e-code explorer电脑版(易语言反汇编工具)

e-code explorer电脑版使用起来非常的轻松方便，专为编程的人们所设计打造，有了本反汇编工具以后，你就可以很轻松的查看各种文件内容，而且功能也多，一定可以令你使用起来感到非常的方便！

e-code explorer最新版亮点

1.加入了全局符号修饰功能。可以修饰核心服务、全局方法、常量、基本数据类型、自定义数据类型、窗体控件。

2.加入了窗体数据分析功能。可以直接显示控件列表及其属性、事件、事件处理函数。

3.加入了更多的分析设置选项。方便自行设置调试环境。

4.加入了符号库分析功能。支持标准的带调试信息的易语言支持库作为符号文件。

软件功能简介

-符号修饰：可以调用易语言支持库作为符号表，对反汇编后的代码进行修饰，可以直接分析出函数所调用的方法，操作的属性，使用到的常量、基本数据类型、自定义数据类型和窗口单元。极大地提高了代码的可读性。

-格式分析：分析易格式可执行文件的总体结构，查看对应项的数据。分别对PE骨骼（PE头）和易格式原体分析，以树形结构清晰的显示，同时辅以详细的分析表格。

-反汇编分析：快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。

-内部数据分析：能够分析出程序使用到的常量、API函数、服务，调用的支持库。

-窗体分析：对易格式可执行文件中包含的窗体数据分析。以树型结构清晰的显示窗体单元的从属结构。详细的控件属性显示、准确的事件处理函数定位、与反汇编模式便捷的切换，让使用者可以立即进入要调试的事件函数领空，避免在runtime的空间里四处打转浪费时间。这一点对于调试非线性事件驱动类型的程序是必须的。

e-code explorer使用方法

一、“文件”菜单

1.打开文件：

选择打开文件后，会出现选择打开对象窗口，你可以选择从磁盘中载入文件或从进程附加两种方式进行分析。选择窗口右下角的设置按钮，可以立即进行分析设置。

在选择从进程载入后出现的进程列表窗口里，可以查看、载入或结束进程，也可以查看或结束被选择进程中的某个模块。

在选择要载入的文件后，会询问是否使用多线程技术进行分析。一般来说只要不是配置很低的机器，就不需要使用多线程分析，选择“否”即可。

稍等片刻，窗口下面的信息栏显示“报告信息已全部生成”表示分析完成。

2.关闭文件

关闭正在分析的文件。

3.导出分析报告

将当前的分析结果以报告文件方式保存在磁盘上。生成的报告文件为标准的文本文件。

4.退出

退出E-Code Explorer。

二、“查看”菜单

选择各个选项，即可查看当前分析的易格式可执行文件的结构信息。分析易格式可执行文件的总体结构，查看对应项的数据。分别对PE骨骼PE头.和易格式原体分析，以树形结构清晰的显示，同时辅以详细的分析表格。

1.选择“易格式头信息”，可以查看当前分析的易格式的头信息。

2.选择“附加数据信息”，可以查看当前易格式头信息的附加数据信息。其中包括易格式所调用的所有DllCmd和支持库信息。点击“查看全部”，可以查看所有被调用的DllCmd的详细信息。

3.选择“程序数据段信息”，可以查看易格式所包括的所有数据段的信息。双击列表中的某一项，将显示此数据段的附加信息，包括所有重定位项和输出符号信息。选择“查看内容”，将显示当前选择的数据段的实际内容。比如“@const”段显示所有常量数据，“@form”段显示窗体资源”。目前此功能只支持显示“@const”段的常量数据，在以后的版本将加入对其他段的支持。选择“查看数据”，将以十六进制方式显示当前选择的数据段中的数据。单击列表项的表头，将在下方的状态条中显示此项的解释。

