Portable Executable (PE) är ett körbart filformat som har funnits länge och som fortfarande används på alla versioner av Windows. Detta inkluderar filer med formatet *.exe, *.dll och andra, och sådana filer innehåller all information om programmet. Men vilket program som helst kan innehålla ett virus, och innan installationen är det önskvärt att veta vad som lagras bakom en fil med detta format. Detta kan hittas med PE Explorer.
PE Explorer är ett program som är utformat för att visa och ändra allt som finns i PE-filer. Detta program skapades och används mycket ofta för att upptäcka virus, men på detta användbara funktionerär inte begränsade. Till exempel kan den användas för att ta bort felsökningsinformation eller översätta vilket program som helst till ryska.
Medan programmet komprimeras är det vanligtvis krypterat så att användaren eller någon annan inte kan se allt som händer bakom kulisserna. Men PE Explorer stoppar inte detta, för tack vare en specialskriven algoritm kan den dekryptera dessa filer och visa allt innehåll.
Bläddra bland titlar
Så snart du öppnar PE-filen kommer programmet att öppna header viewer. Här kan du se många intressanta saker, men ingenting kan ändras, och det är inte nödvändigt.
Datakataloger
Datakataloger (datakataloger) är en viktig del av alla körbara filer, eftersom det är i denna array som information om strukturer lagras (deras storlek, pekare till början, etc.). Kopior av filer bör ändras, annars kan det leda till oåterkalleliga konsekvenser.
Avsnittsrubriker
All viktig applikationskod lagras i PE Explorer i olika sektioner för större ordning. Eftersom det här avsnittet innehåller all data kan de ändras genom att byta plats. Om vissa data inte skulle ändras kommer programmet att meddela dig om det.
Resursredigerare
Som du vet är resurser en integrerad del av programmet (ikoner, formulär, inskriptioner). Men med hjälp av PE Explorer kan de ändras. Således kan du ersätta programikonen eller översätta programmet till ryska. Här kan du även spara resurser till din dator.
Demonterare
Detta verktyg är nödvändigt för uttrycklig analys av körbara filer, dessutom är det gjort i ett mer förenklat, men inte mindre funktionellt format.
Importtabell
Tack vare det här avsnittet i programmet kan du ta reda på om programmet som kontrolleras är skadligt för din dator. Detta avsnitt innehåller alla funktioner som finns i programmet.
Dependency Scanner
En annan fördel med programmet i kampen mot virus. Här kan du se beroendet med dynamiska bibliotek, och därigenom känna igen om denna applikation utgör ett hot mot din dator eller inte.
Programfördelar
- Intuitiv
- Förmåga att förändra resurser
- Låter dig ta reda på om virus i programmet redan innan du kör koden
Brister
- Brist på förryssning
- Betald (gratisversion endast tillgänglig i 30 dagar)
PE Explorer är ett utmärkt verktyg som gör att du kan skydda din dator från virus. Naturligtvis kan det användas i en annan riktning, genom att lägga till farlig kod till ett helt ofarligt program, men detta rekommenderas inte. Dessutom, på grund av möjligheten att ändra resurser, kan du lägga till reklam eller översätta programmet till ryska.
Typedef struct _IMAGE_FILE_HEADER ( WORD Machine; WORD NumberOfSections; DWORD TimeDateStamp; DWORD PointerToSymbolTable; DWORD NumberOfSymbols; WORD SizeOfOptionalHeader; WORD Characteristics; ) IMAGE_FILE_HEADER, *PHEIMAGE_HEADER;
Jag kommer bara torrt att beskriva dessa fält, eftersom. namnen är intuitiva och representerar direkta betydelser, inte VA, RVA, RAW och andra läskiga spännande saker som vi bara har hört talas om från de gamla piraterna. Även om vi redan har stött på RAW är dessa bara förskjutningar i förhållande till början av filen (de kallas också råpekare eller filoffset). Det vill säga, om vi har en RAW-adress betyder det att vi måste gå från början av filen till RAW-positioner ( ptrFile+RAW). Efter det kan du börja läsa värdena. Ett utmärkt exempel på denna typ är e_lfnew- som vi behandlade ovan i Dos-rubriken.
*maskin: WORD är ett tal (2 byte) som anger vilken processorarkitektur som den här applikationen kan utföras.
NumberOfSections: DWORD - antal sektioner i filen. Sektioner (hädanefter kallade sektionstabellen) följer omedelbart efter rubriken (PE-Header). Dokumentationen säger att antalet avsnitt är begränsat till 96.
Tidsdatumstämpel: WORD - ett nummer som innehåller datum och tid då filen skapades.
PointerToSymbolTable: DWORD är förskjutningen (RAW) till symboltabellen, och SizeOfOptionalHeader är storleken på denna tabell. Denna tabell är avsedd att fungera som en lagring av felsökningsinformation, men avdelningen märkte inte förlusten av en fighter från början av tjänsten. Oftast rensas detta fält med nollor.
SizeOfOptionHeader: WORD - storleken på den valfria rubriken (som följer den nuvarande) Dokumentationen anger att för en objektfil är den satt till 0...
*Egenskaper: WORD - filegenskaper.
* - fält som definieras av ett värdeintervall. Tabeller över möjliga värden presenteras i beskrivningen av strukturen på kontoret. webbplats och kommer inte att ges här, eftersom. de har inget särskilt viktigt för att förstå formatet.
Låt oss lämna den här ön! Vi måste gå vidare. Landmärket är ett land som kallas Optional-Header.
"Var är kartan, Billy? Jag behöver en karta."
(Skattön)
Optional-Header(IMAGE_OPTIONAL_HEADER)
Namnet på denna fastlandstitel är inte särskilt framgångsrikt. Denna rubrik är obligatorisk och har 2 format PE32 och PE32+ (IMAGE_OPTIONAL_HEADER32 respektive IMAGE_OPTIONAL_HEADER64). Formatet lagras i fältet Magi: ORD. Rubriken innehåller nödvändig information för att ladda ner filen. Som alltid :
IMAGE_OPTIONAL_HEADER
typedef struct _image_optional_header (Word Magic; byte MajorLinkerVersion; byte minorLinkerversion; dword sizeOfCode; dword sizeOfinitializedData; dword imageOfunInitializedData; dword Adressofentrypoint; dword BaseOfCode; dword BaseOfData MinorImageVersion; WORD MajorSubsystemVersion; WORD MinorSubsystemVersion; DWORD Win32VersionValue; DWORD SizeOfImage; DWORD SizeOfHeaders; DWORD CheckSum; WORD Subsystem; WORD DllCharacteristics; DWORD SizeOfStackReserve; DWORD SizeOfStackCommit; DWORD SizeOfHeapReserve; DWORD SizeOfHeapCommit; DWORD LoaderFlags; DWORD NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory; ) IMAGE_OPTIONAL_HEADE R , *PIMAGE_OPTIONAL_HEADER;
* Som alltid kommer vi bara att täcka de huvudfält som har störst inverkan på idén om att ladda upp och hur man går vidare med filen. Låt oss komma överens om att fälten i denna struktur innehåller värden med VA (Virtuell adress) och RVA (Relativ virtuell adress) adresser. Dessa är redan adresser som inte liknar RAW, och de måste kunna läsa (mer exakt, räkna). Vi kommer säkert att lära oss hur man gör detta, men bara till att börja med kommer vi att analysera strukturerna som följer varandra för att inte bli förvirrade. För nu, kom bara ihåg - det här är adresser som efter beräkningar pekar på särskild plats i fil. Det kommer också att finnas ett nytt koncept – alignment. Vi kommer att överväga det tillsammans med RVA-adresser, eftersom dessa är ganska nära besläktade.
