Программа РЕ Explorer
Удобным в использовании средством изучения бинарных загружаемых модулей exe, dll, vxd, sys является программа РЕ Explorer фирмы Heaventools Software (рис. 2.21). 30-дневную испытательную версию можно загрузить с интернет-сайта фирмы по адресу heaventools.com.
 |
Рис. 2.21 Окно просмотра заголовка файла Depends.exe в окне программы РЕ Explorer |
Возможности этой программы обширны и не ограничиваются только лишь просмотром заголовков исполняемых модулей с общей информацией, просмотром секций и списков имен импортируемых и экспортируемых функций (это позволяют делать многие программы, в частности упомянутая программа Depends). Наличие встроенного дизассемблера позволяет определить в исследуемых модулях места вызова интересующих системных функций, в том числе — вызовов режима ядра.
При анализе импортируемых функций (импортируемых из системных динамических библиотек) программа РЕ Explorer показывает справочную информацию о протоколе вызова многих из них. По точности и подробности дизассемблирования программа РЕ Explorer приближается к дизассемблеру IDA Pro.
Своеобразной визитной карточкой РЕ Explorer является способность к просмотру и редактированию ресурсов, скомпилированных в данном бинарном модуле. Заметим, что в разделе ресурсов зачастую находится самая достоверная информация об авторе и дате создания драйвера (возможно даже — его предназначении), которая другим образом может быть получена, как правило, лишь системными средствами после установки драйвера, что далеко не всегда возможно и целесообразно.
