Portable Executable (PE) yra vykdomojo failo formatas, kuris egzistuoja ilgą laiką ir vis dar naudojamas visose „Windows“ versijose. Tai apima failus, kurių formatas yra *.exe, *.dll ir kiti, ir tokiuose failuose yra visa informacija apie programą. Tačiau bet kurioje programoje gali būti virusas, todėl prieš diegiant pageidautina žinoti, kas yra saugoma už šio formato failo. Tai galima rasti naudojant PE Explorer.
PE Explorer yra programa, skirta peržiūrėti ir keisti viską, kas yra PE failuose. Ši programa buvo sukurta ir labai dažnai naudojama virusams aptikti, tačiau tai ji naudingų savybių nėra ribojami. Pavyzdžiui, jis gali būti naudojamas norint pašalinti derinimo informaciją arba išversti bet kurią programą į rusų kalbą.
Kol programa suglaudinama, ji dažniausiai yra užšifruota, kad vartotojas ar kas nors kitas negalėtų matyti visko, kas vyksta užkulisiuose. Tačiau PE Explorer to nesustabdo, nes specialiai parašyto algoritmo dėka gali iššifruoti šiuos failus ir parodyti visą turinį.
Naršyti pavadinimus
Kai tik atidarysite PE failą, programa atidarys antraštės peržiūros programą. Čia galima pamatyti daug įdomių dalykų, bet nieko negalima pakeisti ir tai nėra būtina.
Duomenų katalogai
Duomenų katalogai (duomenų katalogai) yra svarbi bet kurio vykdomojo failo dalis, nes būtent šiame masyve saugoma informacija apie struktūras (jų dydis, rodyklė į pradžią ir kt.). Failų kopijas reikia pakeisti, kitaip tai gali sukelti negrįžtamų pasekmių.
Skyrių antraštės
Visas svarbus programos kodas yra saugomas PE Explorer skirtinguose skyriuose, kad būtų užtikrinta didesnė tvarka. Kadangi šiame skyriuje yra visi duomenys, juos galima pakeisti keičiant jų vietą. Jei kai kurie duomenys neturėtų būti keičiami, programa jums apie tai praneš.
Išteklių redaktorius
Kaip žinote, ištekliai yra neatsiejama programos dalis (piktogramos, formos, užrašai). Tačiau naudojant PE Explorer juos galima pakeisti. Taigi galite pakeisti programos piktogramą arba išversti programą į rusų kalbą. Čia taip pat galite išsaugoti išteklius savo kompiuteryje.
Išmontuotojas
Šis įrankis reikalingas greitajai vykdomųjų failų analizei, be to, jis pagamintas supaprastintu, bet ne mažiau funkcionaliu formatu.
Importo lentelė
Šios programos skilties dėka galite sužinoti, ar tikrinama programa kenkia jūsų kompiuteriui. Šiame skyriuje yra visos programoje esančios funkcijos.
Priklausomybės skaitytuvas
Kitas programos pranašumas kovojant su virusais. Čia galite pamatyti priklausomybę nuo dinaminių bibliotekų, taip atpažindami, ar ši programa nekelia grėsmės jūsų kompiuteriui, ar ne.
Programos privalumai
- Intuityvus
- Gebėjimas keisti išteklius
- Leidžia sužinoti apie programoje esančius virusus dar prieš paleidžiant kodą
Trūkumai
- Rusifikacijos trūkumas
- Mokama (nemokama versija galima tik 30 dienų)
PE Explorer yra puikus įrankis, kuris leis apsaugoti kompiuterį nuo virusų. Žinoma, jį galima naudoti ir kita kryptimi, pridedant pavojingą kodą į visiškai nekenksmingą programą, tačiau tai nerekomenduojama. Be to, dėl galimybės keisti išteklius galite pridėti reklamą arba išversti programą į rusų kalbą.
Typedef struct _IMAGE_FILE_HEADER ( WORD Machine; WORD Sections NumberOfStamp; DWORD TimeDateStamp; DWORD PointerTo SymbolTable; DWORD NumberOf Symbols; WORD SizeOfOfOptionalHeader; WORD Characteristics; ) IMAGE_FILE_HEADER, *_PILE_HEADER;
Tik sausai aprašysiu šiuos laukus, nes. pavadinimai yra intuityvūs ir reiškia tiesiogines reikšmes, o ne VA, RVA, RAW ir kitus baisius intriguojančius dalykus, apie kuriuos girdėjome tik iš senųjų piratų. Nors jau susidūrėme su RAW, tai tik poslinkiai, palyginti su failo pradžia (jie taip pat vadinami neapdorotomis rodyklėmis arba failo poslinkiais). Tai yra, jei turime RAW adresą, tai reiškia, kad turime pereiti nuo failo pradžios į RAW pozicijas ( ptrFile+RAW). Po to galite pradėti skaityti reikšmes. Puikus šio tipo pavyzdys yra e_lfnew- kurį aptarėme aukščiau Dos antraštėje.
*mašina: WORD yra skaičius (2 baitai), nurodantis procesoriaus architektūrą šią programą galima atlikti.
Skyrių skaičius: DWORD – failo sekcijų skaičius. Skyriai (toliau – sekcijų lentelė) seka iškart po antraštės (PE-Header). Dokumentuose rašoma, kad sekcijų skaičius ribojamas iki 96.
TimeDateStamp: WORD – skaičius, kuriame yra failo sukūrimo data ir laikas.
PointerToSymbolTable: DWORD yra simbolių lentelės poslinkis (RAW), o SizeOfOptionalHeader yra šios lentelės dydis. Ši lentelė skirta tarnauti kaip derinimo informacijos saugykla, tačiau naikintuvo praradimo būrys nepastebėjo nuo pat tarnybos pradžios. Dažniausiai šis laukas išvalomas nuliais.
SizeOfOptionHeader: WORD – pasirenkamos antraštės dydis (po dabartinės) Dokumentacijoje nurodyta, kad objekto faile jis nustatytas į 0…
*Charakteristikos: WORD – failo charakteristikos.
* – laukai, apibrėžti reikšmių diapazonu. Galimų verčių lentelės pateikiamos biuro struktūros aprašyme. svetainę ir čia nebus duota, nes. jie neturi nieko ypač svarbaus formatui suprasti.
Palikime šią salą! Turime judėti toliau. Orientyras yra šalis, vadinama Neprivaloma antraštė.
„Kur tas žemėlapis, Billy? Man reikia žemėlapio“.
(Lobių sala)
Neprivaloma antraštė (IMAGE_OPTIONAL_HEADER)
Šio žemyno titulo pavadinimas nėra labai sėkmingas. Ši antraštė yra privaloma ir turi 2 formatus PE32 ir PE32+ (atitinkamai IMAGE_OPTIONAL_HEADER32 ir IMAGE_OPTIONAL_HEADER64). Formatas išsaugomas lauke magija: ŽODIS. Antraštėje yra failo atsisiuntimui reikalinga informacija. Kaip visada :
IMAGE_OPTIONAL_HEADER
typedef struct _image_optional_header (žodis magija; baitas pagrindinės nuorodoserversion; baitas mollinkerversion; dword sizeofcode; dword sizeofinitialiddata; dword sizeofunitialiddata; dword adresasfentryPoint; dwordingspmentions; MinorImageVersion; WORD MajorSubsystemVersion; WORD MinorSubsystemVersion; DWORD Win32VersionValue; DWORD SizeOfImage; DWORD SizeOfHeaders; DWORD CheckSum; WORD Subsystem; WORD DllCharacteristics; DWORD SizeOfStackReserve; DWORD SizeOfStackCommit; DWORD SizeOfHeapReserve; DWORD SizeOfHeapCommit; DWORD LoaderFlags; DWORD NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory; ) IMAGE_OPTIONAL_HEADE R , *PIMAGE_OPTIONAL_HEADER;
* Kaip visada, apimsime tik pagrindinius laukus, kurie turi didžiausią įtaką įkėlimo idėjai ir kaip judėti į priekį su failu. Sutikime, kad šios struktūros laukuose yra reikšmės su VA (virtualus adresas) ir RVA (santykinis virtualus adresas) adresais. Tai jau adresai ne tokie kaip RAW, ir juos reikia mokėti skaityti (tiksliau skaičiuoti). Tikrai išmoksime tai padaryti, bet tik iš pradžių išanalizuosime viena kitą sekančias struktūras, kad nesusipainiotume. Kol kas tik atsiminkite – tai adresai, kurie, atlikus skaičiavimus, rodo tam tikra vieta faile. Taip pat bus nauja koncepcija – derinimas. Svarstysime kartu su RVA adresais, nes tai gana glaudžiai susiję.