AddressOfEntryPoint: DWORD - RVA-ingångsadress. Kan peka på vilken punkt som helst i adressutrymmet. För .exe-filer motsvarar ingångspunkten adressen från vilken programmet börjar köras och kan inte vara noll!
BaseOfCode: DWORD - RVA för början av programkoden (kodavsnitt).
BaseOfData: DWORD - RVA för början av programkoden (datasektion).
bildbas: DWORD - Föredragen programladdningsbasadress. Måste vara en multipel av 64 kb. I de flesta fall är det 0x00400000.
Sektionsjustering: DWORD - storlek på justering (byte) av sektionen vid urladdning till virtuellt minne.
Filjustering: DWORD - justeringsstorlek (byte) för en sektion i en fil.
SizeOfImage: DWORD - filstorlek (i byte) i minnet, inklusive alla rubriker. Måste vara en multipel av SectionAligment.
SizeOfHeaders: DWORD - storleken på alla rubriker (DOS, DOS-Stub, PE, Sektion) anpassade till FileAligment.
NumberOfRvaAndSizes: DWORD - antalet kataloger i katalogtabellen (under själva tabellen). På det här ögonblicket detta fält är alltid lika med den symboliska konstanten IMAGE_NUMBEROF_DIRECTORY_ENTRIES, som är lika med 16.
Datakatalog: IMAGE_DATA_DIRECTORY - datakatalog. Enkelt uttryckt är detta en array (storlek 16), vars varje element innehåller en struktur med 2 DWORD-värden.
Tänk på hur strukturen IMAGE_DATA_DIRECTORY är:
Typdef struct _IMAGE_DATA_DIRECTORY (DWORD VirtualAddress; DWORD-storlek; ) IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
Det vi har? Vi har en uppsättning av 16 element, där varje element innehåller adressen och storleken (vad? hur? varför? allt på en minut). Frågan uppstår vad exakt dessa egenskaper är. För detta har microsoft speciella konstanter att matcha. De kan ses i slutet av beskrivningen av strukturen. Tills vidare:
// Directory -poster #define image_directory_entry_export 0 // exportkatalog #define image_directory_entry_import 1 // importera katalog #define image_directory_entry_reource 2 // resurs Directory #define image_directory_entry_except IMAGE_DIRECTORY_ENTRY_DEBUG 6 // Debug Directory // IMAGE_DIRECTORY_ENTRY_COPYRIGHT 7 // (X86 usage) #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE 7 // Architecture Specific Data #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR 8 // RVA of GP #define IMAGE_DIRECTORY_ENTRY_TLS 9 // TLS Directory #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 10 // Load Configuration Katalog #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 11 // Bunden importkatalog i rubriker #define IMAGE_DIRECTORY_ENTRY_IAT 12 // Importadresstabell #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT 13 // Fördröjd laddning av importbeskrivare #define IMA GE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14 // COM Runtime descriptor
A ha! Vi ser att varje element i arrayen är ansvarigt för tabellen som är kopplad till den. Men tyvärr och ack, medan dessa stränder är otillgängliga för oss, eftersom. vi vet inte hur man arbetar med VA- och RVA-adresser. Och för att lära oss måste vi lära oss vad avsnitt är. Det är de som ska prata om sin struktur och sitt arbete, varefter det kommer att bli tydligt varför VA, RVA och linjer behövs. I den här artikeln kommer vi bara att beröra export och import. Syftet med de återstående fälten finns på kontoret. dokumentation eller böcker. Så. Egentligen fält:
virtuell adress: DWORD - RVA för tabellen som arrayelementet motsvarar.
storlek: DWORD - tabellstorlek i byte.
Så! För att komma till sådana exotiska stränder som tabeller över import, export, resurser och andra, måste vi slutföra ett uppdrag med sektioner. Tja, stugpojke, låt oss ta en titt på gemensamt kort, bestäm var vi är nu och gå vidare:
Och vi är inte direkt framför de breda vidderna av sektioner. Vi måste med alla medel ta reda på vad de döljer och slutligen ta itu med en annan typ av adressering. Vi vill ha riktigt äventyr! Vi vill snabbt gå till sådana republiker som import- och exporttabeller. Gamla pirater säger att inte alla kunde ta sig till dem, och de som kom tillbaka kom tillbaka med guld och kvinnor med helig kunskap om havet. Vi sätter segel och håller oss till sektionshuvudet.
”- Du är avsatt, Silver! Gå av tunnan!"
(Skattön)
Sektionshuvud (IMAGE_SECTION_HEADER)
Precis bakom arrayen Datakatalog sektioner följer varandra. Sektionstabellen är en suverän stat, som är indelad i NumberOfSections städer. Varje stad har sitt eget hantverk, sina egna rättigheter, samt en storlek på 0x28 byte. Antalet avsnitt anges i fältet NumberOfSections, som lagras i File-header. Så låt oss titta på strukturen:
Typdef struct _IMAGE_SECTION_HEADER ( BYTE Name; union ( DWORD PhysicalAddress; DWORD VirtualSize; ) Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD PointerToRelocations; DWORD PointerToLORDinenumberWORDinenummerOfS
namn: BYTE - avsnittsnamn. Den är för närvarande 8 tecken lång.
VirtualSize: DWORD - sektionsstorlek i virtuellt minne.
SizeOfRawData: DWORD - sektionsstorlek i filen.
virtuell adress: DWORD - RVA-sektionsadress.
SizeOfRawData: DWORD - sektionsstorlek i filen. Måste vara en multipel Filjustering.
PointerToRawData: DWORD - RAW offset till början av avsnittet. Måste också vara en multipel Filjustering…
Egenskaper: DWORD - sektionsåtkomstattribut och regler för att ladda den i Wirth. minne. Till exempel ett attribut för att definiera innehållet i en sektion (initialdata, icke-initialdata, kod). Eller få tillgång till attribut - läsning, skrivning, utförande. Detta är inte hela spektrat. Karakteristika sätts av konstanter från samma WINNT.h, som börjar med IMAGE_SCN_. Du kan bekanta dig med attributen för sektioner mer i detalj. Attributen är också väl beskrivna i Chris Kasperskys böcker - referenser i slutet av artikeln.
