反匯編也稱做逆向分析,通過反匯編來分析該程序的各功能模塊。所以需要掌握相應的基礎知道,如:匯編語言、程序設計思想、系統(tǒng)環(huán)境以及系統(tǒng)原理等。
對DLL反匯編的主要工具有:OD、IDA、softICE等。
反匯編軟件(C32Asm)功能
支持快速靜態(tài)反編譯Exe、Dll等PE格式文件
提供Hex文件編輯功能,功能強大
提供PE文件內(nèi)存Dump、內(nèi)存編輯、ImageSize修正等多種實用功能
提供內(nèi)存反匯編功能,提供匯編語句直接修改功能
提供反編譯語句彩色語法功能,方便閱讀分析,能方便自定義語法色彩
提供輸入表、輸出表、參考字符、跳轉(zhuǎn)、調(diào)用、PE文件分析結(jié)果等顯示
提供方便的跳轉(zhuǎn)、調(diào)用目標地址的代碼顯示
提供匯編語句逐字節(jié)分析功能,有助于分析花指令等干擾代碼
反匯編軟件(C32Asm)技巧
[GLOBENOTE]
LanguageChange=必須重新打開應用程序才能生效
Done=完成
OpenFileErr=打開 %s 文件遭遇錯誤
CreateBakFile=創(chuàng)建備份文件%s?
[GENERAL]
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
CheckNoteAgain=下次不要提醒我(&A)
[PEINFOVIEWBAR]
DosHeader=DOS HEADER
e_magic=e_magic
e_magic_Idc=Magic number
e_cblp=e_cblp
e_cblp_Idc=Bytes on last page of file
e_cp=e_cp
e_cp_Idc=Pages in file
e_crlc=e_crlc
e_crlc_Idc=Relocations
e_cparhdr=e_cparhdr
e_cparhdr_Idc=Size of header in paragraphs
e_minalloc=e_minalloc
e_minalloc_Idc=Minimum extra paragraphs needed
e_maxalloc=e_maxalloc
e_maxalloc_Idc=Maximum extra paragraphs needed
e_ss=e_ss
e_ss_Idc=Initial (relative) SS value
e_sp=e_sp
e_sp_Idc=Initial SP value
e_csum=e_csum
e_csum_Idc=Checksum
e_ip=e_ip
e_ip_Idc=Initial IP value
e_cs=e_cs
e_cs_Idc=Initial (relative) CS value
e_lfarlc=e_lfarlc
e_lfarlc_Idc=File address of relocation table
e_ovno=e_ovno
e_ovno_Idc=Overlay number
e_res=e_res
e_res1=1
e_res1_Idc=Reserved words array 1
e_res2=2
e_res2_Idc=Reserved words array 2
e_res3=3
e_res3_Idc=Reserved words array 3
e_res4=4
e_res4_Idc=Reserved words array 4
e_oemid=e_oemid
e_oemid_Idc=OEM identifier (for e_oeminfo)
e_oeminfo=e_oeminfo
e_oeminfo_Idc=OEM information; e_oemid specific
e_restow=e_res2
e_restow1=1
e_restow1_Idc=Reserved words array 1
e_restow2=2
e_restow2_Idc=Reserved words array 2
e_restow3=3
e_restow3_Idc=Reserved words array 3
e_restow4=4
e_restow4_Idc=Reserved words array 4
e_restow5=5
e_restow5_Idc=Reserved words array 5
e_restow6=6
e_restow6_Idc=Reserved words array 6
e_restow7=7
e_restow7_Idc=Reserved words array 7
e_restow8=8
e_restow8_Idc=Reserved words array 8
e_restow9=9
e_restow9_Idc=Reserved words array 9
e_restow10=10
e_restow10_Idc=Reserved words array 10
e_lfanew=e_lfanew
e_lfanew_Idc=File address of new exe header
FileHeader=File Header
Machine=Machine
Machine_Idc=可執(zhí)行文件的目標CPU。一般值是:IMAGE_FILE_MACHINE_I386 0x014c // Intel 386IMAGE_FILE_MACHINE_IA64 0x0200 // Intel 64
NumberOfSections=NumberOfSections
NumberOfSections_Idc=表明在區(qū)段表里有多少個區(qū)段。區(qū)段表緊跟在IMAGE_NT_HEADERS后面。
TimeDateStamp=TimeDateStamp