AddressOfEntryPoint: DWORD – RVA įėjimo taško adresas. Gali nurodyti bet kurį adresų erdvės tašką. .exe failams įvesties taškas atitinka adresą, nuo kurio pradedama vykdyti programa, ir negali būti nulis!
BaseOfCode: DWORD - programos kodo pradžios RVA (kodo skyrius).
„BaseOfData“.: DWORD - programos kodo pradžios RVA (duomenų skyrius).
vaizdų bazė: DWORD – pageidaujamo programos įkėlimo bazės adresas. Turi būti 64 kb kartotinis. Daugeliu atvejų tai yra 0x00400000.
Skyriaus lygiavimas: DWORD – sekcijos lygiavimo dydis (baitais) iškraunant į virtualiąją atmintį.
Failų lygiavimas: DWORD – failo sekcijos lygiavimo dydis (baitais).
SizeOfimage: DWORD – failo dydis (baitais) atmintyje, įskaitant visas antraštes. Turi būti SectionAligment kartotinis.
SizeOfHeaders: DWORD – visų antraščių (DOS, DOS-Stub, PE, Section) dydis, suderintas su FileAligment.
SkaičiusOfRvaAndSizes: DWORD – katalogų skaičius katalogų lentelėje (po pačia lentele). Ant Šis momentasšis laukas visada lygus simbolinei konstantai IMAGE_NUMBEROF_DIRECTORY_ENTRIES, kuri yra lygi 16.
DataDirectory: IMAGE_DATA_DIRECTORY – duomenų katalogas. Paprasčiau tariant, tai yra masyvas (dydis 16), kurio kiekviename elemente yra 2 DWORD reikšmių struktūra.
Apsvarstykite, kokia yra IMAGE_DATA_DIRECTORY struktūra:
Typedef struct _IMAGE_DATA_DIRECTORY (DWORD virtualus adresas; DWORD dydis; ) IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
Ką mes turime? Turime 16 elementų masyvą, kurių kiekviename elemente yra adresas ir dydis (kas? kaip? kodėl? viskas per minutę). Kyla klausimas, kokios yra šios savybės. Tam „Microsoft“ turi specialias konstantas, kurias reikia suderinti. Juos galima pamatyti pačioje konstrukcijos aprašymo pabaigoje. Dabar:
// Katalogų įrašai #Define Image_directory_Entry_Export 0 // Eksporto katalogas #DEFINE Image_Directory_Entry_import 1 // Import Directory #define Image_directory_Entry_Resource 2 // Šaltinių katalogas #define Image_directory_Entry_Excy_Ercory_CEOTORCE_ECTIONES_ENTORICE_ECTORICE_ECTORICE_ENTORICE_OKELOCIJOS Image_directory_entry_debug 6 // derinimo katalogas // image_directory_entry_copyrigh Katalogas #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 11 // Susietas importavimo katalogas antraštėse #define IMAGE_DIRECTORY_ENTRY_IAT 12 // Importuoti adresų lentelę #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT 13 // Uždelsimas #define Importavimo aprašai GE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14 // COM vykdymo deskriptorius
Aha! Matome, kad kiekvienas masyvo elementas yra atsakingas už prie jo pritvirtintą lentelę. Bet deja ir ak, nors šie krantai mums nepasiekiami, nes. mes nemokame dirbti su VA ir RVA adresais. O norėdami išmokti, turime sužinoti, kas yra skyriai. Būtent jie kalbės apie savo struktūrą ir darbą, po kurio paaiškės, kam reikalingi VA, RVA ir derinimai. Šiame straipsnyje paliesime tik eksportą ir importą. Likusių laukų paskirtį galima sužinoti biure. dokumentus ar knygas. Taigi. Tiesą sakant, laukai:
virtualus adresas: DWORD – lentelės, kurią atitinka masyvo elementas, RVA.
dydis: DWORD – lentelės dydis baitais.
Taigi! Norėdami patekti į tokius egzotiškus krantus kaip importo, eksporto, išteklių ir kt. lentelės, turime atlikti užduotį su skyriais. Na, salono berniukas, pažiūrėkime bendra kortelė, nustatykite, kur esame dabar, ir judėkite toliau:
Ir mes nesame tiesiai prieš plačias sekcijų platybes. Turime visais būdais išsiaiškinti, ką jie slepia, ir pagaliau susidoroti su kitokiu kreipimosi būdu. Mes norime tikrų nuotykių! Mes norime greitai patekti į tokias respublikas kaip importo ir eksporto lentelės. Senieji piratai pasakoja, kad ne visi galėjo prie jų patekti, o grįžusieji grįžo su auksu, o moterys – su šventomis žiniomis apie vandenyną. Išplaukiame ir toliau keliaujame į Sekcijos antraštę.
„- Tu nuleistas, Sidabre! Nulipk nuo statinės!
(Lobių sala)
Skyriaus antraštė (IMAGE_SECTION_HEADER)
Tiesiai už masyvo DataDirectory skyriai seka vienas kitą. Skyrių lentelė yra suvereni valstybė, kuri yra padalinta į Skyrių skaičius miestai. Kiekvienas miestas turi savo amatą, savo teises, taip pat 0x28 baitų dydį. Sekcijų skaičius nurodomas lauke Skyrių skaičius, kuris saugomas failo antraštėje. Taigi, pažvelkime į struktūrą:
Typedef struct _IMAGE_SECTION_HEADER ( BAITŲ pavadinimas; sąjunga ( DWORD PhysicalAddress; DWORD VirtualSize; ) Įvairūs
vardas: BAITAS - sekcijos pavadinimas. Šiuo metu jis yra 8 simbolių ilgio.
Virtualus dydis: DWORD – sekcijos dydis virtualioje atmintyje.
SizeOfRawData: DWORD – sekcijos dydis faile.
virtualus adresas: DWORD – RVA skyriaus adresas.
SizeOfRawData: DWORD – sekcijos dydis faile. Turi būti kartotinis Failų lygiavimas.
PointerToRawData: DWORD – RAW poslinkis į sekcijos pradžią. Taip pat turi būti kartotinis Failų lygiavimas…
Charakteristikos: DWORD - sekcijos prieigos atributai ir įkėlimo į Wirth taisyklės. atmintis. Pavyzdžiui, atributas sekcijos turiniui apibrėžti (pradiniai duomenys, nepradiniai duomenys, kodas). Arba prieiti prie atributų – skaitymo, rašymo, vykdymo. Tai ne visas spektras. Charakteristikos nustatomos to paties WINNT.h konstantomis, kurios prasideda IMAGE_SCN_. Išsamiau galite susipažinti su sekcijų atributika. Atributai taip pat gerai aprašyti Chriso Kaspersky knygose - nuorodos straipsnio pabaigoje.
