Heaventools

Kontakt Sales | Über uns | Site Map

    English   Deutsch   Français   Italiano

PE Explorer: Win32 Disassembler

Der PE Explorer Disassembler wurde als leicht zu bedienende Alternative zu anderen Disassembler- programmen gestaltet. Daher wurden einige Funktionen, die man in anderen Produkten findet, ausgelassen, um die Benutzung einfach und schnell zu gestalten.

Was wir versucht haben, ist die Möglichkeiten von etwas wie IDA Pro zu erreichen, aber dabei viel weniger Arbeit und Kenntnisse zu erfordern, indem der Disassemblier-Prozess weitgehender automatisiert wurde. Der Disassembler des PE Explorers geht davon aus, dass manuelles Bearbeiten des neuen Codes nötig sein wird. Um die zusätzliche Handarbeit leichter zu gestalten, verwendet der Disassembler dennoch einen speziellen Algorithmus, der nur dafür entwickelt wurde, den Quellcode der Zieldatei so exakt wie möglich in Assemblersprache zu rekonstruieren.

Leistungsstark, wie die anderen, teureren Disassemblerprogramme, konzentriert sich PE Explorer sowohl auf Benutzerfreundlichkeit als auch auf leichtes Navigieren. Wir haben einen guten Disassembler für einen vernünftigen Preis. Falls Reverse-Engineering von Software und Verfolgen von Code, Quellcode-Bewertung, Testen und Überprüfen des Schadenpotentials zu Ihrem täglichen Job gehören, spart PE Explorer viel Zeit!

Der Disassembler unterstützt die meisten allgemeinen Intel x86 -Befehlssätze und Erweiterungen (MMX, 3DNow!, SSE, SSE2 und SSE3). Vor dem Disassemblieren zeigt das Fenster "Optionen" folgende Optionen:

PE Explorer dekompiliert den Code nicht. Vielmehr ist der Disassembler ein Programm, mit dem der ausführbare Binärcode in Assemblersprache übersetzt wird. Es nimmt den Code auseinander, was bedeutet, dass es Maschinencode in Assembler konvertiert, aber es generiert keinen C- oder C++ Code aus dem Ergebnis der Disassemblierung. Das ist eine sehr schwierige Aufgabe. Außerdem gibt es in den ausführbaren Dateien meistens nichts, was auf die Programmiersprache hinweist, mit der das Programm geschrieben wurde.

Nach dem Drücken von Start Now beginnt der Disassemblierungsprozess mit der Identifikation des zum Erzeugen der Anwendung verwendeten Compilers. Die Kenntnis darüber, wie ein Compiler eine Anwendung erzeugt, hilft das Ergebnis der Rekonstruktion der Datenstrukturen zu verbessern. Weiter kann dadurch die Identifikation von Objekten, Prozeduren, Variablen und Datentypen mit einer sehr viel höheren Präzision erfolgen. Während des Disassemblierungsprozesses zeigt das Processing Info Fenster die folgenden Informationen:

Je nach Ausstattung Ihres Rechners kann der Disassemblierungsprozess von Dateien größer einem Megabyte mehrere Minuten in Anspruch nehmen. Im Allgemeinen benötigt jedes Byte der Binärdatei ca. 40 Bytes Speicherverarbeitung. Eine 1 MB Datei würde also 40 MB Hauptspeicher, eine 2 MB Datei 80 MB usw. erfordern.

Das Hauptfenster des Disassemblers wird nach dem Abschluss des Prozesses geöffnet:

Nach dem der Disassemblierungsprozess abgeschlossen ist, wird der rekonstruierte Quellcode angezeigt. Dieser Quellcode kann manuell bearbeitet und gespeichert werden.

Obwohl das angepasste, vom Disassemblerprogramm durchgeführte Modellieren die Ausführungszeit erhöht, ist das Ergebnis eine drastische Reduzierung der inkorrekten Opcode-Übersetzungen. Sie werden gewiss zustimmen: die zusätzliche Zeit um einen hohen Level an Genauigkeit zu erreichen wird dadurch kompensiert, dass man bei der manuellen Bearbeitung Zeit spart.

Wichtiger Hinweis

Die Ergebnisse des Dekompilierens sind nur für Vergleichszwecke. Die erzeugte Ausgabe kann nicht wieder kompiliert werden und ist auch nicht für die Verarbeitung in Speicher oder Prozessor geeignet.

< zurück | weiter >