PE Explorer

   English English  Deutsch Deutsch  Français Français
Mettre en signet!

Questions fréquentes

Pour votre commodité, une liste de questions fréquemment posées est disponible ci-dessous. S’il vous plait, consultez cette liste car il est très possible que votre question ait déjà trouvée réponse ici. Si la solution que vous recherchez n'est pas ici, n'hésitez pas à nous contacter.

Questions générales

Quelle est la différence entre la version d'évaluation et la version complète?

Votre copie d'évaluation de PE Explorer comporte toutes les fonctionnalités. Ce qui signifie que toutes les caractéristiques du logiciel enregistré sont présentes dans le logiciel non enregistré. Ceci vous permet d'essayer toutes les possibilités de PE Explorer pour confirmer qu'elles vos donnent satisfaction.

Pourquoi PE Explorer est-il si cher par rapport à une alternative gratuite telle que Resource Hacker?

Soyons clair: PE Explorer n'est pas un éditeur de ressources. Même s'il comporte un éditeur de ressources, PE Explorer suppose des "gros travaux" et n'a rien à voir avec Resource Hacker. PE Explorer est destiné à être utilisé dans de nombreuses situations telles que développement logiciel, usage judiciaire, rétro ingénierie, analyse binaire approfondie de sécurité, processus d'audit du binaire, et autres. Quand vous utiliserez tous les différents outils intégrés à PE Explorer, vous conviendrez que €99.- est un prix vraiment génial. Voir la liste des caractéristiques

Si vous voulez éditer des ressources mais n'avez pas besoin des fonctionnalités avancées de PE Explorer, Resource Tuner est le produit qu'il vous faut.

PE Explorer échoue si je tente de l’examiner lui-même. Est-ce intentionnel?

Oui. C’est bien notre intention.

Y aura-t-il une version pour les fichiers exe 64 bits dans l’avenir?

Oui. Nous passerons aux 64 bits avec la version 2.

Avez-vous des projets de régionalisation de vos produits en français et/ou d’autres langues?

Oui. La version 2 aura une interface multi-langues.

Ouverture de fichier

J’obtiens immédiatement une erreur du genre “Ce fichier est probablement endommagé, comprimé ou compressé”. Que puis-je faire?

Rien. Ceci n’est pas un bogue. Nous ne contournons pas les mécanismes de protection installés par les autres auteurs de logiciels. PE Explorer ne décompresse que les fichiers compressés avec UPX en utilisant un module d’extension.

Quand j'essaie de remettre ma DLL en place j'obtiens l'erreur suivante: Impossible de créer un nouveau fichier image, le fichier original est probablement compressé. Un indice?

Soyez informé que votre dll peut vraiment être compressée! Notre logiciel ne décompresse que les fichiers compressés avec UPX. Par conséquent, si votre dll est compressée par tout autre compresseur tiers, vous devez la décompresser avant de la modifier. Sinon vous avez un fort risque de ne pas pouvoir créer un nouveau fichier image.

Qu'est-ce que les compresseurs?

Les compresseurs sont des utilitaires qui compressent de façon significative les fichiers Windows Portable Executable (EXE, DLL, etc) tout en conservant 100% de leurs fonctionnalités. La plupart des compresseurs crypte les données et les ressources et protège les fichiers exe contre la rétro-ingénierie.

J’obtiens immédiatement une erreur du genre "Incompatible" et "de type NE". Qu’est-ce qu’un fichier de type "NE"?

PE Explorer ne fonctionne qu’avec les fichiers PE. Un fichier NE (ou "New Executable") est une application 16 bits destinée à être exécutée sous Windows® 3.xx.

Qu’est-ce qu’un fichier PE... J’en ai entendu parler mais je pensais que mon système d’exploitation ne pouvait pas les exécuter?

"PE" signifie "Portable Executable". Le terme "Portable Executable" a été choisi car l’intention était d’avoir un format de fichier commun pour toutes les variantes de Windows et pour tous les processeurs supportés. Un fichier PE est un exécutable 32 bits défini par Microsoft pour NT (et Win95). Les autres types importants d’exécutables pour les plates-formes Microsoft sont "MZ" (DOS), "NE" et "LE" – mais ces formats sont obsolètes (et fonctionnent cependant encore). Ouvrez un fichier exécutable avec un éditeur hexadécimal ou une visionneuse binaire et vous constaterez que les deux premiers octets dans le fichier ont la valeur 'MZ' – eh oui, l’en-tête DOS est toujours là. Avancez de 128 octets et la plupart des cas vous trouverez les valeurs ‘PE' – c’est ici que se situe le format PE.

Les fichiers PE n’ont pas tous l’extension 'EXE'. D’autres fichiers PE importants existent avec les extensions "DLL", "SCR", "SYS", "CPL" and "OCX", et même "MSSTYLES" définies dans Windows XP. Notez aussi que tous les fichiers PE ne sont pas directement exécutables – les dlls par exemple. Parmi les fichiers PE directement exécutables on a EXE, SCR et CPL.

PE Explorer fonctionnera-t-il avec les fichiers NE et autres 16 bits?

Non. Le format NE est obsolète.