Kalbant apie pavadinimą, reikia atsiminti: skyrius su ištekliais visada turi turėti pavadinimą .rsrc. Priešingu atveju ištekliai nebus įkeliami. Kalbant apie likusias dalis, pavadinimas gali būti bet koks. Dažniausiai būna prasmingi pavadinimai, tokie kaip .data, .src ir tt... Bet pasitaiko ir:
Sekcijos yra sritis, kuri iškraunama į virtualią atmintį ir visas darbas atliekamas tiesiogiai su šiais duomenimis. Adresas virtualiojoje atmintyje be jokių poslinkių vadinamas virtualiuoju adresu, sutrumpintai VA. Pageidaujamas adresas programai atsisiųsti, nustatytas lauke vaizdų bazė. Tai tarsi taškas, nuo kurio virtualiojoje atmintyje prasideda programų sritis. Ir, palyginti su šiuo tašku, skaičiuojami RVA (santykinis virtualus adresas) poslinkiai. Tai yra, VA = vaizdų bazė+ RVA; vaizdų bazė mes visada žinome ir turėdami VA arba RVA, galime išreikšti vieną per kitą.
Atrodo, kad jie priprato. Bet tai virtuali atmintis! Ir mes esame fizinėje. Virtuali atmintis mums dabar yra tarsi kelionė į kitas galaktikas, kurias kol kas galime tik įsivaizduoti. Taigi šiuo metu negalime patekti į virtualią atmintį, bet galime sužinoti, kas ten bus, nes ji paimta iš mūsų failo.
lygiavimas
Siekiant teisingai pavaizduoti iškrovimą Wirth. atmintis, būtina susidoroti su tokiu mechanizmu kaip derinimas. Pirmiausia pažvelkime į diagramą, kaip skirsniai keičiami į atmintį.
Kaip matote, skyrius į atmintį iškraunamas ne pagal dydį. Čia naudojami lygiavimai. Tai vertė, kuri turi būti atmintyje esančios sekcijos dydžio kartotinis. Jei pažvelgsime į diagramą, pamatysime, kad sekcijos dydis yra 0x28, o jis iškraunamas 0x50 dydžio. Taip yra dėl derinimo dydžio. 0x28 „nepasiekia“ 0x50 ir dėl to sekcija bus iškraunama, o likusi 0x50-0x28 erdvė bus panaikinta. Ir jei sekcijos dydis būtų didesnis nei lygiavimo dydis, kas tada? Pavyzdžiui skyriaus dydis= 0x78 ir skyrius Lygiavimas= 0x50, t.y. liko nepakitęs. Tokiu atveju sekcija atmintyje užimtų 0xA0 (0xA0 = 0x28 * 0x04) baitų. Tai yra, vertė, kuri yra kartotinė skyrius Lygiavimas ir visiškai uždengia skyriaus dydis. Reikėtų pažymėti, kad failo skyriai lygiuojami taip pat, tik pagal dydį Failų lygiavimas. Gavęs būtina bazė, galime išsiaiškinti, kaip konvertuoti iš RVA į RAW.
„Čia jūs neturite lygumos, čia klimatas kitoks“.
(V.S. Vysotskis)
Maža aritmetikos pamokėlė
Prieš pradedant vykdyti, tam tikra programos dalis turi būti išsiųsta į procesoriaus adresų erdvę. Adreso erdvė – tai procesoriaus fiziškai adresuota RAM kiekis. Adreso erdvėje esantis „gabalas“, kuriame iškraunama programa, vadinamas virtualiu vaizdu. Vaizdas apibūdinamas bazinio apkrovos adresu (Image base) ir dydžiu (vaizdo dydis). Taigi VA (virtualus adresas) yra adresas, susijęs su virtualiosios atminties pradžia, o RVA (santykinis virtualus adresas) yra susijęs su vieta, kurioje programa buvo iškelta. Kaip sužinoti bazinį programos atsisiuntimo adresą? Tam yra atskiras laukas pasirenkamoje antraštėje vaizdų bazė. Tai buvo maža įžanga atgaivinti atmintį. Dabar apsvarstykite scheminį skirtingų adresų pavaizdavimą:
Taigi, kaip vis tiek galite nuskaityti informaciją iš failo neiškeldami jo į virtualiąją atmintį? Norėdami tai padaryti, turite konvertuoti adresus į RAW formatą. Tada galime įeiti į failą į reikiamą sritį ir perskaityti reikiamus duomenis. Kadangi RVA yra virtualios atminties adresas, susietas iš failo, galime pakeisti procesą. Tam mums reikia devynių x šešiolikos paprastos aritmetikos. Štai keletas formulių:
VA = ImageBase + RVA; RAW = RVA - skyriusRVA + neapdorotas skyrius; // rawSection - poslinkis į skyrių nuo failo pradžios // sectionRVA - skyrius RVA (šis laukas saugomas sekcijos viduje)
Kaip matote, norėdami apskaičiuoti RAW, turime nustatyti skyrių, kuriam priklauso RVA. Norėdami tai padaryti, turite pereiti visus skyrius ir patikrinti šią sąlygą:
RVA >= skyriusVitualusAdresas && RVA< ALIGN_UP(sectionVirtualSize, sectionAligment)
// sectionAligment - выравнивание для секции. Значение можно узнать в Optional-header.
// sectionVitualAddress - RVA секции - хранится непосредственно в секции
// ALIGN_UP() - функция, определяющая сколько занимает секция в памяти, учитывая выравнивание
Sudėjus visus galvosūkius, gauname tokį sąrašą:
Typedef uint32_t DWORD; typedef uint16_t WORD; typedef uint8_t BYTE; #define ALIGN_DOWN(x, sulygiuoti) (x & ~(lygiuoti-1)) #define ALIGN_UP(x, sulygiuoti) ((x & (lygiuoti-1))?ALIGN_DOWN(x,lygiuoti)+lygiuoti:x) // IMAGE_SECTION_HEADER skyriai; // init masyvo sekcijos int defSection(DWORD rva) ( for (int i = 0; i< numberOfSection; ++i)
{
DWORD start = sections[i].VirtualAddress;
DWORD end = start + ALIGN_UP(sections[i].VirtualSize, sectionAligment);
if(rva >= start && rva< end)
return i;
}
return -1;
}
DWORD rvaToOff(DWORD rva)
{
int indexSection = defSection(rva);
if(indexSection != -1)
return rva - sections.VirtualAddress + sections.PointerToRawData;
else
return 0;
}
*Į kodą neįtraukiau tipo deklaracijos ir masyvo inicijavimo, o pateikiau tik funkcijas, kurios padės skaičiuoti adresus. Kaip matote, kodas nėra labai sudėtingas. Ar tai šiek tiek glumina. Tai išnyksta... jei praleidžiate šiek tiek daugiau laiko tvarkydami .exe per išmontavimo įrenginį.
HURRA! Supratau. Dabar galime pereiti prie išteklių ribos, importuoti ir eksportuoti bibliotekas ir apskritai visur, kur tik širdis geidžia. Ką tik išmokome dirbti su naujo tipo adresavimu. Leiskitės į kelią!
– Neblogai, neblogai! Vis dėlto jie gavo savo racioną šiai dienai!
(Lobių sala)
eksporto lentelė
Pačiame pirmajame masyvo elemente DataDirectory RVA saugoma eksporto lentelėje, kuri pavaizduota IMAGE_EXPORT_DIRECTORY struktūra. Ši lentelė skirta dinaminės bibliotekos (.dll) failams. Pagrindinis lentelės tikslas – susieti eksportuojamas funkcijas su jų RVA. Aprašymas pateiktas specifikacijos:
Typedef struct _IMAGE_EXPORT_DIRECTORY ( DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD pavadinimas; DWORD bazė; DWORD NumberOfFunctions; DWORDName NumberOfNames; DWORDName;DWORDNames;DWORD_Mes;DWORD_AddressOfNames;DWORD_Adresas
Šioje struktūroje yra trys nuorodos į tris skirtingas lenteles. Tai yra pavadinimų (funkcijų) lentelė ( AddressOfNames), eiliniai ( AddressOfNamesOrdinals), adresai ( AddressOfFunctions). Lauke Pavadinimas saugomas dinaminės bibliotekos pavadinimo RVA. Eilinis skaičius yra tarsi tarpininkas tarp pavadinimų lentelės ir adresų lentelės ir yra indeksų masyvas (indekso dydis yra 2 baitai). Norėdami gauti daugiau aiškumo, apsvarstykite diagramą:
Apsvarstykite pavyzdį. Tarkime, i-tasis pavadinimų masyvo elementas nurodo funkcijos pavadinimą. Tada šios funkcijos adresą galima gauti nurodant i-tąjį elementą adresų masyve. Tie. aš esu eilinis.