TimeDateStamp_Idc=表明文件是何時被創(chuàng)建的。這個值是自1970年1月1日以來用格林威治時間(GMT)計算的秒數(shù),這個值是一個比文件系統(tǒng)的日期/時間更精確的文件創(chuàng)建時間指示器。一種比較簡單的將這個值翻譯為易讀的字符串的方法是用_ctime函數(shù)(它是時區(qū)敏感型的),另一個對此域計算有用的函數(shù)是gmtime。
PointerToSymbolTable=PointerToSymbolTable
PointerToSymbolTable_Idc=COFF符號表的文件偏移位置。COFF符號表在PE文件中相對比較少見,因為較新的debug格式已經(jīng)被采用,在Visual Studio .NET之前,COFF符號表可以通過設置鏈接器開關(guān)/DEBUGTYPE:COFF來創(chuàng)建。COFF符號表幾乎總能在目標文件中找到,如果沒有符號表 存在將此值設為0。
NumberOfSymbols=NumberOfSymbols
NumberOfSymbols_Idc=如果有COFF符號表,它代表其中的符號數(shù)目,COFF符號是一個大小固定的結(jié)構(gòu),如果想找到COFF符號表的結(jié)束處,這個域是需要的。緊跟在COFF符號 表后面的是一個用于放置較長符號名稱的字符串表。
SizeOfOptionalHeader=SizeOfOptionalHeader
SizeOfOptionalHeader_Idc=跟在IMAGE_FILE_HEADER后面的可選數(shù)據(jù)大小。在PE文件中,這個數(shù)據(jù)結(jié)構(gòu)叫IMAGE_OPTIONAL_HEADER,其大小依賴于是32位還是64位文件,對于32位PE文件,這個域通常是224;對64位PE32+文件,這個域是240,不管怎么樣,這些 是要求的最小尺寸值,較大的值可能會出現(xiàn)。
Characteristics=Characteristics
Characteristics_Idc=標明文件屬性的一套旗標。這些標志的有效值是定義于WINNT.H內(nèi)的IMAGE_FILE_xxx值。
OptionalHeader=Optional Header
Magic=Magic
Magic_Idc=是一個標記字,確定這是什么類型的頭部。兩個最常見的值是IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b和IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20b。
MajorLinkerVersion=MajorLinkerVersion
MajorLinkerVersion_Idc=用于編譯這個執(zhí)行文件的鏈接器的主版本。用微軟的鏈接器生成的PE文件,這個版本號對應于Visual Studio的版本號(例如,version 6代表Visual Studio 6.0)。
MinorLinkerVersion=MinorLinkerVersion
MinorLinkerVersion_Idc=用于編譯這個執(zhí)行文件的鏈接器的亞版本。
SizeOfCode=SizeOfCode
SizeOfCode_Idc=所有帶有IMAGE_SCN_CNT_CODE屬性的區(qū)段的聯(lián)結(jié)總尺寸。
SizeOfInitializedData=SizeOfInitializedData
SizeOfInitializedData_Idc=所有初始化數(shù)據(jù)區(qū)段的聯(lián)結(jié)尺寸。
SizeOfUninitializedData=SizeOfUninitializedData
SizeOfUninitializedData_Idc=所有帶有未初始化數(shù)據(jù)屬性的區(qū)段尺寸。這個域經(jīng)常是0,因為鏈接器能附加未初始化數(shù)據(jù)到常規(guī)數(shù)據(jù)區(qū)段的末端。
AddressOfEntryPoint=AddressOfEntryPoint
AddressOfEntryPoint_Idc=文件中將被執(zhí)行的第一個代碼字節(jié)處的RVA。對于DLL,這個入口點是在進程初始化和關(guān)閉時以及線程創(chuàng)建/毀滅時被呼叫。在大多數(shù)可執(zhí)行文件中,這個地址并不直接指向main、WinMain或DllMain,而是指向運行時庫代碼 并由它來呼叫上述的函數(shù)。在DLL中這個域能被設置為0,前面提到的通知消息都不能收到,鏈接器/NOENTRY開關(guān)可以設置這個域為0。
BaseOfCode=BaseOfCode
BaseOfCode_Idc=當被裝入內(nèi)存中時,代碼的第一個字節(jié)處的RVA。
BaseOfData=BaseOfData
BaseOfData_Idc=從理論上講,當被裝入內(nèi)存中時,數(shù)據(jù)第一個字節(jié)處的RVA?墒牵@個域的值對于不同版本的微軟鏈接器是不一致的,在64位可執(zhí)行文件中是不出現(xiàn)的。
ImageBase=ImageBase
ImageBase_Idc=文件在內(nèi)存中的首選裝入地址。如果有可能(也就是說,目前如果沒有其他占據(jù)這塊地址,它是正確對齊的并且是在一個合法的地址,等等),加載器試圖在這個地址裝入PE文件。如果可執(zhí)行文件是在這個地址裝入的,那么加載器將跳過應用基址重定位的步驟(將在這篇文章的第二部分描述)。對于EXE,缺省的ImageBase是0x400000;對于DLL,這個值是0x10000000。ImageBase值可以在鏈接時 用/BASE開關(guān)設置,或者鏈接后通過REBASE應用程序。
SectionAlignment=SectionAlignment