Puisque PE Explorer ne fonctionne pas avec les fichiers de type NE, avez-vous un autre produit qui le fasse?

Non. De toute manière, la connaissance des fichiers au format 16 bits a peu d’intérêt, d’autant plus que les processeurs 64 bits se répandent sur le marché.

Votre outil signale une erreur interne et l’ouverture de fichier se fait en mode sécurisé. Pourquoi?

Si l’ouverture d’un fichier produit une erreur, PE Explorer ouvre ce fichier en mode sécurisé. Dans ce mode il n’est pas possible d’intervenir sur les données qui ont produit l’erreur. Ceci ne garantit pas que le fichier dont les données sont exclues soit sans erreur, mais dans de nombreux cas ceci vous permet de travailler avec des fichiers endommagés (fichiers compressés par exemple). Par exemple si la section Import est placée après la section Ressources vous ne pouvez normalement pas ouvrir un tel fichier avec un analyseur binaire. PE Explorer offre une solution en vous permettant de travailler sur des fichiers endommagés/compressé/cryptés et d’examiner le fonctionnement interne des applications et DLLs.

Enregistrement de fichier

Si j’ouvre un exécutable avec PE Explorer puis si je vais à Enregistrer sous et sauve l’exécutable sous un nom différent SANS y faire aucune modification, puis si je compare les deux fichiers avec un éditeur hexadécimal, je constate de nombreuses modifications du fichier. Pourquoi ces modifications alors que je n’en ai faite aucune?

PE Explorer dispose de deux fonctions qui sont automatiquement mises en œuvre à l’ouverture d’un fichier : décompression des fichiers compressés avec UPX en utilisant un module d’extension intégré, et contrôle d’erreur.

Si votre fichier cible était compressé avec UPX il a été décompressé automatiquement et sauvé décompressé. PE Explorer ne compresse pas de nouveau les fichiers initialement compressés. C’est pourquoi la taille d’origine du fichier augmente. Examinez le rapport pour les détails.

L’autre chose faite par PE Explorer est la recompilation des ressources du fichier en respectant les spécifications des fichiers MS PE. Ceci peut aussi être la raison pour laquelle la taille d’origine du fichier est modifiée après une simple opération "Save as..." (“Enregistrer sous...”).

Si vous voulez qu’aucune modification n’ait lieu, il suffit de ne pas enregistrer.

Désassembleur

Une véritable décompilation est-elle possible?

Non, bien sûr que non. Une décompilation entièrement automatique n’est pas possible. Aucun décompilateur ne peut reconstituer à l’identique le code source d’origine.

Bien, nous détestons vous enlever vos illusions mais PE Explorer ne décompile pas le code. Il désassemble le code, ce qui consiste à convertir le code machine en assembleur, mais il ne génère pas de code C ou C++ à partir de la sortie désassemblée. C’est une opération très délicate.

Il crache les résultats en format assembleur, mais je n’y comprends rien. Avez-vous d’autres produits ou extensions qui les délivrent en anglais?

Evidemment la syntaxe du langage source n’existe plus dans l’exécutable. Il serait très difficile à un décompilateur d’interpréter la suite d’instructions en langage machine (ASM) qui existent dans le fichier exécutable pour deviner quelle est l’instruction source d’origine.

Je viens d’utiliser le désassembleur sur un fichier exe dont je veux changer une partie du code. Comment le réinsérer dans un format d’application tel qu’il était?

Les résultats produits par le désassembleur de PE Explorer le sont uniquement dans le but de comparaisons. La sortie générée ne peut pas être recompilée en l’état et n’est pas optimisée pour l’occupation mémoire ou l’usage du processeur.

Pourquoi le désassembleur ne pourrait-il pas être légèrement amélioré (liste des fonctions API, etc)?

Il le sera – dans de futures versions. La liste “reste à faire” est très longue et semble sans fin.

Quel est l’intérêt du désassembleur s’il ne vous fournit qu’un format assembleur incompréhensible?

Le listing de désassemblage utilise les mnémoniques Intel. La connaissance de ces mnémoniques Intel aide à lire les listings. Une bonne compréhension du format des fichiers PE aide aussi. Une description du format est disponible dans l’aide de PE Explorer.

PE Explorer Disassembler comporte un traitement complémentaire pour les données de l'en-tête de section d'un fichier PE. Le désassembleur traduit les chiffres du langage machine binaire qui constituent le fichier PE, en instructions en langage assembleur, et affiche le résultat avec la meilleure estimation des instructions d'origine, telles qu'elles auraient pu apparaitre à celui qui les a écrites. L'interprétation amène une imprécision, tout comme lorsqu'une lettre écrite en anglais est traduite en chinois puis de nouveau en anglais peut contenir des erreurs.

Le désassembleur de PE Explorer manipule par défaut les variantes usuelles mais peut être configuré pour manipuler tout aussi bien des variantes inhabituelles. L'intérêt de disposer du listing de désassemblage est proportionnel à la compréhension qu'on possède du langage assembleur.

Une description des mnémoniques Intel, des architectures des processeurs et du langage assembleur en général peut être obtenue par ailleurs, sur intel.com.

 

 Télécharger PE Explorer et apprendre comment il peut vous rendre plus productif.