Dėmesio! Jei paėmėte, pavyzdžiui, 2-ąjį elementą eilinių skaitmenų lentelėje, tai nereiškia 2 - tai vardų ir adresų lentelių eilės eilė. Indeksas yra reikšmė, saugoma antrajame eilės masyvo elemente.
Reikšmių skaičius pavadinimų lentelėse ( Vardų skaičius) ir eiliniai yra lygūs ir ne visada atitinka elementų skaičių adresų lentelėje ( Funkcijos skaičius).
„Jie atėjo dėl manęs. Ačiū už dėmesį. Dabar jie tikriausiai žudo!
(Lobių sala)
importo lentelė
Importavimo lentelė yra neatsiejama bet kurios programos, kuri naudoja dinamines bibliotekas, dalis. Ši lentelė padeda susieti dinaminės bibliotekos funkcijų iškvietimus su atitinkamais adresais. Importavimas gali vykti trimis skirtingais režimais: standartiniu, privalomu (susieto importavimo) ir atidėto (uždelsto importavimo). Nes importo tema gan daugiaplanė ir traukia atskiram straipsniui, aprašysiu tik standartinį mechanizmą, o likusius aprašysiu tik kaip "skeletą".
Standartinis importas- į DataDirectory importo lentelė saugoma pagal indeksą IMAGE_DIRECTORY_ENTRY_IMPORT(=1). Tai IMAGE_IMPORT_DESCRIPTOR tipo elementų masyvas. Importavimo lentelėje saugomi (masyve) funkcijų/eilinių skaitmenų pavadinimai ir vieta, kur kroviklis turėtų parašyti šios funkcijos efektyvų adresą. Šis mechanizmas nėra labai efektyvus, nes atvirai kalbant, viskas priklauso nuo kiekvienos būtinos funkcijos pakartojimo per visą eksporto lentelę.
Įrištas importas- naudojant šią darbo schemą, laukeliuose (pirmame standartinės importo lentelės elemente) TimeDateStamp ir ForwardChain įrašomas -1 ir langelyje saugoma informacija apie nuorodą DataDirectory su indeksu IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(=11). Tai yra, tai yra tam tikra vėliavėlė įkrovikliui, kad ji turi naudoti susietą importą. Taip pat „pririšto importo grandinei“ atsiranda jų struktūros. Darbo algoritmas yra toks - reikiama biblioteka iškeliama į virtualią programos atmintį ir visi reikalingi adresai yra „surišami“ kompiliavimo etape. Iš trūkumų galima pastebėti, kad perkompiliuojant dll, reikės iš naujo kompiliuoti pačią programą, nes. funkcijų adresai bus pakeisti.
Vėlavimas importuoti- pas šis metodas daroma prielaida, kad .dll failas yra pridedamas prie vykdomojo failo, tačiau jis nėra iš karto iškeliamas į atmintį (kaip ir ankstesniuose dviejuose metoduose), o tik tada, kai programa pirmą kartą pasiekia simbolį (taip iškraunami elementai iš dinaminių bibliotekų vadinamas). Tai yra, programa vykdoma atmintyje, o kai tik procesas pasiekia funkcijos iškvietimą iš dinaminės bibliotekos, iškviečiamas specialus tvarkytuvas, kuris įkelia dll ir išskleidžia efektyvius jo funkcijų adresus. Dėl tingaus importavimo įkroviklis nurodo DataDirectory (elemento numeris 15).
Šiek tiek apžvelgę importavimo metodus, eikime tiesiai į importavimo lentelę.
„Tai jūreivis! Jo drabužiai buvo jūriniai. - Taip? Ar galvojote čia rasti vyskupą?
(Lobių sala – Johnas Silveris)
Importo aprašas (IMAGE_IMPORT_DESCRIPTOR)
Norėdami sužinoti importo lentelės koordinates, turime kreiptis į masyvą DataDirectory. Būtent į elementą IMAGE_DIRECTORY_ENTRY_IMPORT (=1). Ir perskaitykite lentelės RVA adresą. Čia bendra schema kelias, kurį reikia eiti:
Tada mes gauname RAW iš RVA pagal aukščiau pateiktas formules ir tada „žingsniuojame“ per failą. Dabar esame priešais struktūrų masyvą, vadinamą IMAGE_IMPORT_DESCRIPTOR. Masyvo pabaigos ženklas yra „nulinė“ struktūra.
Typedef struct _IMAGE_IMPORT_DESCRIPTOR ( sąjunga ( DWORD Characteristics; DWORD OriginalFirstThunk; ) DUMMYUNIONNAME; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD pavadinimas; DWORD FirstThunk; ) IMAGE_IMPORT_MAGE_DESCRIPTORIM,*_PICRIPTORIM,*
Negalėjau gauti nuorodos į struktūros aprašą msdn, bet jūs galite jį pamatyti WINNT.h faile. Pradėkime tai išsiaiškinti.
Originalus First Thunk: DWORD – importo pavadinimų lentelės RVA (INT).
TimeDateStamp: DWORD – data ir laikas.
Ekspeditorių grandinė: DWORD – pirmojo persiųsto simbolio indeksas.
vardas: DWORD – RVA eilutė su bibliotekos pavadinimu.
FirstThunk: DWORD – importo adresų lentelės (IAT) RVA.
Viskas čia kažkuo panašu į eksportą. Taip pat vardų lentelė (INT) ir adresų lapelis ant jos (IAT). Taip pat pavadinta RVA biblioteka. Tik čia INT ir IAT nurodo IMAGE_THUNK_DATA struktūrų masyvą. Jis pateikiamas dviem formomis - 64-ajai ir 32-ajai sistemoms ir skiriasi tik laukų dydžiu. Apsvarstykite x86 kaip pavyzdį:
Typedef struct _IMAGE_THUNK_DATA32 ( sąjunga ( DWORD ForwarderString; DWORD funkcija; DWORD Ordinal; DWORD AddressOfData; ) u1; ) IMAGE_THUNK_DATA32,*PIMAGE_THUNK_DATA32;
Svarbu atsakyti, kad tolesni veiksmai priklauso nuo aukšto struktūros bito. Jei jis nustatytas, likę bitai yra importuojamo simbolio numeris (importuoti pagal skaičių). Kitu atveju (išvalytas didelis bitas), likę bitai nurodo importuoto simbolio RVA (importuoti pagal pavadinimą). Jei turime importą pagal pavadinimą, tada žymeklis išsaugo adresą šioje struktūroje:
Typedef struct _IMAGE_IMPORT_BY_NAME ( WORD patarimas; BYTE pavadinimas; ) IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
Čia Užuomina yra funkcijos numeris ir vardas- vardas.
Kam visa tai skirta? Visi šie masyvai, struktūros ... Aiškumo dėlei panagrinėkime nuostabią schemą
PE failo santrauka
PE failai yra susieti su trimis failų tipais (-ais) ir juos galima peržiūrėti naudojant Microsoft Windows išvystyta Microsoft korporacija. Paprastai šis formatas yra susietas su trimis esamomis programomis (-ėmis). Paprastai jie turi tokį formatą Nešiojamas vykdomasis failas. Šie failai yra suskirstyti į Vykdomieji failai, papildinių failai ir duomenų failai. Dauguma failų yra Vykdomieji failai.
PE failo plėtinį galima peržiūrėti naudojant „Windows“. Jie daugiausia palaikomi staliniuose kompiuteriuose ir kai kuriose mobiliosiose platformose. PE failų populiarumo reitingas yra „Žemas“, o tai reiškia, kad šie failai yra reti.
Jei norite sužinoti daugiau apie PE failus ir juos atidarančią programinę įrangą, žr. toliau pateiktą papildomą informaciją. Arba taip pat galite sužinoti, kaip atlikti paprastą trikčių šalinimą, kai kyla problemų atidarant PE failus.