SectionAlignment_Idc=當被裝入內(nèi)存中時的區(qū)段對齊大小。這個大小必須大于或等于文件對齊域(下面提到)。缺省的對齊尺寸是目標CPU的頁尺寸。對于運行在Windows 9x或Windows Me下的用戶模式可執(zhí)行文件,最小的對齊尺寸是一頁(4KB)。這個域可以通過鏈接器的/ALIGN開關(guān)來設置。
FileAlignment=FileAlignment
FileAlignment_Idc=PE文件內(nèi)的區(qū)段對齊大小。對于x86可執(zhí)行文件,這個值通常是0x200或0x1000。用不同版本的微軟鏈接器 缺省值會改變。這個值必須是2的冪,并且如果SectionAlignment小于CPU的頁尺寸,這個域必須與SectionAlignment匹配。鏈接器開關(guān)/OPT:WIN98設置x86可執(zhí)行文件的文件對齊為0x1000,/OPT:NOWIN98設置對齊為0x200。
MajorOperatingSystemVersion=MajorOperatingSystemVersion
MajorOperatingSystemVersion_Idc=需要的操作系統(tǒng)的主版本號。隨著這么多版本的Windows的到來,這個域明顯地變得不切題了。
MinorOperatingSystemVersion=MinorOperatingSystemVersion
MinorOperatingSystemVersion_Idc=需要的操作系統(tǒng)的亞版本號。
MajorImageVersion=MajorImageVersion
MajorImageVersion_Idc=文件的主版本號。它不被系統(tǒng)使用并可以設置為0,通過鏈接器的/VERSION開關(guān)它可以被設置。
MinorImageVersion=MinorImageVersion
MinorImageVersion_Idc=文件的亞版本號。
MajorSubsystemVersion=MajorSubsystemVersion
MajorSubsystemVersion_Idc=執(zhí)行文件需要的操作子系統(tǒng)的主版本。曾經(jīng)有一段時間,這個域被用來表示需要較新的Windows 95和Windows NT 4.0用戶界面。相對于較舊版本的Windows NT界面來說,今天由于各種各樣的Windows版本的出現(xiàn),這個域顯然不能被系統(tǒng)使用了,通常被設置為4,可以通過鏈接器開關(guān)/SUBSYSTEM來設置。
MinorSubsystemVersion=MinorSubsystemVersion
MinorSubsystemVersion_Idc=執(zhí)行文件需要操作子系統(tǒng)的亞版本。
Win32VersionValue=Win32VersionValue
Win32VersionValue_Idc=另一個從來不用的域,通常被設置為0。
SizeOfImage=SizeOfImage
SizeOfImage_Idc=SizeOfImage包括RVA,其值將賦給跟在最后一個區(qū)段后面的區(qū)段(如果存在),這明顯是系統(tǒng)將文件裝入內(nèi)存需要保留的內(nèi)存數(shù)量,這個域值必須是區(qū)段對齊的倍數(shù)。
SizeOfHeaders=SizeOfHeaders
SizeOfHeaders_Idc=是MS-DOS頭部、PE頭部、區(qū)段表的組合尺寸。所有這些項目都出現(xiàn)在PE文件中任何代碼或數(shù)據(jù)區(qū)段之前。域值四舍五入至文件對齊的倍數(shù)。
CheckSum=CheckSum
CheckSum_Idc=映像的校驗和。在IMAGEHLP.DLL中的CheckSumMappedFile API可以計算這個值。校驗和用于內(nèi)核模式的驅(qū)動程序和系統(tǒng)DLL,否則,這個值可以設為0。當鏈接器的/RELEASE開關(guān)被使用時,校驗和被置于文件中。
Subsystem=Subsystem
Subsystem_Idc= 一個標明可執(zhí)行文件所期望的子系統(tǒng)(用戶界面類型)的枚舉值。這個值只對EXE是重要的。
DllCharacteristics=DllCharacteristics
DllCharacteristics_Idc=顯示DLL特性的旗標。這些值對應于IMAGE_DLLCHARACTERISTICS_xxx域定義。
SizeOfStackReserve=SizeOfStackReserve
SizeOfStackReserve_Idc=在EXE文件里,進程中的線程初始堆棧能增加到的最大尺寸。缺省值是1MB,并不是所有這些內(nèi)存在最開始時就被委派。
SizeOfStackCommit=SizeOfStackCommit
SizeOfStackCommit_Idc=在EXE文件里,一開始即被委派(committed )給堆棧的內(nèi)存數(shù)量。缺省值是4KB。
SizeOfHeapReserve=SizeOfHeapReserve
SizeOfHeapReserve_Idc=在EXE文件里,缺省process heap的初始保留尺寸。缺省值是1MB,但是在當前版本的Windows里,heap值在用戶不干涉的情況下就能增 長超過這個值。
SizeOfHeapCommit=SizeOfHeapCommit
SizeOfHeapCommit_Idc=在EXE文件里,委派給heap的內(nèi)存大小。缺省的,這個值是4KB。
LoaderFlags=LoaderFlags
LoaderFlags_Idc=很陳舊的一個域。
NumberOfRvaAndSizes=NumberOfRvaAndSizes