Angående namnet bör följande komma ihåg - avsnittet med resurser ska alltid ha namnet .rsrc. Annars kommer resurserna inte att laddas. Vad gäller resten av avsnitten kan namnet vara vad som helst. Vanligtvis finns det meningsfulla namn, som .data, .src, etc... Men det händer också:
Sektioner är ett område som laddas ur i virtuellt minne och allt arbete görs direkt med denna data. En adress i virtuellt minne, utan några förskjutningar, kallas en virtuell adress, förkortat VA. Önskad adress för nedladdning av applikationen, ställ in i fältet bildbas. Det är som den punkt där applikationsområdet startar i det virtuella minnet. Och i förhållande till denna punkt räknas förskjutningar RVA (Relativ virtuell adress). Det vill säga VA = bildbas+ RVA; bildbas vi vet alltid och med VA eller RVA till vårt förfogande kan vi uttrycka det ena genom det andra.
De verkar ha vant sig vid det. Men det är virtuellt minne! Och vi är i det fysiska. Virtuellt minne för oss nu är som en resa till andra galaxer, som vi bara kan föreställa oss än så länge. Så vi kan inte komma in i det virtuella minnet för tillfället, men vi kan ta reda på vad som kommer att finnas där, eftersom det är hämtat från vår fil.
inriktning
För att korrekt representera lossningen i Wirth. minne, är det nödvändigt att ta itu med en sådan mekanism som justering. Låt oss först ta en titt på diagrammet över hur sektioner byts ut i minnet.
Som du kan se laddas sektionen ut i minnet inte enligt dess storlek. Justeringar används här. Detta är värdet som måste vara en multipel av sektionsstorleken i minnet. Om vi tittar på diagrammet kommer vi att se att sektionsstorleken är 0x28, och den är lossad i storleken 0x50. Detta beror på storleken på inriktningen. 0x28 "når inte" 0x50 och som ett resultat kommer sektionen att laddas ur, och resten av utrymmet i mängden 0x50-0x28 kommer att annulleras. Och om sektionsstorleken var större än anpassningsstorleken, vad då? Till exempel sektionsstorlek= 0x78, och sektionsjustering= 0x50, dvs. förblev oförändrad. I det här fallet skulle sektionen uppta 0xA0 (0xA0 = 0x28 * 0x04) byte i minnet. Det vill säga ett värde som är en multipel sektionsjustering och helt täcker sektionsstorlek. Det bör noteras att sektionerna i filen är justerade på samma sätt, endast efter storleken Filjustering. Efter att ha fått nödvändig bas, kan vi ta reda på hur man konverterar från RVA till RAW.
"Här har du ingen slätt, här är klimatet annorlunda."
(V.S. Vysotsky)
En liten lektion i aritmetik
Innan exekveringen påbörjas måste någon del av programmet skickas till processorns adressutrymme. Adressutrymmet är mängden RAM som fysiskt adresseras av processorn. "Pjäsen" i adressutrymmet där programmet laddas ur kallas en virtuell bild. Bilden kännetecknas av basladdningsadressen (bildbas) och storlek (bildstorlek). Så VA (virtuell adress) är adressen i förhållande till början av virtuellt minne, och RVA (Relativ virtuell adress) är relativt platsen där programmet laddades ur. Hur kan jag ta reda på basnedladdningsadressen för en app? Det finns ett separat fält för detta i den valfria rubriken som kallas bildbas. Det var ett litet förspel för att fräscha upp mitt minne. Betrakta nu en schematisk representation av olika adresseringar:
Så hur kan du fortfarande läsa information från en fil utan att ladda ner den i det virtuella minnet? För att göra detta måste du konvertera adresserna till RAW-format. Sedan kan vi gå in i filen till det område vi behöver och läsa nödvändiga data. Eftersom RVA är den virtuella minnesadressen som mappades från filen, kan vi vända processen. För detta behöver vi nyckeln nio gånger sexton enkel aritmetik. Här är några formler:
VA = ImageBase + RVA; RAW = RVA - sectionRVA + rawSection; // rawSection - förskjutning till sektionen från början av filen // sectionRVA - sektion RVA (det här fältet lagras i sektionen)
Som du kan se, för att beräkna RAW måste vi bestämma sektionen som RVA tillhör. För att göra detta måste du gå igenom alla avsnitt och kontrollera följande villkor:
RVA >= avsnittVitualAddress && RVA< ALIGN_UP(sectionVirtualSize, sectionAligment)
// sectionAligment - выравнивание для секции. Значение можно узнать в Optional-header.
// sectionVitualAddress - RVA секции - хранится непосредственно в секции
// ALIGN_UP() - функция, определяющая сколько занимает секция в памяти, учитывая выравнивание
När vi lägger alla pussel får vi följande lista:
Typedef uint32_t DWORD; typedef uint16_t WORD; typedef uint8_t BYTE; #define ALIGN_DOWN(x, align) (x & ~(align-1)) #define ALIGN_UP(x, align) ((x & (align-1))?ALIGN_DOWN(x,align)+align:x) // IMAGE_SECTION_HEADER sektioner; // init array sektioner int defSection(DWORD rva) ( för (int i = 0; i< numberOfSection; ++i)
{
DWORD start = sections[i].VirtualAddress;
DWORD end = start + ALIGN_UP(sections[i].VirtualSize, sectionAligment);
if(rva >= starta && rva< end)
return i;
}
return -1;
}
DWORD rvaToOff(DWORD rva)
{
int indexSection = defSection(rva);
if(indexSection != -1)
return rva - sections.VirtualAddress + sections.PointerToRawData;
else
return 0;
}
*Jag inkluderade inte en typdeklaration och arrayinitiering i koden, utan tillhandahöll bara funktioner som hjälper till att beräkna adresser. Som du kan se är koden inte särskilt komplicerad. Är det lite förvirrande. Det försvinner... om du ägnar lite mer tid åt att mixtra med .exe genom disassemblern.
HURRA! Förstått. Nu kan vi gå till kanten av resurser, importera och exportera bibliotek och i allmänhet vart vårt hjärta vill. Vi har precis lärt oss hur man arbetar med en ny typ av adressering. Låt oss ge oss ut på vägen!
"-Inte illa, inte illa! Ändå fick de sina ransoner för idag!”