Failų tipų populiarumas
Failo reitingas
Veikla
Šis failo tipas vis dar aktualus ir jį aktyviai naudoja kūrėjai ir taikomoji programinė įranga. Nors originalią šio failo tipo programinę įrangą gali nustelbti naujesnė versija (pvz., Excel 97 prieš Office 365), šį failo tipą vis dar aktyviai palaiko dabartinė versija. programinė įranga. Šis sąveikos su senąja operacine sistema procesas arba pasenusi versija programinė įranga taip pat žinoma kaip " atgalinis suderinamumas».
Failo būsena
Puslapis Paskutiniai pakeitimai
PE failų tipai
PE Master File asociacija
Programa yra vykdomasis failas, kuris yra nešiojamas į visas Microsoft 32 bitų operacines sistemas, gali būti vykdomas bet kurioje Windows versijos NT, Windows 95 ir Win32s.
Kitų PE failų asociacijos
Papildinys, susietas su Privacy Eraser, interneto trintukas, kuris apsaugo interneto privatumą išvalydamas visus interneto ir kompiuterio veiklos pėdsakus.
Duomenų failas išsaugomas teksto formatu, kuriame saugomi planetų efemerido duomenys sistemos įrankių rinkiniui (STK), pagrįsti fizinio variklio geometrija, sukurta analitine grafika.
Išbandykite Universal File Viewer
Be aukščiau išvardytų produktų, siūlome išbandyti universalią failų peržiūros programą, tokią kaip FileViewPro. Šis įrankis gali atidaryti daugiau nei 200 įvairių tipų failus, suteikiant daugumos jų redagavimo funkciją.
Licencija | | Sąlygos |
PE failų atidarymo trikčių šalinimas
Bendrosios problemos atidarant PE failus
Microsoft Windows neįdiegta
Dukart spustelėję PE failą, pamatysite sistemos dialogo langą, kuriame sakoma „Negalima atidaryti tokio tipo failo“. Šiuo atveju dažniausiai taip yra dėl to, kad Jūsų kompiuteryje nėra įdiegta „Microsoft Windows“, skirta %%os%%. Kadangi jūsų operacinė sistema nežino, ką daryti su šiuo failu, negalėsite jo atidaryti dukart spustelėję jį.
Patarimas: Jei žinote kitą programą, galinčią atidaryti PE failą, galite pabandyti atidaryti nurodytą failą pasirinkdami tą programą iš galimų programų sąrašo.
Įdiegta neteisinga „Microsoft Windows“ versija
Kai kuriais atvejais galite turėti naujesnę (arba senesnę) nešiojamojo vykdomojo failo versiją, nepalaikomas įdiegta versija programos. Jei tinkamos „Microsoft Windows“ programinės įrangos versijos (arba bet kurios kitos anksčiau išvardytos programos) nėra, gali tekti atsisiųsti kitą programinės įrangos versiją arba vieną iš kitų aukščiau išvardytų programų. Ši problema dažniausiai iškyla dirbant senesnę taikomosios programinės įrangos versiją Su failas, sukurtas naujesne versija, kurio senoji versija negali atpažinti.
Patarimas: Kartais galite gauti bendra idėja apie PE failo versiją, dešiniuoju pelės klavišu spustelėdami failą ir pasirinkę Ypatybės (Windows) arba Gauti informaciją (Mac OSX).
Santrauka: Bet kokiu atveju dauguma problemų, kylančių atidarant PE failus, kyla dėl to, kad jūsų kompiuteryje nėra įdiegtos tinkamos taikomosios programinės įrangos.
Įdiekite pasirenkamus produktus - FileViewPro (Solvusoft) | Licencija | Privatumo politika | Sąlygos |
Kitos PE failų atidarymo problemų priežastys
Net jei kompiuteryje jau įdiegta „Microsoft Windows“ arba kita su PE susijusia programinė įranga, vis tiek galite susidurti su problemomis atidarydami „Portable Executable Files“. Jei vis tiek kyla problemų atidarant PE failus, priežastis gali būti susijusi su kitos problemos, neleidžiančios atidaryti šių failų. Tokios problemos yra (išvardytos tvarka nuo dažniausiai iki rečiausiai paplitusių):
- Netinkamos nuorodos į PE failus in Windows registras("Telefonų knyga" Operacinė sistema langai)
- Atsitiktinis aprašymo ištrynimas PE failą „Windows“ registre
- Neužbaigtas arba neteisingas montavimas taikomoji programinė įranga, susijusi su PE formatu
- Failų sugadinimas PE (problemos su pačiu nešiojamu vykdomuoju failu)
- PE infekcija kenkėjiška programa
- Sugadintas arba pasenęs įrenginių tvarkyklės aparatinė įranga, susijusi su PE failu
- Kompiuteryje trūksta pakankamai sistemos resursų Norėdami atidaryti Portable Executable File formatą
Apklausa: kaip dažnai susiduriate su failo plėtiniu, kurio neatpažįstate?
Populiariausi mobiliųjų įrenginių prekės ženklai
| Samsung | (28.86%) | |
| Apple | (21.83%) | |
| Huawei | (9.25%) | |
| Xiaomi | (6.74%) | |
| LG | (3.11%) |
Dienos įvykis
Fotografai gali pasirinkti ilgą failų formatų sąrašą, bet kai jie nori, kad į jų vaizdo įrašus būtų įtraukta daug informacijos apie vaizdą. RAW nuotraukos yra išeitis, iš kurios galima rinktis.
Kaip išspręsti problemas atidarant PE failus
Jei jūsų kompiuteryje yra antivirusinė programa gali nuskaityti visus kompiuteryje esančius failus, taip pat kiekvieną failą atskirai. Galite nuskaityti bet kurį failą dešiniuoju pelės mygtuku spustelėdami failą ir pasirinkę atitinkamą failo virusų nuskaitymo parinktį.
Pavyzdžiui, šiame paveikslėlyje failas mano-failas.pe, tada reikia dešiniuoju pelės mygtuku spustelėti šį failą ir failo meniu pasirinkite parinktį "nuskaityti su AVG". Pasirinkus šią parinktį, bus atidaryta AVG antivirusinė programa ir atliktas nuskaitymas duotą failą dėl virusų buvimo.
Kartais klaida gali atsirasti dėl to neteisingas programinės įrangos įdiegimas, kuris gali būti dėl problemos, kuri įvyko diegimo proceso metu. Tai gali trukdyti jūsų operacinei sistemai susiekite savo PE failą su tinkama programine įranga, darantis įtaką vadinamajai „failų plėtinių asociacijos“.
Kartais paprasta iš naujo įdiegti „Microsoft Windows“. gali išspręsti jūsų problemą tinkamai susieję PE su Microsoft Windows. Kitais atvejais gali kilti failų susiejimo problemų blogas programinės įrangos programavimas kūrėjas, todėl gali tekti susisiekti su kūrėju dėl tolesnės pagalbos.
Patarimas: Pabandykite atnaujinti „Microsoft Windows“ į naujausią versiją, kad įsitikintumėte, jog turite naujausius pataisymus ir naujinimus.
Tai gali atrodyti pernelyg akivaizdu, bet dažnai problemą gali sukelti pats PE failas. Jei gavote failą el. pašto priedu arba atsisiuntėte jį iš svetainės ir atsisiuntimo procesas buvo nutrauktas (pavyzdžiui, dėl elektros energijos tiekimo nutraukimo ar kitos priežasties), failas gali būti sugadintas. Jei įmanoma, pabandykite gauti naują PE failo kopiją ir bandykite atidaryti dar kartą.
Atsargiai: Sugadintas failas gali sukelti papildomos žalos ankstesnei arba jau egzistuojančiai jūsų kompiuteryje esančiai kenkėjiškajai programai, todėl svarbu, kad kompiuteris būtų atnaujintas naudojant naujausią antivirusinę programą.
