PE編輯工具

2008.5.31

資源名溢出漏洞。緩沖區長度檢測是char,但是拷貝的時候是wchar，所以溢出了。by somuch

http://bbs.pediy.com/showthread.php?t=64935

2006.11.30更新

freecat制作的功能插件LordPeFix.dll，修正LordPE只顯示60個進程的bug

(http://bbs.pediy.com/showthread.php?s=&threadid=34814)

2005.10.15

(1) 為LordPE查看輸入表部分加上搜索功能

(2) 為LordPE查看輸入表部分加右鍵菜單(復制ThunkRVA/FirstThunk列).

(3) 當點擊LordPE查看輸入表部分中"View always FirstThunk",保持光條在原來位置.(LordPE默認會將光條置到0行)

(4) 修改FLC(File Location Calulator)窗口中各個文本框(VA,RVA,Offset)為只讀屬性,此時可以用鼠標復制里面的文本

注意：在Windows SP3等更高版本的操作系統，運行會提示“無法定位程序輸入點GetProcessImageFileNameW與動態鏈接庫 PSAPI.DLL”，請將LordPE目錄中的PSAPI.DLL刪除，默認讓其調用系統目錄高版本的PSAPI.DLL。2009/4/4更新

可修復PE文件頭，一款相當方便的PE文件頭編輯工具。

一款老式的PE編輯器。可惜不更新了，己過時，現階段一般只用來作為PE編輯工具使用。推薦用LordPE其他工具代替它。

阿勇

來自：http://www.w-yong.com/

PE-Diy Tools 集成了幾個PE相關的功能，都是在diy PE時比較常用的。

1、Add Section:　在PE文件中添加一個區塊。

2、Set INT3:　把程序的入口點改為0xCC，方便調試器中斷下來。

3、Add Import Functions:　往PE文件中添加需要的輸入函數。

4、Add Shell Code:　該功能可以讓修改的程序在運行前先運行你所填加的Shell Main Function,然后再回到程序的入口點繼續運行。

輸入表重建工具

MackT

可以手工重建Import表，脫殼必備！

ImportREC v1.6F fix這個版本修正了部分API不能跨平台的bug：

kernel32!RestoreLastError這個函數在XP以前的系統下是不存在的，而RestoreLastError和SetLastError實際上是同一個函數，這個修正版可以用SetLastError代替RestoreLastError函數。

2006.8.16修正ImportREC v1.6F漢化版的bug。

官方站點：http://wave.prohosting.com/mackt/main.htm

Tsehp重建PE文件的IAT表工具。可以運行Win9x/ME/2000，但沒有ImportREC好用。

用於比較你自己和別人用ReVirgin/ImpREC生成的Import Table之間的不同，從而發現在解析API函數名時的錯誤。

增加區塊工具

可以增加PE文件空間。

重定位表相關

kanxue

首先將需要重定位的RVA提取出來，再用ReloREC根據重定位表的定義將這些RVA重新生成一份新的重定位表。

http://bbs.pediy.com/showthread.php?t=61334

作者:MackT/uCF2000 in 2003

通過比較不同其址的Dump文件,重構一份重定位表. 脫DLL的殼用的上。

DLL加載器，脫DLL殼使用

DLL加載器，可把一個dll加載到不同的內存位置

輸出表相關

Yonsm

Yonsm寫的一款工具AheadLib 2.2.150 ，用來生成DLL相關頭文件。

可以用來輔助制作內存補丁，參考：

http://bbs.pediy.com/showthread.php?t=60849

ttui

編輯dll導出函數的工具，導出函數序號在export table中的物理順序必須是按照函數名升序排列.該工具可查看輸出函數、增加輸出函數。

http://bbs.pediy.com/showthread.php?s=&threadid=13181

wawadj

批量查看C++DLL導出函數，用法是將DLL拖到窗口里。

kanxue

移動輸出表，文件優化時用的上

資源編輯工具

你想自定義應用軟件嗎? 例如：更改字體，更改菜單，更改對話框的排列，等等。但你會認為這是不可能的，因為你沒有資源文件。eXeScope能在沒有資源文件的情況下分析，顯示不同的信息，重寫可執行文件的資源，包括(EXE，DLL，OCX)等。是方便強大的漢化工具，可以直接修改用 VC++ 及 DELPHI 編制的程序的資源，包括菜單、對話框、字串表等。

更新：eXeScope 6.50本地溢出漏洞修復 by humourkyo

一款國產資源編輯工具，使用內存載入資源分析，所以被分析的程序並未被獨占，在分析期間仍可使用。

功能強大的資源工具，可直接瀏覽、修改軟件資源，包括菜單、對話框、字符串表等；另外，還具備有 W32DASM 軟件的反編譯能力和 PEditor 軟件的PE文件頭編輯功能；該軟件支持插件。

它能百分之百的分析被壓縮的資源，對於被壓縮的軟件， freeRes 還能為它重新建立起一份可編輯的資源，使到其他資源編輯工具(ResScope，eXeScope 等等)能夠正常的處理該軟件。

修復VMProtect的"Resource Protection" 資源保護。

.net資源工具。支持 .resources .resx .exe .dll .xml 的資源提取，生成工具.

http://www.zpcity.com/arli/

資源重建工具

dREAMtHEATER

DT_FixRes 作者：dREAMtHEATER 主頁：http://dREAMtHEATER.reg365.com

引擎 DT_FixRes 應用於 Win32 平台，用戶通過編程方式調用該引擎，可將微軟 PE 格式文件中的非標准資源(Resource)進行標准化修復，同時它還為高級用戶提供了資源導出功能，為 PE 資源修復、重建提供了高度的靈活性。該引擎特別適合進行軟件漢化工作的朋友。

很多被加殼的 PE 文件在脫殼以后，往往該 PE 文件的資源部分無法用某些資源工具進行查看、編輯，同時也不利於脫殼文件的優化工作。這其中的主要原因是由於很多加殼程序將部分資源(如 Icon、Version Information) 從資源節 (resource section) 移到了殼增加的節里，這導致很多資源工具不能正確識別分布在兩個節里的資源數據。DT_FixRes 為 PE 文件資源修復、重建引擎，為此提供了完美解決方案。它可以將分布在多個節里的資源重新移到一個資源節里，並且對資源進行了完全優化，修復后的資源不含有任何垃圾數據，如同資源編譯器的編譯效果，可以媲美

未加殼前的原始資源。這樣資源工具也就能夠順利地對修復后的 PE 資源進行查看、編輯，另外也大大簡化了對脫殼文件的手工優化工作。

資源修復工具，可以挪動資源，文件減肥輔助工具。

ResFixer的兩種修復方法要注意一下。如果殼挪動了資源項，則需要選擇Method 2(Full Reconstruct)來Rebuild。如果只是調整Resource RVA，選擇Method 1(Cut And Paste)即可。另外ResFixer有bug，修復某些程序資源時會異常出錯。