(Skattön)
exporttabell
Vid det allra första elementet i arrayen Datakatalog RVA lagras i exporttabellen, som representeras av strukturen IMAGE_EXPORT_DIRECTORY. Den här tabellen är specifik för dynamiska biblioteksfiler (.dll). Huvudsyftet med tabellen är att länka de exporterade funktionerna med deras RVA. Beskrivningen presenteras i specifikationer:
Typdef struct _IMAGE_EXPORT_DIRECTORY ( DWORD-egenskaper; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD-namn; DWORD-bas; DWORD NumberOfFunctions; DWORD NumberOfNames; DWORD AddressOfFunctions; DWORD-adressAvFunctions; DWORD_Address_Functions; DWORD_Namn_Address_Funktioner; DWORD_Namn_Adress_Funktioner; DWORD_Namn;
Denna struktur innehåller tre pekare till tre olika tabeller. Detta är en tabell med namn (funktioner) ( AddressOfNames), ordningstal( AddressOfNamesOrdinals), adresser( AddressOfFunctions). Fältet Namn lagrar RVA för det dynamiska biblioteksnamnet. En ordinal är som en mellanhand mellan namntabellen och adresstabellen och är en uppsättning index (indexstorleken är 2 byte). För mer tydlighet, överväg diagrammet:
Tänk på ett exempel. Låt oss säga att det i-te elementet i arrayen av namn indikerar namnet på funktionen. Då kan adressen för denna funktion erhållas genom att hänvisa till det i:te elementet i adressmatrisen. De där. jag är en ordinarie.
Uppmärksamhet! Om du till exempel tog det 2:a elementet i ordningstabellen, betyder det inte 2 - det här är en ordningstabell för tabeller med namn och adresser. Indexet är värdet som lagras i det andra elementet i ordningsmatrisen.
Antal värden i namntabeller ( Antal Namn) och ordningstal är lika och matchar inte alltid antalet element i adresstabellen ( NumberOfFunctions).
"De kom för mig. Tack för din uppmärksamhet. Nu måste de döda!”
(Skattön)
importtabell
Importtabellen är en integrerad del av alla program som använder dynamiska bibliotek. Denna tabell hjälper till att korrelera dynamiska biblioteksfunktionsanrop med motsvarande adresser. Import kan ske i tre olika lägen: standard, bindande (bunden import) och fördröjd (fördröjd import). Därför att ämnet för import är ganska mångfacetterat och drar till en separat artikel, jag kommer bara att beskriva standardmekanismen, och resten kommer jag bara att beskriva som ett "skelett".
Standardimport- i Datakatalog importtabellen lagras under indexet IMAGE_DIRECTORY_ENTRY_IMPORT(=1). Det är en uppsättning element av typen IMAGE_IMPORT_DESCRIPTOR. Importtabellen lagrar (i en array) namnen på funktioner/ordtal och var laddaren ska skriva den effektiva adressen för denna funktion. Denna mekanism är inte särskilt effektiv, eftersom ärligt talat, det handlar om att iterera genom hela exporttabellen för varje nödvändig funktion.
Inbunden import- med detta arbetsschema skrivs -1 in i fälten (i det första elementet i standardimporttabellen) TimeDateStamp och ForwardChain och information om länken lagras i cellen Datakatalog med index IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(=11). Det vill säga, detta är en slags flagga till laddaren som den behöver för att använda bunden import. Även för "kedjan av bunden import" visas deras strukturer. Arbetets algoritm är som följer - det nödvändiga biblioteket laddas av i applikationens virtuella minne och alla nödvändiga adresser "binds" vid kompileringsstadiet. Av bristerna kan det noteras att när du omkompilerar en dll måste du kompilera om själva applikationen, eftersom. funktionsadresser kommer att ändras.
Fördröj import- kl den här metoden det antas att .dll-filen är bifogad till den körbara filen, men den laddas inte ur minnet omedelbart (som i de två föregående metoderna), utan bara när applikationen först kommer åt symbolen (det är så överlastade element från dynamiska bibliotek är kallad). Det vill säga, programmet exekveras i minnet, och så snart processen har nått funktionsanropet från det dynamiska biblioteket, anropas en speciell hanterare, som laddar dll och sprider de effektiva adresserna till dess funktioner. För lata importer hänvisar laddaren till DataDirectory (artikelnummer 15).
Efter att ha täckt importmetoderna lite, låt oss gå direkt till importtabellen.
"Det är en sjöman! Hans kläder var marina. - Jaha? Tänkte du hitta en biskop här?”
(Treasure Island - John Silver)
Importbeskrivning (IMAGE_IMPORT_DESCRIPTOR)
För att ta reda på koordinaterna för importtabellen måste vi hänvisa till arrayen Datakatalog. Nämligen till elementet IMAGE_DIRECTORY_ENTRY_IMPORT (=1). Och läs tabellens RVA-adress. Här allmän ordning väg att följa:
Sedan får vi RAW från RVA, i enlighet med formlerna ovan, och "steg" sedan igenom filen. Vi står nu precis framför en rad strukturer som kallas IMAGE_IMPORT_DESCRIPTOR. Tecknet på slutet av arrayen är "null"-strukturen.
Typedef struct _IMAGE_IMPORT_DESCRIPTOR ( union ( DWORD Characteristics; DWORD OriginalFirstThunk; ) DUMMYUNIONNAME; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Namn; DWORD FirstThunk; ) IMAGE_IMPORT_DEPSCRIPAGE;
Jag kunde inte få en länk till strukturbeskrivningen på msdn, men du kan se den i filen WINNT.h. Låt oss börja ta reda på det.
Original First Thunk: DWORD - RVA för importnamntabellen (INT).
Tidsdatumstämpel: DWORD - datum och tid.
ForwarderChain: DWORD - index för det första vidarebefordrade tecknet.
namn: DWORD - RVA-sträng med biblioteksnamn.
FirstThunk: DWORD - RVA i importadresstabellen (IAT).
Allt här påminner lite om export. Även en namntabell (INT) och även en trasa på den adresser (IAT). Även kallat RVA bibliotek. Endast här hänvisar INT och IAT till en array av IMAGE_THUNK_DATA-strukturer. Det presenteras i två former - för det 64:e och för det 32:e systemet och skiljer sig endast i storleken på fälten. Betrakta x86 som ett exempel:
Typedef struct _IMAGE_THUNK_DATA32 ( union ( DWORD ForwarderString; DWORD-funktion; DWORD Ordinal; DWORD AddressOfData; ) u1; ) IMAGE_THUNK_DATA32,*PIMAGE_THUNK_DATA32;
Det är viktigt att svara att ytterligare åtgärder beror på den höga biten av strukturen. Om det är inställt är de återstående bitarna numret på symbolen som importeras (import efter nummer). Annars (hög bit rensad) anger de återstående bitarna RVA för den importerade symbolen (importera med namn). Om vi har en import efter namn, lagrar pekaren adressen till följande struktur:
Typdef struct _IMAGE_IMPORT_BY_NAME (WORD-tips; BYTE-namn; ) IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
Här Ledtrådär funktionsnumret och namn- namn.