Jei jūsų PE failas susijusi su jūsų kompiuterio aparatine įranga norėdami atidaryti failą, kurio jums gali prireikti atnaujinti įrenginių tvarkykles susijusi su šia įranga.
Ši problema dažniausiai siejami su medijos failų tipais, kurios priklauso nuo sėkmingo aparatinės įrangos atidarymo kompiuteryje, pavyzdžiui, garso plokštė arba vaizdo plokštės. Pavyzdžiui, jei bandote atidaryti garso failą, bet negalite jo atidaryti, gali prireikti atnaujinti garso plokštės tvarkykles.
Patarimas: Jei bandydami atidaryti PE failą gausite .SYS failo klaidos pranešimas, tikriausiai problema gali būti susijusi su sugadintomis arba pasenusiomis įrenginių tvarkyklėmis kuriuos reikia atnaujinti. Šį procesą galima palengvinti naudojant tvarkyklės atnaujinimo programinę įrangą, tokią kaip DriverDoc.
Jei veiksmai neišsprendė problemos ir vis dar kyla problemų atidarant PE failus, tai gali būti dėl turimų sistemos išteklių trūkumas. Norint tinkamai atidaryti kai kurias PE failų versijas, gali prireikti daug išteklių (pvz., atminties / RAM, apdorojimo galios). Ši problema yra gana dažna, jei tuo pačiu metu naudojate gana seną kompiuterio aparatinę įrangą ir daug naujesnę operacinę sistemą.
Ši problema gali kilti, kai kompiuteriui sunku atlikti užduotį, nes operacinė sistema (ir kitos paslaugos, kurios veikia fone) gali sunaudoja per daug išteklių, kad atidarytumėte PE failą. Prieš atidarydami nešiojamąjį vykdomąjį failą, pabandykite uždaryti visas savo kompiuteryje esančias programas. Atlaisvindami visus turimus išteklius kompiuteryje, užtikrinsite geriausias įmanomas sąlygas bandant atidaryti PE failą.
Jei tu atliko visus aukščiau nurodytus veiksmus ir jūsų PE failas vis tiek neatsidarys, gali tekti paleisti techninės įrangos atnaujinimas. Daugeliu atvejų, net naudojant senesnes aparatinės įrangos versijas, apdorojimo galios vis tiek gali pakakti daugeliui vartotojų programų (nebent dirbate daug procesoriaus reikalaujančio darbo, pvz., 3D atvaizdavimas, finansinis / mokslo modeliavimas ar intensyvus žiniasklaidos darbas). . Šiuo būdu, tikėtina, kad jūsų kompiuteryje nėra pakankamai atminties(dažniau vadinama „RAM“ arba RAM), kad atliktų failo atidarymo užduotį.
Pabandykite atnaujinti savo atmintį norėdami sužinoti, ar tai padeda atidaryti PE failą. Šiandien atminties atnaujinimas yra gana prieinamas ir labai lengvas įdiegti net paprastam kompiuterio vartotojui. Kaip premiją jūs tikriausiai pamatysite gražų našumo padidėjimą kai kompiuteris atlieka kitas užduotis.
Įdiekite pasirenkamus produktus - FileViewPro (Solvusoft) | Licencija | Privatumo politika | Sąlygos |
Prieš puolant bet kokią šarnyrinę gynybą, pravartu žinoti, koks sutankintuvas ar apsauga buvo panaudota. Turėdami patirties galėsite pastebėti daugumą laiptelių iš akies, bet daugiau tikslus patikrinimas naudojami vykdomųjų failų analizatoriai. Be informacijos apie pakuotoją ar apsaugą, jose pateikiama ir daug kitų naudingų duomenų: koks kompiliatorius sukūrė failą, dydžiai ir sekcijų pavadinimai, suspaudimo laipsnis, įėjimo taškas ir jame esantis išardytas kodo fragmentas ir kt. skirtingos programos Funkcijų sąrašas gali skirtis.
Failo formato identifikatorius yra labai sėkmingas Kinijos antivirusinės kompanijos SUCOP vystymas, Naujausia versija 1,4 nuo 2008 m. Analizatorius veikia su išoriniais parašais PEiD formatu, bet pagrindinė vertybė reiškia įmontuotą statinį išpakavimo įrenginį paprastiems pakuotojams. Išpakavimo programa veikia pagal virtualios mašinos technologiją, tai yra, joks kodas iš tikrųjų nevykdomas, o tai ypač svarbu tiriant kenkėjiška programa. Kiti naudingi programos įrankiai yra importo rekonstruktorius, vykdomųjų failų atkūrimo priemonė, poslinkio skaičiuoklė ir perdangos ištraukiklis. Jei suprantate kinų kalbą, galite atsisiųsti iš išorės, bet aš rekomenduoju paimti mano surinkimą iš pridėto failo. Jame pašalinta viskas, kas nereikalinga, išpakavimo variklis pakeistas komerciniu su patobulintomis funkcijomis, pridėta išorinė parašų duomenų bazė. Failo formato identifikatorių rekomenduojama visada turėti po ranka.
Bit Detector – nauja plėtra, taip pat iš arabų krekerių komandos Pagal SEH komandą, paskutinė viešoji 2.8.5.6 versija, išleista 2012 m. birželio mėn. Be kompiliatoriaus ir pakuotojo nustatymo funkcijos, jame yra keletas naudingų ir nelabai naudingų įrankių.
DNiD- programa, panaši į PEiD, bet orientuota į .NET programas. Leidžia apibrėžti daugybę skirtingų .NET programų kompiliatorių, apsauginių, pakuotojų ir obfuskatorių versijų.
DNiD.1.0.zip (273 389 baitai)
A-Ray skaitytuvas, projektas jau seniai neatnaujintas, naujausia versija 2.0.2.2 nuo 2005 m. Programa skirta tik CD/DVD diskams nuskaityti ir apibrėžia kelias dešimtis disko apsaugos nuo kopijavimo. Taip pat apibrėžia kai kuriuos vykdomųjų failų pakuotojus ir apsaugas.
A-Ray.Scanner.2.0.2.2.zip (320 892 baitai)
Clony XXL- programa, kuri nustato CD apsaugos tipą. Kaip ir ankstesnė programa, ji ilgą laiką nebuvo atnaujinta, naujausia versija yra 2003 m. 2.0.1.5. Apibrėžia apsaugas: SafeDisc, SecuROM, Discguard, LaserLok, Psx/Lybcrypt, Cactus Data Shield (garso CD), Lock Blocks, CD Check, ProtectetCD-VOB, CD-Extra ir apsaugą, pagrįstą nestandartiniu informacijos išdėstymu diske. Numatytoji sąsaja yra vokiečių, bet nustatymuose persijungia į anglų kalbą.
ClonyXXL.2.0.1.5.zip (276 879 baitai)
Be universalių analizatorių, yra keletas specialių apsaugos priemonių. Naudingiausi yra ASPrINF, VerA, Armadillo Find Protected, Armadillo Informant ir Detemida.
ASPrINF pateikė nik0g0r iš TLG komandos, dar viena vietinė plėtra, naujausia 1.6 beta versija. Mažas įrankis skirtas tikslus apibrėžimas„ASProtect“ versija, apimanti failą. Naudojama dinaminė analizė, o ne parašo analizė, todėl versija nustatoma be klaidų. Be tikslios ASProtect versijos, programa rodo informaciją apie tai, kam apsauga yra registruota, kad skustuvai, kurie savo darbams naudoja sudužusias apsaugas, gali būti lengvai rodomi svarus vanduo:)
28
vasario mėn
2012
PE Explorer 1.99 R6 RePack
Išleidimo metai: 2011 m
Žanras: failų rengyklė
Kūrėjas: „Heaventools“ programinė įranga
Kūrėjo svetainė: http://www.heaventools.ru
Sąsajos kalba: rusų
Surinkimo tipas: perpakavimas
Bitų gylis: 32/64 bitai
Operacinė sistema: Windows XP, Vista, 7
Sistemos reikalavimai:
Procesorius Intel Pentium® arba AMD K5 166 MHz, 16 MB RAM
Apibūdinimas: PE Explorer yra programa, skirta peržiūrėti, studijuoti, analizuoti ir redaguoti vykdomųjų failų vidinę struktūrą. Naudodami PE Explorer galite tyrinėti kaip savo savo programas ir bibliotekos bei trečiųjų šalių kūrėjų programos, prie kurių šaltinio tekstų jūs neturite prieigos. Tai taip pat apima virusų, Trojos arklių ir kitų kenkėjiškų programų įrenginio tyrimą.