NumberOfRvaAndSizes_Idc=在IMAGE_NT_HEADERS結(jié)構(gòu)的 結(jié)束處是一個IMAGE_DATA_DIRECTORY結(jié)構(gòu)數(shù)組。這個域包括數(shù)組中的條目數(shù)量。這個域從最早的Windows NT發(fā)布以來一直是16。
DataDirectory=DataDirectory
DataDirectory_Idc=一個IMAGE_DATA_DIRECTORY結(jié)構(gòu)數(shù)組。每個結(jié)構(gòu)包括可執(zhí)行文件中的一些重要部分的RVA和大。ɡ巛斎氡、輸出表、資源)。
VirtualAddress=VirtualAddress
VirtualAddress_Idc=VirtualAddress
Size=Size
Size_Idc=Size
IMAGE_DIRECTORY_ENTRY_EXPORT=IMAGE_DIRECTORY_ENTRY_EXPORT
IMAGE_DIRECTORY_ENTRY_EXPORT_Idc=指向輸出表(一個IMAGE_EXPORT_DIRECTORY結(jié)構(gòu))。
IMAGE_DIRECTORY_ENTRY_IMPORT=IMAGE_DIRECTORY_ENTRY_IMPORT
IMAGE_DIRECTORY_ENTRY_IMPORT_Idc=指向輸入表(一個IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)的數(shù)組)。
IMAGE_DIRECTORY_ENTRY_RESOURCE=IMAGE_DIRECTORY_ENTRY_RESOURCE
IMAGE_DIRECTORY_ENTRY_RESOURCE_Idc=指向資源(一個IMAGE_RESOURCE_DIRECTORY結(jié)構(gòu))。
IMAGE_DIRECTORY_ENTRY_EXCEPTION=IMAGE_DIRECTORY_ENTRY_EXCEPTION
IMAGE_DIRECTORY_ENTRY_EXCEPTION_Idc=指向異常句柄表(一個IMAGE_RUNTIME_FUNCTION_ENTRY結(jié)構(gòu)的數(shù)組)。 CPU特定的并且是基于表的異常處理,使用在除了x86系列的CPU上。
IMAGE_DIRECTORY_ENTRY_SECURITY=IMAGE_DIRECTORY_ENTRY_SECURITY
IMAGE_DIRECTORY_ENTRY_SECURITY_Idc=指向一列WIN_CERTIFICATE結(jié)構(gòu),它定義在WinTrust.H里。它不作為映像的一部分映射到內(nèi)存中,因此VirtualAddress域是一個文件偏移位置,而不是RVA。
IMAGE_DIRECTORY_ENTRY_BASERELOC=IMAGE_DIRECTORY_ENTRY_BASERELOC
IMAGE_DIRECTORY_ENTRY_BASERELOC_Idc=指向基址重定位信息。
IMAGE_DIRECTORY_ENTRY_DEBUG=IMAGE_DIRECTORY_ENTRY_DEBUG
IMAGE_DIRECTORY_ENTRY_DEBUG_Idc=指向一個IMAGE_DEBUG_DIRECTORY結(jié)構(gòu)的數(shù)組。每一個結(jié)構(gòu)描述了映像的一些debug信息。早先的Borland的鏈接器設置這個IMAGE_DATA_DIRECTORY條目的Size域為結(jié)構(gòu)的數(shù)目,而不是字節(jié) 大小,為了得到IMAGE_DEBUG_DIRECTORY結(jié)構(gòu)的數(shù)目,用IMAGE_DEBUG_DIRECTORY的大小除以Size域。
IMAGE_DIRECTORY_ENTRY_ARCHITECTURE=IMAGE_DIRECTORY_ENTRY_ARCHITECTURE
IMAGE_DIRECTORY_ENTRY_ARCHITECTURE_Idc=指向架構(gòu)體系特定的數(shù)據(jù),其是一個IMAGE_ARCHITECTURE_HEADER結(jié)構(gòu)的數(shù)組。它不用于x86或IA-64,但看來已被用于DEC/Compaq Alpha。
IMAGE_DIRECTORY_ENTRY_GLOBALPTR=IMAGE_DIRECTORY_ENTRY_GLOBALPTR
IMAGE_DIRECTORY_ENTRY_GLOBALPTR_Idc=VirtualAddress域中的RVA被用作在某一種架構(gòu)體系上的全局指針(gp)。它不使用在x86上,而用于IA-64上。Size域沒被使用,請查閱2000年11月的Under The Hood欄目,獲取更多的關(guān)于IA-64 gp的信息。
IMAGE_DIRECTORY_ENTRY_TLS=IMAGE_DIRECTORY_ENTRY_TLS
IMAGE_DIRECTORY_ENTRY_TLS_Idc=指向線程局部存儲(Thread Local Storage)初始化區(qū)段。
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG=IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG_Idc= 指向一個IMAGE_LOAD_CONFIG_DIRECTORY結(jié)構(gòu)。IMAGE_LOAD_CONFIG_DIRECTORY結(jié)構(gòu)里的信息是特定于Windows NT, Windows 2000, and Windows XP的(例如,GlobalFlag值)。為了將這個結(jié)構(gòu)放入你的可執(zhí)行文件里,你需要用名字__load_config_used定義一個全局結(jié)構(gòu),類型為IMAGE_LOAD_CONFIG_DIRECTORY。對于非x86架構(gòu)體系,符號名字需要是_load_config_used(一個下橫線)。如果你確實想包括一個IMAGE_LOAD_CONFIG_DIRECTORY,它是在C++代碼里立即獲取名字的一個技巧。給鏈接器看的符號名字必須完全寫成__load_config_used(用兩個下橫線)。C++編譯器給全局符號加上一個下橫線,此外,它還用類型信息來修飾全局符號。所以,為了在C++中每一處都是正確的,你應該這樣寫:extern "C" IMAGE_LOAD_CONFIG_DIRECTORY _load_config_used = {...}
