PE Anatomist(PE文件剖析软件),能够查看PE档案的内部,PE Anatomist显示了PE、OBJ或lib文件中几乎所有已知的数据结构,并进行了一些分析。
领导人
一套基本的PE数据结构
丰富的签名
丰富的签名的完整描述
COFF符号
COFF符号表
部分
体育部门的信息
出口产品
显示出口目录
进口
显示导入目录
资源
资源目录查看器
异常数据
异常数据表的内容和特定语言的处理程序数据
PE真伪码签名
关于PE Authenticode签名的简要信息
基地搬迁
基地搬迁表的详细情况与目标地址(VA)的解释
DEBUG
列出调试目录的内容,包括几种调试类型的详细信息。
TLS
TLS配置和回调
装入配置目录
详细显示LoadConfig目录的内容,包括所有最新的嵌套数据结构。
BOUND IMPORTS
捆绑进口目录内容
IAT
IAT表内容及条目说明
延迟进口
延迟进口目录内容
DOTNET
来自COM描述符目录的标题和元数据(包括NGEN和ReadyToRun)。
视觉基础5-6
VB5和VB6典型结构
解放军成员名单
图书馆成员名单
链接器成员
图书馆的第一和第二联系人成员
词条库
进口库条目汇总表
标段表
对象文件的章节和搬迁表
符号表
对象文件的符号表
修正了从~GUID显示数据的错误。NET元数据表
添加了中条目标志的描述。NET元数据表
修正了在多显示器配置中定位子窗口的错误
增加了在未处理的异常情况下创建小型转储的功能
更新@feat.00标志描述
已更改丰富签名中几个标识的描述文本
重写了部分代码以枚举“节”对象
向异常数据X64表中添加了一列,以显示堆栈分配的大小
当启动程序的唯一实例的限制被启用并且运行副本没有响应时,添加了启动程序的新副本的请求
异常数据X64链表格式更改为更详细
修正了为UWOP_ALLOC_LARGE (1)确定分配大小时出现的错误
为obj文件添加了一个xFG哈希值页面
为OBJ文件添加了例外数据x64、ARM64和ARM
修正了一个在OBJ文件中使用带有特定参数的BSS的部分的错误
修正了一个解析ARM和ARM64(在PE和OBJ文件中)的展开代码的错误,它可能出现在小文件中或者在一个函数中有大量的后记
IA64展开代码解析器的清理和轻微优化
在COFF符号中添加了对该部分的描述和偏移量,该符号由调试信息的相应形式中的代码视图符号引用
添加了搜索任何小于或大于指定值的选项
增加了初始搜索位置的设置,基于:最后找到的行,选定的行,或从列表的开始强制
在列表的所有列中添加了全文搜索(最小查询长度- 2个字符,搜索只对ANSI字符不区分大小写)
增加了在任何列表中搜索的能力
中显示类型名称的错误。在极少数情况下,只显示方法名,不显示类型名