PE Explorer leidžia atidaryti, peržiūrėti ir redaguoti 32 bitų PE (Portable Executable) failus, skirtus bet kokio tipo Windows: EXE, DLL ir ActiveX, SCR (ekrano užsklandos), CPL (valdymo skydo programėlės), SYS, DRV, MSSTYLES, MUI. , BPL, DPL ir daugelis kitų.
* Pažiūrėkite, kas yra vykdomųjų failų viduje ir kam jie skirti
* Keisti ir tinkinti programų grafinės sąsajos elementus
* Nustatykite, kur programa pasiekia ir kurie DLL iš jos iškviečiami
* Numatykite programos elgesį ir sąveikos su kitais moduliais logiką
* Patikrinkite failo skaitmeninio parašo buvimą ir vientisumą, patikrinkite tiekėją
* Gaukite patarimą apie funkcijų parametrus, eksportuotus iš sistemos bibliotekų
* Tiesiogiai atidarykite failus, supakuotus su UPX, UPack arba NNSPack
* Specialus Delphi parašytų programų palaikymas
* Pavadinimo ir skyriaus redaktorius
* Išteklių redaktorius
* Eksportuotų / importuotų funkcijų ir jų parametrų sąrašo peržiūros priemonė
* Išmontuotojas
* Priklausomybės skaitytuvas
* Skaitmeninio parašo peržiūros priemonė
* Statiniai išpakavimo įrenginiai UPX, UPack ir NPack
* Ir daug daugiau
Galimybė dirbti su sugadintais failais saugiuoju režimu
- Vykdomojo failo integracijos tikrinimas
- Automatinis failų, supakuotų su UPX, WinUpack, NSPack, išpakavimas
- Pakeitimų išsaugojimas kaip nauji vykdomieji failai
- Disassembler, skirtas atkurti pirminį vykdomojo failo kodą
- Priklausomybės analizatorius, skirtas nustatyti minimalų bibliotekų rinkinį, reikalingą failui
- Įrankis, skirtas pašalinti faile esančią derinimo informaciją
- Įrankis fiksavimo stalams pašalinti
– Ištaisytos klaidos, atsiradusios peržiūrint failus sistemoje „Windows Vista“, ir pašalintos nedidelės klaidos.
25
Balandžio mėn
2011
UFS Explorer Professional Recovery 3.19.1 RePack
Išleidimo metai: 2011 m
Žanras: duomenų atkūrimas
21
Balandžio mėn
2017
Fraps 3.5.99 Build 15618 RePack, D!akovas
Išleidimo metai: 2016 m
Žanras: ekrano kopija, ekrano fiksavimas, FPS
Kūrėjo svetainė: fraps.com
Sąsajos kalba: rusų
Surinkimo tipas: perpakavimas
Bitų gylis: 32/64 bitai
Sistemos reikalavimai: Windows XP | vista | 7| 8| dešimt
Aprašymas: Fraps – skirtas skaičiuoti FPS (kadrų per sekundę) skaičių programose, veikiančiose OpenGL ir Direct3D režimais. Priemonė gali daryti ekrano kopijas ir įrašyti vaizdo įrašus su vaizdu iš ekrano. Fraps susideda iš trijų modulių lyginamosios analizės programinės įrangos, ekrano fiksavimo programinės įrangos, vaizdo įrašymo realiuoju laiku programinės įrangos. Lyginamoji programinė įranga – parodo, kiek kadrų per sekundę (FP...
07
Balandžio mėn
2016
Windows 10 PE, sukurta Ratiborus v.4.5.1 BootDVD 64 bitų
Išleidimo metai: 2016 m
Žanras: Windows 10 PE įkrovos diskas
Kūrėjas: Ru.Board
Kūrėjo svetainė: https://href.li/?http://forum.ru-board.com/topic.cgi?forum=2&topic=5328#1
Sąsajos kalba: rusų
Sukūrimo tipas: BootDVD
Bitų gylis: 64 bitai
Operacinė sistema: Windows)
Sistemos reikalavimai: Procesorius: 1 GHz arba spartesnė RAM: 2 GB Ekrano skiriamoji geba: 1024 x 768
Aprašymas: Įkrovos diskas, pagrįstas Windows 10 PE – skirtas kompiuteriams aptarnauti, darbui su standžiaisiais diskais ir skaidiniais, diskų ir skaidinių atsarginėms kopijoms kurti ir atkurti, kompiuterio diagnozavimui ir duomenims atkurti. Papildyti. info...
21
vasario mėn
2011
Minecraft World Explorer 1.4
Išleidimo metai: 2010 m
Žanras: Arkados
Kūrėjas: Robots and Pencils Inc.
Kūrėjo svetainė: http://hq.robotsandpencils.com/
Sąsajos kalba: rusų
Platforma: iPhone
Sistemos reikalavimai: iOS 3.2 ir naujesnės versijos
Aprašymas: „Minecraft“ yra beprotišką priklausomybę sukeliantis žaidimas – lengva pradėti, bet neįmanoma sustabdyti. Galiausiai galite kurti, žaisti ir tyrinėti 3D pasaulius savo iPad ir iPhone.
05
Balandžio mėn
2011
Deepnet Explorer 1.5.3 Beta
Išleidimo metai: 2006 m
Žanras: Naršyklė
Kūrėjas: Deepnet Security
Kūrėjo svetainė: http://www.deepnetexplorer.com/
Sąsajos kalba: anglų + rusų
Platforma: Windows XP, Vista, 7
Aprašymas: „Deepnet Explorer“ yra pirmoji pasaulyje naršyklė su RSS naujienų skaitytuvu, P2P kliento integracija ir įspėjimais apie sukčiavimą. Dėl aukščiausios naršyklės saugumo, funkcionalumo ir naudojimo patogumo „Deepnet“ išsiskiria iš kitų. Perjunkite į kaip niekada anksčiau naršymą. Daugiau informacijosDeepnet Explorer yra viena saugiausių interneto naršyklių. Nors Deepnet Explorer naudoja IE...
26
vasario mėn
2008
Mano telefono naršyklė 1.6.2 RU (nauja versija) (2007 m.)
Išleidimo metai: 2007 m
Žanras: mobiliųjų telefonų programinės įrangos kūrėjas: F.J. VESELBERGERIS
Leidėjas: MadMax
Leidinio tipas: piratas
Sąsajos kalba: tik rusų
Vaistai: Nereikalaujama
Platforma: PC
Sistemos reikalavimai: Windows 95,98,2000,me, XP,VISTA,16 MB RAM
Aprašymas: Galingiausia programa, skirta jūsų telefonui tvarkyti. Jame yra failų tvarkyklė, sms redaktoriai, telefonų knyga, profiliai ir kt. Ji taip pat žino, kaip išsaugoti atsargines visko, kas yra telefone, kopijas ir atitinkamai atkurti iš atsargines kopijas. Galimybė sinchronizuoti su Outlook. AT bendra galimybė labai didelis. Teoriškai turėtų...
07
kovo mėn
2011
„DiskSpace Explorer 3.0.1.328 Home Edition“.
Versija: 3.0.1.328
Išleidimo metai: 2004 m
Žanras: Katalogas
Kūrėjas: EAST Technologies
Kūrėjo svetainė: http://www.east-tec.com
Sąsajos kalba: anglų
Platforma: Windows 95, 98, Me, 2000, XP, 2003, Vista, 2008, 7
Sistemos reikalavimai: Pentium II procesorius, 200 MHz, 1 MB vietos diske
Aprašymas: programa kuria failų sistemos skritulines diagramas. Tai leis jums pamatyti, kuriuose aplankuose yra daug sunkių failų, o tai labai padeda išvalyti standųjį diską nuo senų šiukšlių. Pritvirtintas plyšys.
