Nach dem der Disassemblierungsprozess abgeschlossen ist, wird der rekonstruierte Quellcode angezeigt. Dieser Quellcode kann manuell bearbeitet und gespeichert werden.

Obwohl das angepasste, vom Disassemblerprogramm durchgeführte Modellieren die Ausführungszeit erhöht, ist das Ergebnis eine drastische Reduzierung der inkorrekten Opcode-Übersetzungen. Sie werden gewiss zustimmen: die zusätzliche Zeit um einen hohen Level an Genauigkeit zu erreichen wird dadurch kompensiert, dass man bei der manuellen Bearbeitung Zeit spart.

Forensische Datenanalyse: Nach Textzeilen innerhalb der EXE suchen

Der Disassembler zieht den ASCII- und Unicode-Text aus dem Datenteil heraus. Im Unterschied zu den verschiedenen Zeilen-Tools, die nach Textzeilen in der Datei suchen, bzw. sie extrahieren, ist PE Explorer durchs Extrahieren dieser Zeilen aus bestimmten Speicherplätzen anstatt durch Suchen viel präziser und detaillierter. Die Ausgabe der in binären Dateien gefundenen Zeilen gibt Ihnen ein gutes Wissen über die Funktionen und Unterprogramme, die vom Programm aufgerufen werden.

Nach Textzeilen innerhalb der EXE suchen

Nach VCL-Objekten suchen

Das Borland VCL-Objektmodell (Visual Component Library, Bibliothek mit vordefinierten Komponenten aus Entwicklungsumgebungen der Fa. Borland) wurde so entwickelt, dass es unserer Meinung nach möglich sein wird, den ursprünglichen Quellcode perfekt zu reproduzieren. Bei Heaventools ist das Verbessern des Disassemblers ein permanenter Teil unserer PE Explorer-Entwicklungsleistung.

Borland VCL Objekte

Wichtiger Hinweis

PE Explorer dekompiliert den Code nicht. Vielmehr ist der Disassembler ein Programm, mit dem der ausführbare Binärcode in Assemblersprache übersetzt wird. Es nimmt den Code auseinander, was bedeutet, dass es Maschinencode in Assembler konvertiert, aber es generiert keinen C- oder C++ Code aus dem Ergebnis der Disassemblierung. Das ist eine sehr schwierige Aufgabe. Außerdem gibt es in den ausführbaren Dateien meistens nichts, was auf die Programmiersprache hinweist, mit der das Programm geschrieben wurde.

Die Ergebnisse des Dekompilierens sind nur für Vergleichszwecke. Die erzeugte Ausgabe kann nicht wieder kompiliert werden und ist auch nicht für die Verarbeitung in Speicher oder Prozessor geeignet.

Feature Tour    
zurück | weiter 

 

 

PE Explorer
Schauen Sie sich die Screenshots

Download 30-Tage PE Explorer Testversion     Kaufen Sie die Vollversion