Vad är allt till för? Alla dessa arrayer, strukturer ... För tydlighetens skull, låt oss överväga ett underbart schema med
PE-filsammanfattning
PE-filer är associerade med tre filtyper och kan ses med Microsoft Windows tagit fram Microsoft Corporation. I allmänhet är detta format associerat med tre befintliga programvaror. De har vanligtvis formatet Bärbar körbar fil. Dessa filer klassificeras i Körbara filer, Plugin-filer och Datafiler. De flesta av filerna är Körbara filer.
PE-filtillägget kan ses med Windows. De stöds främst på stationära datorer och vissa mobila plattformar. Populariteten för PE-filer är "Låg", vilket betyder att dessa filer är sällsynta.
Om du vill lära dig mer om PE-filer och programvaran som öppnar dem, se ytterligare information nedan. Alternativt kan du också lära dig hur du utför enkel felsökning för problem med att öppna PE-filer.
Filtypers popularitet
Filrankning
Aktivitet
Denna filtyp är fortfarande relevant och används aktivt av utvecklare och applikationsprogram. Även om originalprogramvaran av denna filtyp kan överskuggas av en nyare version (t.ex. Excel 97 vs Office 365), stöds denna filtyp fortfarande aktivt av den aktuella versionen programvara. Denna process för att interagera med det gamla operativsystemet eller föråldrad version programvara är också känd som " bakåtkompatibilitet».
Filstatus
Sida Senaste uppdateringen
PE-filtyper
PE Master File Association
Programmet är en körbar fil som är portabel till alla Microsoft 32-bitars operativsystem, kan köras i alla Windows-versioner NT, Windows 95 och Win32s.
Sammanslutningar av andra PE-filer
Plugin associerad med Privacy Eraser, en Internet Eraser som skyddar Internets integritet genom att rensa alla spår av Internet- och datoraktivitet.
Datafilen sparas i ett textformat som lagrar planetarisk efemerisdata för System Tool Set (STK), baserat på fysikmotorgeometri, utvecklad av analytisk grafik.
Prova Universal File Viewer
Utöver produkterna som anges ovan föreslår vi att du provar den universella filvisaren som FileViewPro. Detta verktyg kan öppna mer än 200 olika typer filer, vilket ger redigeringsfunktioner för de flesta av dem.
Licens | | Villkor |
Felsökning Öppna PE-filer
Allmänna problem med att öppna PE-filer
Microsoft Windows inte installerat
Genom att dubbelklicka på en PE-fil kan du se en systemdialog som säger "Kan inte öppna den här typen av fil". I det här fallet beror det oftast på att Din dator har inte Microsoft Windows installerat för %%os%%. Eftersom ditt operativsystem inte vet vad det ska göra med den här filen kommer du inte att kunna öppna den genom att dubbelklicka på den.
Råd: Om du känner till ett annat program som kan öppna en PE-fil, kan du försöka öppna den givna filen genom att välja det programmet från listan över möjliga program.
Fel version av Microsoft Windows installerad
I vissa fall kan du ha en nyare (eller äldre) version av den bärbara körbara filen, stöds inte installerad version applikationer. Om den korrekta versionen av Microsoft Windows-programvaran (eller något av de andra programmen som listas ovan) inte är tillgänglig, kan du behöva ladda ner en annan version av programvaran eller någon av de andra programvarorna som anges ovan. Detta problem uppstår oftast när man arbetar i en äldre version av applikationsprogrammet Med en fil skapad i en nyare version, som den gamla versionen inte kan känna igen.
Råd: Ibland kan man få allmän uppfattning om PE-filversionen genom att högerklicka på filen och sedan välja Egenskaper (Windows) eller Få info (Mac OSX).
Sammanfattning: I vilket fall som helst beror de flesta av problemen som uppstår under öppningen av PE-filer på bristen på rätt applikationsprogramvara installerad på din dator.
Installera valfria produkter - FileViewPro (Solvusoft) | Licens | Sekretesspolicy | Villkor |
Andra orsaker till problem med att öppna PE-filer
Även om du redan har Microsoft Windows eller annan PE-relaterad programvara installerad på din dator, kan du fortfarande stöta på problem när du öppnar bärbara körbara filer. Om du fortfarande har problem med att öppna PE-filer kan orsaken vara relaterad till andra problem som hindrar dessa filer från att öppnas. Sådana problem inkluderar (listade i ordning från de flesta till minst vanliga):
- Ogiltiga länkar till PE-filer i Windows-registret("telefonbok" operativ system fönster)
- Oavsiktlig radering av beskrivning PE-fil i Windows-registret
- Ofullständig eller felaktig installation tillämpningsprogram associerad med PE-formatet
- Filkorruption PE (problem med själva den bärbara körbara filen)
- PE-infektion skadlig programvara
- Skadad eller föråldrad enhetsdrivrutiner hårdvara associerad med en PE-fil
- Brist på tillräckliga systemresurser på datorn för att öppna formatet Portable Executable File
Omröstning: Hur ofta stöter du på ett filtillägg som du inte känner igen?
Topp märken för mobila enheter
| Samsung | (28.86%) | |
| Äpple | (21.83%) | |
| Huawei | (9.25%) | |
| Xiaomi | (6.74%) | |
| LG | (3.11%) |
Dagens händelse
Fotografer har en lång lista med filformat att välja mellan, men när de vill att en enorm mängd bildinformation ska ingå i deras RAW-bilderär utgången att välja mellan.
Hur man åtgärdar problem med att öppna PE-filer
Om din dator har antivirusprogram burk skanna alla filer på datorn, såväl som varje fil individuellt. Du kan skanna vilken fil som helst genom att högerklicka på filen och välja lämpligt alternativ för att skanna filen efter virus.
Till exempel, i denna figur, filen my-file.pe, då måste du högerklicka på den här filen och välja alternativet i filmenyn "skanna med AVG". Om du väljer det här alternativet öppnas AVG Antivirus och gör en genomsökning given fil för närvaron av virus.
Ibland kan ett fel bero på felaktig programvaruinstallation, vilket kan bero på ett problem som uppstod under installationsprocessen. Det kan störa ditt operativsystem associera din PE-fil med rätt program, påverka den sk "filtilläggsassociationer".
Ibland enkelt installera om Microsoft Windows kan lösa ditt problem genom att korrekt länka PE till Microsoft Windows. I andra fall kan filassocieringsproblem uppstå på grund av dålig mjukvaruprogrammering utvecklare, och du kan behöva kontakta utvecklaren för ytterligare hjälp.
Råd: Prova att uppdatera Microsoft Windows till den senaste versionen för att se till att du har de senaste korrigeringarna och uppdateringarna.
Detta kan verka för självklart, men ofta själva PE-filen kan orsaka problemet. Om du fick en fil via en e-postbilaga eller laddade ner den från en webbplats och nedladdningsprocessen avbröts (till exempel på grund av ett strömavbrott eller annan orsak), filen kan vara skadad. Om det är möjligt, försök att få en ny kopia av filen PE och försök öppna den igen.