Papildyti. Informacija: paleiskite diegimo programą. Įdiegę pataisą įmetame į aplanką su programa, paleidžiame ...
16
kovo mėn
2012
TechSmith Camtasia Studio 7.1.1.1785 + Lite RePack + Portable + RePack
Išleidimo metai: 2011 m
Žanras: Ekrano fiksavimas, vaizdai
Kūrėjas: TechSmith Corporation
Kūrėjo svetainė: http://www.techsmith.com/
Sąsajos kalba: rusų + anglų
Sukūrimo tipas: standartinis + nešiojamasis + pakartotinis paketas
Bitų gylis: 32 bitai
Operacinė sistema: Windows XP, Vista, 7
Sistemos reikalavimai: „Microsoft DirectX 9“ arba naujesnė versija 1,5 GHz, mažiausiai vieno branduolio ~ Rekomenduojama: „Intel“ 2,0 GHz dviejų branduolių arba geresnis, mažiausiai 1 GB RAM ~ Rekomenduojama: 2,0 GB ar daugiau 500 MB vietos standžiajame diske programai įdiegti Ekrano matmenys 1024 x 768 arba didesnis
Aprašymas: „Camtasia Studio“ yra galinga programa, skirta kapitonui...
07
rugsėjis
2012
„XnView 1.99.1 Full“ + nešiojamas
Išleidimo metai: 2012 m
Žanras: Grafikos redaktorius, keitiklis
Kūrėjas: XnView
Kūrėjo svetainė: http://www.xnview.com/
Konstravimo tipas: standartinis + nešiojamas
Bitų gylis: 32/64 bitai
Aprašymas: „XnView“ yra patogi priemonė grafiniams failams peržiūrėti ir konvertuoti. Ši gera grafinių failų peržiūros priemonė turi didelės spartos, patogią sąsają, palaiko daugiau nei 500 grafinių formatų ir konvertuoja 50 formatų tarpusavyje. XnView gali apkarpyti grafiką, keisti el...
10
bet aš
2013
VSO ConvertXtoDVD 5.1.0.2 Final RePack RePack
Išleidimo metai: 2013 m
Žanras: Video konverteris
Kūrėjas: VSO programinė įranga
Kūrėjo svetainė: http://ru.vso-software.fr
Sąsajos kalba: daugiakalbė (yra rusų kalba)
Surinkimo tipas: perpakavimas
Bitų gylis: 32/64 bitai
Operacinė sistema: Windows XP, Vista, 7, 8
Aprašymas: VSO ConvertXtoDVD yra programa, skirta konvertuoti vaizdo įrašą į formatą, suderinamą su DVD vaizdo įrašu, ir įrašyti turinį į DVD. Programa palaiko vaizdo įrašus AVI failus, Mpeg, Mpeg4, DivX, Xvid, MOV, WMV, WMV HD, DV, MKV, DVD, taip pat vaizdo transliacija. Programai nereikia išorinių AVI kodekų, nes ji naudoja...
25
Balandžio mėn
2011
UFS Explorer Professional Recovery 3.19.1 32-bit/64-bit
Išleidimo metai: 2011 m
Žanras: duomenų atkūrimas
Kūrėjas: SysDevSoftware, SysDev Laboratories LLC plėtros ir tyrimų padalinys.
Kūrėjo svetainė: http://www.ufsexplorer.com/
Sąsajos kalba: rusų + anglų
Platforma: Windows 2000, XP, XP x64, 2003, 2003 x64, Vista, Vista x64, 2008, 2008 x64, 7, 7 x64
Sistemos reikalavimai: CPU: suderinamas su Pentium, 32 ir 64 bitų.
Kietasis diskas: 10 MB laisvos vietos.
RAM: mažiausiai 256 MB.
Aprašymas: UFS Explorer Professional Recovery – profesionali versija programinės įrangos produktas, kuris yra galingas, išsamus ir lengvas...
25
Balandžio mėn
2011
UFS Explorer standartinis atkūrimas 4.9.1 32 bitų / 64 bitų
Išleidimo metai: 2011 m
Žanras: duomenų atkūrimas
Kūrėjas: SysDevSoftware, SysDev Laboratories LLC plėtros ir tyrimų padalinys.
Kūrėjo svetainė: http://www.ufsexplorer.com/
Sąsajos kalba: rusų + anglų
Platforma: Windows 2000, XP, XP x64, 2003, 2003 x64, Vista, Vista x64, 2008, 2008 x64, 7, 7 x64
Sistemos reikalavimai: CPU: suderinamas su Pentium, 32 ir 64 bitų.
Kietasis diskas: 10 MB laisvos vietos.
RAM: mažiausiai 256 MB.
Aprašymas: „UFS Explorer Standard Recovery“ yra visų funkcijų produktas, sukurtas specialiai duomenims atkurti. Apima visas n...
30
rugsėjis
2017
Adobe InDesign CC 2017.1 12.1.0.56 RePack by KpoJIuK 12.1.0.56 RePack
Išleidimo metai: 2017 m
Žanras: grafinis redaktorius
Kūrėjas: Adobe
Kūrėjo svetainė: www.adobe.com
Sąsajos kalba: daugiakalbė (yra rusų kalba)
Surinkimo tipas: perpakavimas
Bitų gylis: 64 bitai
Operacinė sistema: Windows 7, 8, 8.1, 10
Sistemos reikalavimai: Intel Pentium 4 arba AMD Athlon 64 procesorius Microsoft Windows 7 SP1, Windows 8, Windows 8.1 arba Windows 10 2 GB RAM (rekomenduojama 8 GB) 2,6 GB laisvos vietos standžiajame diske diegimui; įdiegimui reikia papildomos laisvos vietos (negalima įdiegti ant nuimamų įrenginių x...
22
liepos mėn
2017
AusLogics BoostSpeed 9.1.4.0 DC 2017-07-14 RePack (nešiojamas) iš elchupacabra 9.1.4.0 RePack
Išleidimo metai: 2017 m
Žanras: sistemos optimizavimas
Kūrėjas: Auslogics Software Pty Ltd.
Kūrėjo svetainė: http://www.auslogics.com/ru/
Sąsajos kalba: rusų + anglų
Surinkimo tipas: perpakavimas
Bitų gylis: 32/64 bitai
Operacinė sistema: Windows XP, Vista, 7, 8, 8.1, 10
Aprašymas: „Auslogics BoostSpeed“ yra populiarus įrankių rinkinys, skirtas operacinei sistemai optimizuoti ir koreguoti. Naudodami šią programą galite žymiai optimizuoti savo sistemos našumą, lengvai konfigūruoti įvairius "Windows" nustatymus, išvalyti kietąjį diską ir sistemos registrą nuo šiukšlių ir nereikalingų įrašų, padaryti ...
05
vasario mėn
2017
Total Commander 9.0a Freemen 17.1 Perpack by notn 9.00a final RePack
Išleidimo metai: 2017.02.03
Žanras: Failų tvarkyklė
Kūrėjas: Christian Ghisler
Kūrėjo svetainė: http://www.ghisler.com/
Sąsajos kalba: daugiakalbė (yra rusų kalba)
Surinkimo tipas: perpakavimas
Bitų gylis: 32/64 bitai
Operacinė sistema: Windows (XP,2003,Vista,2008,7,2012,8.x,10,2016)
Sistemos reikalavimai: Windows 7,8,10
Apibūdinimas: Totalus vadas yra galingiausia ir stabiliausia Windows failų tvarkyklė su patogia vartotojo sąsaja. Total Commander tęsia geras dviejų langelių failų tvarkyklių tradicijas, tačiau skiriasi padidintu patogumu ir funkcionalumu, palaikymu...