4.选择“重要装载信息”，可以查看当前可执行文件和易格式在装入过程中需要用到的各种重要数据。选择项目后面的“>>”按钮，将直接显示此地址所指向的数据内容。

5.选择“查看调用的支持库”，可以查看当前程序在运行中所使用到的所有的支持库信息。

6.选择“查看动态链接库命令”，可以查看当前程序在运行中所使用到的所有的动态链接库函数信息。

7.选择“查看常量资源”，可以查看当前程序在运行中所使用到的所有的常量资源。

8.选择“查看服务接口”，可以查看当前程序在运行中所使用到的所有服务接口信息。

9.选择“查看PE导入表”，可以查看当前程序的导入表信息。

10.选择“查看PE导出表”，可以查看当前程序或DLL的导出表信息。双击导出函数，可以对这个函数进行反汇编分析。

11.选择“查看树形视图”功能，可以以树形视图模式清晰的查看当前被分析文件中所包含的各种结构。

12.选择“查看文件内容”功能，可以以十六进制方式查看当前文件的内容。选择工具栏上面的“地址转跳”功能，可以直接转跳到您输入的地址处。选择“显示中文”，可以显示中文的字符信息。

注意：如果不明白某一项分析内容的含义，可以将鼠标悬停在当前项的提示文字上或者单击分析列表的表头，在下面的提示栏中将出现此处分析内容的详细解释。

三、“分析”菜单

1.反汇编分析

快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。

只有经过加载的程序才能进行反汇编分析。如果尚未被加载，会进行讯问。

开始加载后，等待被分析的文件加载成功，选择等待对话框的确定按钮。

注意：如果在进程分析设之中启用了“以DEBUG模式加载进程”，将不会出现这个提示。程序会以调试模式创建进程并自动中断到入口点进行加载。

进入反汇编窗口后，左上方是转跳跟踪列表，左下方是转跳预览框，右面就是反汇编结果。

主要功能通过顶部的工具栏和右键菜单来实现。可以完成“转跳”、“转跳返回”、“转跳位置”、“刷新”、“到入口点”、“到开始处”、“单行复制”、“全部复制”等功能。

在反汇编结果区域，鼠标双击转跳命令，可以进行转跳跟踪。同时Ctrl+方向键右、Ctrl+方向键左也可以方便的实现跟踪转跳，转跳返回的功能。PageUp键、PageDown键、方向键上、方向键下可以进行翻页。

选择转跳跟踪列表的任一项，可在转跳预览框看到当前选择地址的反汇编结果预览。双击即可转跳到选择的位置进行反汇编分析。

在某一个常量处悬停鼠标，可以看到该常量的详细数据情况。双击该常量，可以进行十六进制代码查看。

2.窗体数据分析

对易格式可执行文件中包含的窗体数据分析。以树型结构清晰的显示窗体单元的从属结构。详细的控件属性显示、准确的事件处理函数定位、与反汇编模式便捷的切换，让使用者可以立即进入要调试的事件函数领空，避免在runtime的空间里四处打转浪费时间。这一点对于调试非线性事件驱动类型的程序是必须的。

打开要分析的文件后，即可查看窗体数据分析结果。可以显示当前程序中窗体成员的使用情况、属性和事件处理函数。

双击某一窗体单元，可以立即预览到这个窗体，使分析更加直观。

双击列出的窗体单元的成员，可以查看选择的窗口成员的属性和事件处理函数信息，并在预览窗口中以明显的方式被标示出来。事件栏可以看到当前窗口成员所处理的事件名称和对应的函数地址。双击事件项，即可反汇编显示此事件处理函数。

3.详细的反汇编分析

导出保存详细反汇编分析报告。详细反汇编分析可以反汇编出程序中绝大部分的函数，同时进行符号修饰。

4.生成MAP文件

生成标准格式的MAP文件。可以供其它调试软件加载使用。如果使用OllyDbg作为调试器，建议使用forever[RCT]为EcE特别定做的OllyDbg插件LoadMapEx来加载MAP文件。此插件在EcE安装目录下的Tools文件夹中可以找到。

四、“工具”菜单

提供了若干个默认加载的实用工具和插件功能。

1.导出易格式原体

把当前分析的文件中包含的易格式原体导出保存为原体文件。

2.易格式原体植入PE骨骼

把易格式原体重新封装为标准的PE可执行文件。

3.易格式重定位信息修复

如果是从正在执行的文件中直接导出的易格式原体，如果要进行重新封装的操作，必须要先进行重定位信息修复。输入重定位基址导出易格式原体前易格式的基址.，即可进行修复。

4.插件

自动加载EcE安装目录下PlugIns文件夹中的保存的插件。可以在“设置”菜单的“插件管理”功能中管理所有加载的插件。

五、“帮助”菜单

打开帮助文档、快捷的进入EcE的网站、与作者联系、查看关于信息。