Försiktigt: En skadad fil kan orsaka sidoskador på tidigare eller redan existerande skadlig programvara på din PC, så det är viktigt att hålla din dator uppdaterad med ett uppdaterat antivirusprogram.
Om din PE-fil kopplat till hårdvaran på din dator för att öppna filen du kan behöva uppdatera drivrutiner associerad med denna utrustning.
Det här problemet vanligtvis förknippas med mediafiltyper, som beror på att hårdvaran inuti datorn lyckades öppnas, till exempel, Ljudkort eller grafikkort. Om du till exempel försöker öppna en ljudfil men inte kan öppna den kan du behöva göra det uppdatera drivrutiner för ljudkort.
Råd: Om när du försöker öppna en PE-fil får du .SYS-filrelaterat felmeddelande, problemet kan förmodligen vara associerade med skadade eller föråldrade drivrutiner som behöver uppdateras. Denna process kan underlättas genom att använda drivrutinsuppdateringsprogram som DriverDoc.
Om stegen inte löste problemet och du har fortfarande problem med att öppna PE-filer, kan detta bero på brist på tillgängliga systemresurser. Vissa versioner av PE-filer kan kräva en betydande mängd resurser (t.ex. minne/RAM, processorkraft) för att öppnas ordentligt på din dator. Detta problem är ganska vanligt om du använder ganska gammal datorhårdvara och ett mycket nyare operativsystem samtidigt.
Det här problemet kan uppstå när datorn har svårt att slutföra en uppgift eftersom operativsystemet (och andra tjänster som körs på bakgrund) kan förbrukar för många resurser för att öppna PE-fil. Försök att stänga alla program på din PC innan du öppnar Portable Executable File. Genom att frigöra alla tillgängliga resurser på din dator kommer du att säkerställa de bästa möjliga förutsättningarna för att försöka öppna filen PE.
Om du slutfört alla ovanstående steg och din PE-fil fortfarande inte öppnas, kan du behöva köra hårdvaruuppgradering. I de flesta fall, även med äldre hårdvaruversioner, kan processorkraften fortfarande vara mer än tillräcklig för de flesta användarapplikationer (såvida du inte gör mycket CPU-intensivt arbete som 3D-rendering, finansiell/vetenskaplig modellering eller intensivt mediearbete) . På det här sättet, det är troligt att din dator inte har tillräckligt med minne(mer vanligen kallad "RAM" eller RAM) för att utföra uppgiften att öppna en fil.
Försök att uppgradera ditt minne för att se om det hjälper till att öppna filen PE. Idag är minnesuppgraderingar ganska överkomliga och mycket enkla att installera, även för den vanliga datoranvändaren. Som en bonus, du du kommer förmodligen att se en trevlig prestationsboost medan din dator utför andra uppgifter.
Installera valfria produkter - FileViewPro (Solvusoft) | Licens | Sekretesspolicy | Villkor |
Innan du attackerar något gångjärnsförsvar är det användbart att veta vilken packer eller skydd som har använts. Med erfarenhet kommer du att kunna se de flesta slitbanor med ögat, men för fler exakt kontroll körbara filtolkare används. Förutom information om packaren eller beskyddaren tillhandahåller de också många andra användbara data: vilken kompilator som skapade filen, storlekar och sektionsnamn, komprimeringsförhållande, ingångspunkt och demonterat kodfragment på den, etc. olika program Listan över funktioner kan variera.
File Format Identifier är en mycket framgångsrik utveckling av det kinesiska antivirusföretaget SUCOP, senaste versionen 1.4 från 2008. Analysatorn arbetar på externa signaturer i PEiD-format, men huvudvärde representerar en inbyggd statisk uppackare för enkla packare. Uppackaren arbetar på tekniken för en virtuell maskin, det vill säga att ingen kod faktiskt exekveras, vilket är särskilt viktigt när man forskar skadlig programvara. Andra användbara verktyg i programmet inkluderar en importrekonstruktor, en körbar filåterbyggare, en offset-kalkylator och en överlagringsextraktor. Om du förstår kinesiska kan du ladda ner från offsite, men jag rekommenderar att du tar min montering från den bifogade filen. Allt överflödigt har tagits bort i den, uppackningsmotorn har ersatts med en kommersiell med förbättrade funktioner och en extern signaturdatabas har lagts till. Filformatsidentifierare rekommenderas att alltid ha till hands.
Bit Detector - en ny utveckling, också från det arabiska cracker-teamet Under SEH Team, senaste offentliga version 2.8.5.6 från juni 2012. Förutom funktionen att bestämma kompilatorn och packaren har den flera användbara och inte särskilt användbara verktyg ombord.
DNiD- ett program som liknar PEiD, men fokuserat på .NET-applikationer. Låter dig definiera dussintals olika versioner av kompilatorer, beskyddare, packare och obfuscators av .NET-program.
DNiD.1.0.zip (273 389 byte)
A-Ray skanner, projektet har inte uppdaterats på länge, den senaste versionen är 2.0.2.2 från 2005. Programmet är endast avsett för att skanna CD/DVD-skivor och definierar flera dussintals kopieringsskydd för skivor. Definierar även vissa packare och skydd för körbara filer.
A-Ray.Scanner.2.0.2.2.zip (320 892 byte)
Clony XXL- ett verktyg som bestämmer typen av CD-skydd. Liksom det tidigare programmet har det inte uppdaterats på länge, den senaste versionen är 2.0.1.5 från 2003. Definierar skydd: SafeDisc, SecuROM, Discguard, LaserLok, Psx/Lybcrypt, Cactus Data Shield (Audio CDs), Lock Blocks, CD Check, ProtectetCD-VOB, CD-Extra och skydd baserat på icke-standardiserad placering av information på disken. Standardgränssnittet är tysk, men i inställningarna växlar den till engelska.
ClonyXXL.2.0.1.5.zip (276 879 byte)
Förutom universella analysatorer finns det flera verktyg för specifika skydd. De mest användbara är ASPrINF, VerA, Armadillo Find Protected, Armadillo Informant och Detemida.
ASPrINF av nik0g0r från TLG-teamet, en annan inhemsk utveckling, senaste version 1.6 beta. Ett litet verktyg för exakt definition version av ASProtect som täcker filen. Dynamisk analys används, inte signaturanalys, så versionen bestäms utan fel. Förutom den exakta versionen av ASProtect visar verktyget information om vem beskyddaren är registrerad på, så att rakapparater som använder trasiga warez-skydd för sina hantverk enkelt kan visas på rent vatten:)
28
feb
2012
PE Explorer 1.99 R6 RePack
Utgivningsår: 2011
Genre: Filredigerare
Utvecklare: Heaventools Software
Utvecklarwebbplats: http://www.heaventools.ru
Gränssnittsspråk: ryska
Monteringstyp: Packa om
Bitdjup: 32/64-bitar
Operativ system: Windows XP, Vista, 7
Systemkrav:
Processor Intel Pentium® eller AMD K5 166 MHz, 16 MB RAM
Beskrivning: PE Explorer är ett program för att visa, studera, analysera och redigera den interna strukturen för körbara filer. Med PE Explorer kan du utforska som din egna program och bibliotek och applikationer från tredjepartsutvecklare vars källtexter du inte har tillgång till. Detta inkluderar också studiet av enheten av virus, trojaner och andra skadliga program.