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT=IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT_Idc=指向一個IMAGE_BOUND_IMPORT_DESCRIPTOR結(jié)構(gòu)的數(shù)組。其對應這個映像綁定的每一個DLL,數(shù)組條目里時間戳允許加載器快速決定綁定是否是新的。如果是陳舊的,加載器將忽略綁定信息并且正常地解決輸入的API。
IMAGE_DIRECTORY_ENTRY_IAT=IMAGE_DIRECTORY_ENTRY_IAT
IMAGE_DIRECTORY_ENTRY_IAT_Idc=指向第一個輸入地址表(IAT)的開始。對于每個輸入的DLL的IAT繼而出現(xiàn)在內(nèi)存中,Size域顯示了所有IAT的總的大小。在加載器解決輸入時,使用這個地址和大小來臨時地標記IAT為讀寫。
IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT=IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT
IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT_Idc=指向延遲裝入信息,其是一個CImgDelayDescr結(jié)構(gòu)的數(shù)組。定義來自于Visual C++里的DELAYIMP.H。延遲裝入的DLL直到對它里面的API第一次呼叫發(fā)生時才被裝入。在Windows里沒有絕對的關(guān)于延遲裝入DLL的知識,注意這一點是很重要的。延 遲裝入的特征完全是由鏈接器和運行時庫來完成的。
IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR=IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR
IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR_Idc=在最近升級的系統(tǒng)頭文件里,這個值已經(jīng)改名為IMAGE_DIRECTORY_ENTRY_COMHEADER。它指向可執(zhí)行文件的.NET信息中的最高級別信息 ,包括元數(shù)據(jù)。這種信息是以一個IMAGE_COR20_HEADER結(jié)構(gòu)形式存在。
SectionHeader=SectionHeader
Section=Section
SectionName=Name
SectionName_Idc=The ASCII name of the section. A section name is not guaranteed to be null-terminated. If you specify a section name longer than eight characters, the linker truncates it to eight characters in the executable. A mechanism exists for allowing longer section names in OBJ files. Section names often start with a period, but this is not a requirement. Section names with a $ in the name get special treatment from the linker. Sections with identical names prior to the $ character are merged. The characters following the $ provide an alphabetic ordering for how the merged sections appear in the final section. There's quite a 位 more to the subject of sections with $ in the name and how they're combined, but the details are outside the scope of this article
Misc=PhysicalAddress
Misc_Idc=Indicates the actual, used size of the section. This field may be larger or smaller than the SizeOfRawData field. If the VirtualSize is larger, the SizeOfRawData field is the size of the initialized data from the executable, and the remaining bytes up to the VirtualSize should be zero-padded. This field is set to 0 in OBJ files.
