PE Tools

  1. PE Tools:一款功能强大的PE文件编辑工具,具有进程内存转储、PE文件头编辑、PE重建等丰富多样的功能,并且支持插件。
  2. 下载地址
  3. PE Tools工具可用获取系统中正在运行的所有进程的列表,并将之显示在主窗口中。
    在这里插入图片描述
  4. 进程内存转储
  • 转储:将内存中的内容转存到文件,这种转储技术主要用来查看正在运行的进程内存中的内容,文件时运行时解压缩文件时,其只有在内存中才以解压缩形态存在,此时借助转储技术可用轻松查看与源文件类似的代码与数据。
  • 程序主窗口分为上下两部分,上半部分显示的时正在运行的进程,下半部分显示的时当前所选进程加载的DLL模块,转储进程的可执行文件映像时,先在上半部分窗口选中相应进程,然后单击鼠标右键,弹出快捷菜单。
  • PE Tools为用户提供了如下3各转储选项:
    1. Dump Full(完整转储)
      PE Tools会检测进程PE文件头,并从ImageBase地址开始转储SizeOfImage大小的区域。
    2. Dump Partial(部分转储)
      该功能用来从相应进程内存的指定地址开始转储指定大小的部分。
      在这里插入图片描述
    3. Dump Region(区域转储)
      进程内存(用户区域)中所有分配区域都被标识为某种状态,区域转储功能用于转储状态标识为COMMIT的内存区域。
      在这里插入图片描述
  1. PE编辑器
  • 直接手动修改PE文件时,需要修改PE文件头,此时使用PE Tools的PE编辑器功能会非常方便,使用时拖动目标PE文件,或在工具栏中选中Tools-PE Editor即可。
  • PE编辑器可用列出PE文件头的各种信息,借此可用对其进行详细修改。
    在这里插入图片描述