Mehr PE Explorer Tools
PE Explorer kommt auch mit einem Digital Signature Viewer, Debug Info Viewer, Relocation Viewer, Strip Tools und einem TimeDateStamp Adjuster.
Digitale Signatur Viewer
Der Authenticode Digital Signature Viewer zeigt Ihnen eine Zertifikat-basierte digitale Signatur einer bestimmten ausführbaren Datei, überprüft die Identität des Software-Herstellers, und überprüft ob die Signatur echt ist sowie korrekt implementiert wurde. Dies ist eine leistungsfähige Methode, um den Herausgeber und die Integrität der ausführbaren Datei zu überprüfen.
PE Explorer überprüft das Zertifikat und erhält den öffentlichen Schlüssel des Entwicklers aus dem Zertifikat. Dann entschlüsselt PE Explorer die Prüfsumme mit dem öffentlichen Schüssel, und der gleiche Hash-Algorithmus welcher für die Erstellung der Prüfsumme benutzt wurde, wird erneut auf den Code angewandt, um eine zweite Prüfsumme zu erstellen (echter Datei Hash). Daraufhin vergleicht PE Explorer die zweite Prüfsumme (Real File Hash) mit der originalen (Signed File Hash). Zusätzlich vergleicht es die Real Checksum mit dem vom Header übermittelten Wert (Link Checksum), da das Datei Checksummenfeld der optionalen Header verändert werden kann, ohne die Authenticode Signatur ungültig zu machen.
Debug Info Viewer
Dadurch werden die in der Datei enthaltenen Debug-Informationen angezeigt. Wenn eine ausführbare Datei mit Debug-Informationen erstellt wird, ist es üblich, Details zum Format der Informationen und zum Speicherort anzugeben. Das Betriebssystem erfordert dies nicht, um die ausführbare Datei auszuführen, es ist jedoch für Entwicklungstools nützlich. Eine EXE-Datei kann mehrere Formen von Debug-Informationen enthalten. Eine Reihe von Datenstrukturen, das so genannte Debug-Verzeichnis, zeigt an, was verfügbar ist. Diese Strukturen enthalten Informationen über Typ, Größe und Speicherort der verschiedenen Arten von Debug-Informationen, die in der Datei gespeichert sind. Drei Haupttypen von Debuginformationen sind CodeView, COFF und FPO.
Derzeit werden nur FPO-Informationen (Frame Pointer Omission) unterstützt. FPO-Daten ermöglichen es dem Debugger, lokale Variablen und Parameter zu finden. Diese Informationen sagen dem Debugger, wie er nicht standardmäßige Stack-Frames interpretieren soll, die das EBP-Register für einen anderen Zweck als als Frame-Zeiger verwenden.
Standortwechsel-Werkzeug
Die Standortwechselinformation hilft dem Betriebssystem eine ausführbare Datei zu laden und fügt Änderungen für absolute Adressen hinzu. Die Standortwechseldaten werden vom Lader benötigt, wenn das Image nicht in die bevorzugte ImageBase Adresse geladen werden kann, die im Optionalen Header angegeben war. In diesem Fall, wenn die feste Adresse nicht länger gültig ist, muss der Lader andere Lösungen (fixups) für die Adressstandorte statischer Variablen, Stringerläuterungen, usw. angeben. Andererseits, wenn der Lader die Datei in die bevorzugte Adresse laden konnte, werden diese Umzugsdaten nicht benötigt und ignoriert.
Die Fix-Up-Tabelle enthält Lösungen für alle Einträge im Datei-Image. Die Gesamtgröße der Fix-Up Daten im Optionalen Header ist die Anzahl der Bytes in der Fix-Up-Tabelle. Die Fix-Up-Tabelle ist in Blöcke aufgeteilt. Jeder Block repräsentiert die Lösungen für eine 4K Seite. Die Einträge in der Fix-Up-Tabelle werden Basis relocations genannt, weil ihre Benutzung auf die Basisadresse des zu ladenden Images verweist.
Relocations Removal
PE Explorer ändert die Tabelle von den Basis-Standortwechseln (Fix-Up-Tabelle) der EXE-Dateien und spart Raum und macht sie kleiner. In aller Regel gibt es keinen Bedarf für eine EXE, eine Basis-Standortwechsel-Tabelle zu haben. Dies ist, weil EXEs die in einen Adressraum geladene erste Sache sind, und deshalb ist garantiert, sie in die bevorzugte Speicheradresse geladen werden.
Wir warnen jedoch davor, dass Sie Basis Standortwechsel nicht von allen EXEs demontieren, auf die Sie stoßen, weil, obwohl dies vielleicht Raum spart, es vielleicht irgendeine EXE veranlasst, nicht richtig zu arbeiten. Andererseits, in Visual Studio .NET, lässt der Binder Basis-Standortwechsel-Tabellen für EXEs aus, wenn eine neue EXE erstellt wird. Wenn Sie einen Blick auf die Windows Notepad.exe werfen, gibt es darin keine Basis-Standortwechsel-Tabelle.
Das Basis-Standortwechsel-Werkzeug stellt fest, ob eine Datei eine DLL oder ein Treiber ist und warnt Sie in jedem Fall. Weil DLLs und Treiber eine Basis- Standortwechsel-Tabelle verlangen, kann das Entfernen, in einer beschädigten Datei resultieren, und es ist sehr wahrscheinlich, dass die neu gespeicherte Datei ungültig zu sein scheint.
TimeDateStamp Adjuster
Wenn Sie im Menü „Extras“ die Option „TimeDateStamp Adjuster“ auswählen, wird das Dialogfeld „Adjuster“ angezeigt.
Dieses Tool macht zwei Dinge:
1. Es ermöglicht das Ändern des TimeDate-Stempels und
2. Es setzt jedes Feld auf den angepassten TimeDate-Stempel.
Zur Versionskontrolle möchten Sie möglicherweise alle TimeDate-Stempel auf einen einheitlichen Wert ändern. Dadurch wird sichergestellt, dass PE-Dateien, die aus demselben Quellcode kompiliert wurden, in Ihrer Versionskontrollsoftware nicht aufgrund unterschiedlicher Zeit- und Datumsstempel im Code unterschiedlich erscheinen.
< zurück | weiter >
Laden Sie PE Explorer herunter
Sie können alle Funktionen von PE Explorer während 30 Tagen kostenlos risikofrei testen.
PE Explorer läuft unter allen Windows-Versionen, von Windows 95 bis zur neuesten Windows 11.