SECTION_VirtualAddress=VirtualAddress
SECTION_VirtualAddress_Idc=In executables, indicates the RVA where the section begins in memory. Should be set to 0 in OBJs.
SizeOfRawData=SizeOfRawData
SizeOfRawData_Idc=The size (in bytes) of data stored for the section in the executable or OBJ. For executables, this must be a multiple of the file alignment given in the PE header. If set to 0, the section is uninitialized data.
PointerToRawData=PointerToRawData
PointerToRawData_Idc=The file offset where the data for the section begins. For executables, this value must be a multiple of the file alignment given in the PE header.
PointerToRelocations=PointerToRelocations
PointerToRelocations_Idc=The file offset of relocations for this section. This is only used in OBJs and set to zero for executables. In OBJs, it points to an array of IMAGE_RELOCATION structures if non-zero.
PointerToLinenumbers=PointerToLinenumbers
NumberOfRelocations=NumberOfRelocations
NumberOfRelocations_Idc=The number of relocations pointed to by the PointerToRelocations field. Should be 0 in executables.
NumberOfLinenumbers=NumberOfLinenumbers
NumberOfLinenumbers_Idc=The number of line numbers pointed to by the NumberOfRelocations field. Only used when COFF line numbers are emitted.
Characteristics=Characteristics
Characteristics_Idc=Flags OR'ed together, indicating the attributes of this section. Many of these flags can be set with the linker's /SECTION option. Common values include those listed in Figure 7.
[HexEditStatus]
Page=頁
FileSize=文件大小:%d
FileSize1=塊大小:%d
Block=開始:%xh 結(jié)束:%xh
Block1=相對偏移:%08lxh
Status=撤銷:%d步,重做:%d步
Status1=*撤銷:%d步,重做:%d步
Offset=偏移:%08lxh
[HexEditFindDialog]
DialogWindowText=搜索
STATIC_FIND=搜索
STATIC_REPLACE=替換為
STATIC_DIRECTION=方向
BUTTON_REPLACEALL=全部替換(&A)
BUTTON_REPLACE=替換(&R)
BUTTON_FIND=搜索(&F)
BUTTON_CANCEL=退出(&C)
CHECK_FINDASCII=搜索ASCII碼(&S)
CHECK_MATCH=區(qū)分大小寫(&E)
CHECK_WRAP=循環(huán)搜索(&W)
RADIO_UP=向上(&U)
RADIO_DOWN=向下(&D)
[HexEditUndoRedo]
UndoRedoTip=恢復數(shù)據(jù)可能會需要一段時間,你確信要恢復?
UndoFinish=必須等待處理完undo數(shù)據(jù)以后才能undo
UndoEmpty=undo序列為空
[DisAsmStatus]
DisAsmCodeTip=反匯編代碼段
DisAsmEntryTip=反匯編入口段
DisposeCall=處理調(diào)用
DisposeJmp=處理跳轉(zhuǎn)
DisposeImport=處理輸入表等調(diào)用
[PEDUMP]
AnalysisResources=分析資源
AnalysisMenus=分析菜單
AnalysisDialogs=分析對話框
AnalysisImports=分析輸入表
ParseImports=解析函數(shù)
AnalysisExports=分析輸出表
[ERRORMESSAGE]
JMPERR=跳轉(zhuǎn)到到%08X失敗!
CALLERR=調(diào)用%08X失敗!
[EXPORTTXTFILE]
SAVEDIALOGTITLE=TXT文件
SAVEDIALOGFILTER=導出TXT文件(*.TXT)\0*.TXT\0全部文件(*.*)\0*.*\0
OPENERR=打開%s文件出錯!