PE Explorer låter dig öppna, visa och redigera 32-bitars PE (Portable Executable) filer för Windows av alla typer: EXE, DLL och ActiveX, SCR (skärmsläckare), CPL (Control Panel Applets), SYS, DRV, MSSTYLES, MUI , BPL, DPL och många fler.
* Se vad som finns i körbara filer och vad de är till för
* Ändra och anpassa delar av det grafiska gränssnittet för program
* Bestäm var applikationen får åtkomst och vilka DLL:er som anropas från den
* Förutsäg programmets beteende och logiken i interaktion med andra moduler
* Kontrollera närvaron och integriteten hos filens digitala signatur, verifiera leverantören
* Få verktygstips om funktionsparametrar som exporteras från systembibliotek
* Öppna filer packade med UPX, UPack eller NSPack direkt
* Speciellt stöd för applikationer skrivna i Delphi
* Titel- och avsnittsredigerare
* Resursredigerare
* Viewer för listan över exporterade/importerade funktioner och deras parametrar
* Demonterare
* Dependency Scanner
* Digital signaturvisare
* Statiska uppackare UPX, UPack och NSPack
* Och mycket mer
Möjlighet att arbeta med skadade filer i säkert läge
- Kontrollera integrationen av den körbara filen
- Automatisk uppackning av filer packade med UPX, WinUpack, NSPack
- Spara ändringar som nya körbara filer
- Disassembler för att återställa den primära koden för en körbar fil
- Beroendeanalysator för att bestämma den minsta uppsättning bibliotek som krävs för en fil
- Verktyg för att ta bort felsökningsinformation som finns i en fil
- Verktyg för att ta bort fixbord
- Fixade fel som uppstod vid visning av filer i Windows Vista och eliminerade mindre buggar.
25
apr
2011
UFS Explorer Professional Recovery 3.19.1 RePack
Utgivningsår: 2011
Genre: Dataåterställning
21
apr
2017
Fraps 3.5.99 Build 15618 RePack av D!akov
Utgivningsår: 2016
Genre: Skärmdump, Skärmdump, FPS
Utvecklarwebbplats: fraps.com
Gränssnittsspråk: ryska
Monteringstyp: Packa om
Bitdjup: 32/64-bitar
Systemkrav: Windows XP | vista | 7| 8| tio
Beskrivning: Fraps - utformad för att räkna antalet FPS (frames per second) i applikationer som körs i OpenGL- och Direct3D-lägen. Verktyget kan ta skärmdumpar och spela in videor med bilden från skärmen. Fraps består av tre moduler Benchmarking Software, Screen Capture Software, Realtime Video Capture Software. Benchmarking Software - visar hur många bilder per sekund (FP...
07
apr
2016
Windows 10 PE av Ratiborus v.4.5.1 BootDVD 64-bitars
Utgivningsår: 2016
Genre: Windows 10 PE startskiva
Utvecklare: Ru.Board
Utvecklarwebbplats: https://href.li/?http://forum.ru-board.com/topic.cgi?forum=2&topic=5328#1
Gränssnittsspråk: ryska
Byggtyp: BootDVD
Bitdjup: 64-bitars
Operativsystem: Windows)
Systemkrav: Processor: 1 GHz eller snabbare RAM: 2 GB Skärmupplösning: 1024 x 768
Beskrivning: En startdiskett baserad på Windows 10 PE - för att serva datorer, arbeta med hårddiskar och partitioner, säkerhetskopiera och återställa diskar och partitioner, diagnostisera en dator och återställa data. Lägg till. info...
21
feb
2011
Minecraft World Explorer 1.4
Utgivningsår: 2010
Genre: Arcade
Utvecklare: Robots and Pencils Inc.
Utvecklarwebbplats: http://hq.robotsandpencils.com/
Gränssnittsspråk: ryska
Plattform: iPhone
Systemkrav: iOS 3.2 och senare
Beskrivning: Minecraft är ett vansinnigt beroendeframkallande spel - lätt att starta men omöjligt att stoppa. Äntligen kan du skapa, spela och utforska 3D-världar på din iPad och iPhone.
05
apr
2011
Deepnet Explorer 1.5.3 Beta
Utgivningsår: 2006
Genre: Webbläsare
Utvecklare: Deepnet Security
Utvecklarwebbplats: http://www.deepnetexplorer.com/
Gränssnittsspråk: engelska + ryska
Plattform: Windows XP, Vista, 7
Beskrivning: Deepnet Explorer är världens första webbläsare med RSS News Reader, P2P-klientintegrering och nätfiskevarningar. webbläsarens överlägsna säkerhet, funktionalitet och användbarhet gör så här långt att Deepnet sticker ut från mängden. Byt till en surfupplevelse som aldrig förr. Mer informationDeepnet Explorer är en av de säkraste webbläsarna. Även om Deepnet Explorer använder IE...
26
feb
2008
My Phone Explorer 1.6.2 RU (ny version) (2007)
Utgivningsår: 2007
Genre: mjukvaruutvecklare för mobiltelefoner: F.J. WESHSELBERGER
Förlag: MadMax
Publikationstyp: pirat
Gränssnittsspråk: endast ryska
Medicinering: Krävs ej
Plattform: PC
Systemkrav: Windows 95,98,2000,me, XP,VISTA,16 MB RAM
Beskrivning: Det mest kraftfulla programmet för att hantera din telefon. Den har en filhanterare, redaktörer för sms, telefonbok, profiler, etc. Den vet också hur man sparar säkerhetskopior av allt som finns på telefonen och följaktligen återställer från säkerhetskopior. Kan synkronisera med Outlook. PÅ allmän möjlighet väldigt stor. I teorin borde det...
07
mar
2011
DiskSpace Explorer 3.0.1.328 Home Edition
Version: 3.0.1.328
Utgivningsår: 2004
Genre: Katalog
Utvecklare: EAST Technologies
Utvecklarwebbplats: http://www.east-tec.com
Gränssnittsspråk: engelska
Plattform: Windows 95, 98, Me, 2000, XP, 2003, Vista, 2008, 7
Systemkrav: Pentium II-processor, 200 MHz, 1 MB diskutrymme
Beskrivning: Programmet bygger filsystems cirkeldiagram. Detta gör att du kan se vilka mappar som innehåller många tunga filer, vilket hjälper mycket när du rengör hårddisken från gammalt skräp. Spricka fäst.
