pe/coff和几个工具

pe 指windows可执行文件的格式,coff指windows obj文件的格式。
其中利用dumpbin可以来看pe、coff文件信息。

但是有PEDUMP工具,可以在MSDN找到。这个工具可以导出所有关于pe的信息。
另外REGMON 和 FILEMON 可以用来监控所有的注册表和文件改动。有了这两个东西,你可以看到所有的文件和注册表的改动。这两个软件可以在 www.sysinternals.com 下载。

啊,现在这两个工具被合成了一个叫ProcessMonitor , 可以在这里下载

可以单步调试exe文件的工具,OllyDbg , 在disassembler窗口可以看到windowsAPI的调用,目前还不知道怎么把整个disassembler的文件给保存出来。

贴一个tips,更多tips可见OllyDbg的FAQ。
怎样在某个API,比如MessageBoxA,调用时设置断点?
单击 E 打开executable modules 窗口 , 然后右键点击你的可执行文件 , 选择view names , 找到你想要停的API , 然后右键点击,设置断点。

另外,右键点击这个可执行文件时,有很多信息可以显示,可以深入了解下。



本文地址: http://www.bagualu.net/wordpress/archives/1954 转载请注明




发表评论

电子邮件地址不会被公开。 必填项已用*标注