DONE=導出完成
[IMPORTLISTBAR]
BarName=輸入表調(diào)用
DisposeImport=正在掃描import
NoFindMsg=搜索到結(jié)尾沒有發(fā)現(xiàn)%s是否從開始搜索
OptionName=輸入表
EnableaddAC=自動拼寫搜索(&A)
ExpandTree=自動展開(&E)
[EXPORTLISTBAR]
BarName=輸出表調(diào)用
DisposeExport=正在掃描輸出表
NoFindMsg=搜索到結(jié)尾沒有發(fā)現(xiàn)%s是否從開始搜索
NoExport=沒有輸出表
[STRINGLISTBAR]
BarName=字符串調(diào)用
DisposeString=正在掃描String
NoFindMsg=搜索到結(jié)尾沒有發(fā)現(xiàn)%s是否從開始搜索
OptionName=字符串搜索
EnableaddAC=自動拼寫搜索(&A)
ExpandTree=自動展開(&E)
[JMPCALLBAR]
BarName=調(diào)用和跳轉(zhuǎn)信息
BuiltJmpTree=分析跳轉(zhuǎn)信息
BuiltCallTree=分析調(diào)用信息
ByJmp=_被跳轉(zhuǎn)地址
Jmper=_跳轉(zhuǎn)地址
ByCall=_被調(diào)用地址
Caller=_調(diào)用地址
[SEARCHLISTBAR]
BarName=搜索結(jié)果
Searching=正在搜索
NoFind = 沒有找到 %s
PeAnalysisResultBarName=Pe分析結(jié)果
[CJCONTENTBAR]
OptionName=直接內(nèi)容
LineUp=前面顯示
LineDown=后面顯示
Automatic=缺省
Other=其他
m_eneip=顯示EIP
m_endump=顯示HEX
m_encontent=顯示內(nèi)容
m_enstring=顯示字符串
m_staticColor=高亮顏色
m_staticFont=字體
[CCJANALYSISVIEW]
Title=所有對EIP: %08X的調(diào)用
[OPTIONS]
HexConfiguration=Hex編輯設置
DisasmConfiguration=反匯編設置
MainConfiguration=設置
[MAINOPTION]
Title=通常
SmartMenu=禁止智能菜單(&D)
RecentFiles=最大能列出的最近文件數(shù)目:
RecentFilesOverFlow=數(shù)值必須介于0和16之間
DropOpenMode=拖放后打開模式
AsmDropOpenMode=反匯編模式
HexDropOpenMode=十六進制模式
UserDropOpenMode=用戶選擇模式
[MAINDIALOGOPTION]
Title=對話框選項設置
AnimDialog=使用動畫對話框
Afterimages=動畫回放
TotalSteps=幀數(shù):
Delay=動畫時間:
AfterimagesOverFlow=回放時間必須為 0 到 32 之間
TotalStepsOverFlow=幀的大小必須為 0 到 255 之間
DelayOverFlow=動畫時間必須為 0 到 99 之間
[MAINBOOKMARK]
Title=書簽
Goto=跳轉(zhuǎn)(&G)
Set=設定(&S)
Remove=刪除(&R)
Close=關(guān)閉(&C)
ChangeName=改變名稱(&N)
ClearAll=全部刪除(&A)
[MAINCOMMENT]
Title=注釋對話框
Goto=跳轉(zhuǎn)(&G)
Set=注釋(&M)
Remove=刪除(&R)
Close=關(guān)閉(&C)
ChangeName=改變注釋(&O)
ClearAll=刪除所有(&A)
[CC32ASMVIEW]
jmperr=跳到%08X失敗
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
CheckNearEip=自動尋找有效EIP(&A)
GotoEipTitle=Eip跳轉(zhuǎn)對話框
NoFind=沒有發(fā)現(xiàn)字符串%s
CopyOver=你選擇需要拷貝的行數(shù)很多,這樣會很慢..你是否仍然繼續(xù)拷貝?
Copying=正在拷貝
[CC32ASMDOC]
noexe=不是可執(zhí)行文件
likedos=不是PE文件,到像個DOS文件
nope=不是PE文件
OpenErr=打開%s文件出錯
TryHexOpen=反匯編失敗,是否使用十六進制格式打開?
[HEXFINDDLG]
Hexadecimal=十六進制
ANSI String=ANSI 字符串
Decimal=十進制
Octal=八進制
Binary=二進制
Unicode=Unicode 字符串
InputInvalid=輸入無效
staticFind=搜索
staticReplace=替換
staticSearchType=類型
buttonFind=下一個(&S)
buttonCancel=退出(&C)
buttonReplaceAll=全部替換(&A)
buttonReplace=替換(&R)
checkMatchCase=大小寫敏感(&M)
checkSearchBack=往上搜索(&E)
checkAutoCPL=自動完成(&U)
RepalceSupply=僅僅十六進制和ANSI 字符串提供替換功能
ReplaceLongErr=替換的長度不一致
RepalceNoFind=沒有發(fā)現(xiàn)
RepalceALLNoFind=沒有可以替換的
RepalceALLFinish=替換完成
[HEXGOOFFSETDLG]
Title=跳轉(zhuǎn)到..
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
RelatBegain=文件開始(&B)
RelatEnd=文件結(jié)尾(&E)
RelatCurrent=現(xiàn)在位置
RelatCurrentBack=現(xiàn)在位置往上
Hex=16進制
Dec=10進制
Relative=相對于..