Lägg till. Information: Kör installationsprogrammet. Efter installationen slänger vi patchen i mappen med programmet, kör ...
16
mar
2012
TechSmith Camtasia Studio 7.1.1.1785 + Lite RePack + Portable + RePack
Utgivningsår: 2011
Genre: Skärmdump, bilder
Utvecklare: TechSmith Corporation
Utvecklarwebbplats: http://www.techsmith.com/
Gränssnittsspråk: ryska + engelska
Byggtyp: Standard + Portable + RePack
Bitdjup: 32-bitars
Operativsystem: Windows XP, Vista, 7
Systemkrav: Microsoft DirectX 9 eller senare version 1,5 GHz, enkelkärnig minimum ~ Rekommenderas: Intel 2,0 GHz dual-core eller bättre 1 GB RAM minimum ~ Rekommenderas: 2,0 GB eller mer 500 MB hårddiskutrymme för programinstallation Displaymått på 1024x768 eller mer
Beskrivning: Camtasia Studio är ett kraftfullt program för capt...
07
sep
2012
XnView 1.99.1 Full + Bärbar
Utgivningsår: 2012
Genre: Grafikredigerare, omvandlare
Utvecklare: XnView
Utvecklarwebbplats: http://www.xnview.com/
Byggtyp: Standard + Portabel
Bitdjup: 32/64-bitar
Beskrivning: XnView är ett praktiskt verktyg för att visa och konvertera grafikfiler. Denna bra grafiska filvisare har ett höghastighets, användarvänligt gränssnitt, stöder mer än 500 grafiska format och konverterar 50 format sinsemellan. XnView kan beskära grafik, ändra e...
10
men jag
2013
VSO ConvertXtoDVD 5.1.0.2 Final RePack RePack
Utgivningsår: 2013
Genre: Video Converter
Utvecklare: VSO Software
Utvecklarwebbplats: http://ru.vso-software.fr
Gränssnittsspråk: Flerspråkigt (ryska är närvarande)
Monteringstyp: Packa om
Bitdjup: 32/64-bitar
Operativsystem: Windows XP, Vista, 7, 8
Beskrivning: VSO ConvertXtoDVD är ett program utformat för att konvertera video till ett format som är kompatibelt med DVD Video och sedan bränna innehåll till DVD. Programmet stöder video AVI-filer, Mpeg, Mpeg4, DivX, Xvid, MOV, WMV, WMV HD, DV, MKV, DVD samt videoströmning. Programmet kräver inga externa AVI-codecs, eftersom det använder...
25
apr
2011
UFS Explorer Professional Recovery 3.19.1 32-bitar/64-bitar
Utgivningsår: 2011
Genre: Dataåterställning
Utvecklare: SysDevSoftware, utvecklings- och forskningsavdelningen för SysDev Laboratories LLC.
Utvecklarwebbplats: http://www.ufsexplorer.com/
Gränssnittsspråk: ryska + engelska
Plattform: Windows 2000, XP, XP x64, 2003, 2003 x64, Vista, Vista x64, 2008, 2008 x64, 7, 7 x64
Systemkrav: CPU: Pentium-kompatibel, 32 och 64 bitar.
Hårddisk: 10MB ledigt utrymme.
RAM: minst 256MB.
Beskrivning: UFS Explorer Professional Recovery - professionell version mjukvaruprodukt, som är kraftfull, omfattande och lätt...
25
apr
2011
UFS Explorer Standard Recovery 4.9.1 32-bitar/64-bitar
Utgivningsår: 2011
Genre: Dataåterställning
Utvecklare: SysDevSoftware, utvecklings- och forskningsavdelningen för SysDev Laboratories LLC.
Utvecklarwebbplats: http://www.ufsexplorer.com/
Gränssnittsspråk: ryska + engelska
Plattform: Windows 2000, XP, XP x64, 2003, 2003 x64, Vista, Vista x64, 2008, 2008 x64, 7, 7 x64
Systemkrav: CPU: Pentium-kompatibel, 32 och 64 bitar.
Hårddisk: 10MB ledigt utrymme.
RAM: minst 256MB.
Beskrivning: UFS Explorer Standard Recovery är en fullfjädrad produkt designad speciellt för dataåterställning. Inkluderar alla n...
30
sep
2017
Adobe InDesign CC 2017.1 12.1.0.56 RePack av KpoJIuK 12.1.0.56 RePack
Utgivningsår: 2017
Genre: Grafisk redaktör
Utvecklare: Adobe
Utvecklarwebbplats: www.adobe.com
Gränssnittsspråk: Flerspråkigt (ryska är närvarande)
Monteringstyp: Packa om
Bitdjup: 64-bitars
Operativsystem: Windows 7, 8, 8.1, 10
Systemkrav: Intel Pentium 4 eller AMD Athlon 64-processor Microsoft Windows 7 SP1, Windows 8, Windows 8.1 eller Windows 10 2 GB RAM (8 GB rekommenderas) 2,6 GB ledigt hårddiskutrymme för installation; ytterligare ledigt utrymme krävs för installation (kan inte installeras på flyttbara enheter x...
22
juli
2017
AusLogics BoostSpeed 9.1.4.0 DC 07/14/2017 RePack (Portable) av elchupacabra 9.1.4.0 RePack
Utgivningsår: 2017
Genre: Systemoptimering
Utvecklare: Auslogics Software Pty Ltd.
Utvecklarwebbplats: http://www.auslogics.com/ru/
Gränssnittsspråk: ryska + engelska
Monteringstyp: Packa om
Bitdjup: 32/64-bitar
Operativsystem: Windows XP, Vista, 7, 8, 8.1, 10
Beskrivning: Auslogics BoostSpeed är en populär uppsättning verktyg för att optimera och finjustera ditt operativsystem. Med det här programmet kan du avsevärt optimera ditt systems prestanda, enkelt konfigurera olika Windows-inställningar, rensa din hårddisk och systemregistret från skräp och onödiga poster, göra ...
05
feb
2017
Total Commander 9.0a Freemen 17.1 Packa om med inte 9.00a final RePack
Utgivningsår: 2017.02.03
Genre: Filhanterare
Utvecklare: Christian Ghisler
Utvecklarwebbplats: http://www.ghisler.com/
Gränssnittsspråk: Flerspråkigt (ryska är närvarande)
Monteringstyp: Packa om
Bitdjup: 32/64-bitar
Operativsystem: Windows (XP,2003,Vista,2008,7,2012,8.x,10,2016)
Systemkrav: Windows 7,8,10
Beskrivning: Total befälhavareär den mest kraftfulla och stabila filhanteraren för Windows med användarvänligt gränssnitt. Total Commander fortsätter den goda traditionen med filhanterare med två paneler, men skiljer sig åt i ökad bekvämlighet och funktionalitet, support...