InvalidAddress=地址輸入非法
[HEXDEFINEDLG]
Title=定義選擇塊
BlockBegain=塊開始
BlockEnd=塊結(jié)束
SelLenErr=塊的開始或者結(jié)束的數(shù)值大于文件長度!請重新選擇
CaretPos=光標定位于塊的開始(&C)
BlockSize=塊大小
RadioWithSize=大小定位(&S)
RadioWithPositon=位置定位(&P)
RadioHexBase=十六進制(&H)
RadioDecBase=十進制(&D)
[ASBGOOFFSETDLG]
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
Title=跳轉(zhuǎn)對話框
[ASBASSEMBLEDLG]
ButtonOk=匯編(&A)
ButtonCancel=退出(&C)
CheckNop=使用NOP填充(&N)
CheckKeepText=保持文本(&K)
checkMinCode=自動選擇最小代碼(&U)
Title=匯編對話框
[CREGISTER]
ButtonOk=保存(&S)
ButtonCancel=退出(&C)
StaicName=名稱
StaicOrganize=組織
StaicEmail=聯(lián)系地址
StaicHardId=注冊標示
Title=注冊
InfoErr=內(nèi)容不能為空
[ASBDISPLAYPAGE]
Title=匯編模式顏色選項
HiTextColor=高亮前景色
HiBackColor=高亮背景色
TextColor=前景色
BackColor=背景色
Automatic=缺省
Other=其他
Font=字體
[C32ASMHEXVIEW]
NoFind= 沒有找到!
NormalMode=普通模式(&N)
InsertMode=插入模式(&I)
SnapMode=內(nèi)存快照模式(&S)
DirectMode=直接內(nèi)存模式(&D)
OverMaxFormat=需要格式化的字符太多,這有可能導致程序沒有響應,是否繼續(xù)格式化字符?
StatusCursor=光標: %08X
StatusSelection=選擇: %08X - %08X
StatusBytes=%u 字節(jié)
StatusValue=值=%02X
StatusFileLen=文件長度:%u bytes
PaseteInsertData=剪貼板數(shù)據(jù)將粘貼到偏移量%X.\0d 這將增加這個文件的大。
PaseteReplaceData=剪貼板數(shù)據(jù)將替換偏移量%X的數(shù)據(jù).\0d 這不會改變這個文件的大!
DeleteSelection=刪除選擇的塊將減小文件大小,繼續(xù)么?
[HEXLAYOUTPAGE]
Title=版面
ROWS=行
PreROWS=每行顯示
LeftPadding=Hex左面版距離
RightPadding=Hex右面版距離
Address=地址顯示
HexAddress=地址使用16進制
DecAddress=地址使用10進制
FixToWindow=適應窗口
[HEXDISPLAYPAGE]
Title=顏色
Color=顏色設置
BKColor=背景色
Other=其他..
Default=缺省
SelectedColor=選中時候前景色
HEXODDColor=奇數(shù)行顏色
HEXEvenColor=偶數(shù)行顏色
HEXSelectOddColor=選中奇數(shù)行顏色
HEXSelectEvenColor=選中偶數(shù)行顏色
HEXModifyColor=改動過顏色
HEXSelectModifyColor=選中改動過顏色
HEXAddressColor=地址顯示顏色
HEXCurrentLineForeColor=高亮當前行前景色
HEXCurrentLineBackColor=高亮當前行背景色
HEXAscIIColor=Ascii顯示顏色
HEXSelectAscIIColor=選中Ascii時顏色
HEXHightCursor=高亮對應光標顏色
HEXDividBorder=分界線顏色
Misc=設置
HEXFont=字體
HEXControlChar=控制字符顯示為
HEXExpendChar=顯示擴展字符
[HEXGENERALPAGE]
Title=通常
AddressVisible=顯示地址欄(&A)
AddressColon=地址欄結(jié)尾顯示冒號(&C)
AddressMidColon=地址欄中部顯示冒號(&M)
AddressAutoResize=地址欄自動適應(&F)
EnableDragDrop=能否拖放數(shù)據(jù)(&D)
EnableLinkDrop=拖動文件使用插入模式(&P)
LowerHex=小寫顯示HEX(&L)
AsciiExpendChar=顯示擴展字符(&E)
AsciiControlChar=顯示控制字符(&O)
TypingReplacesSelection=輸入時替換選擇部分(&T)
CreateBakFile=創(chuàng)建備份文件(&G)
WatchMemoryChange=監(jiān)視內(nèi)存變化(&W)
DivideBorder=顯示分割線(&V)
HightCursor=高亮對應光標(&H)
InsertModeDefault=缺省為插入模式(&S)
UseCreateFileMapping=使用文件映射(&U)
AsmBaseAddrFit=基址自動填充(&B)
BackupPrompt=備份時候提示(&P)
[HEXOPTIONFORMATCOPYPAGE]
Title=拷貝設置
Format1=菜單一
Format2=菜單二
Format3=菜單三
FormatName=菜單名稱
FormatStartName=前面插入
FormatEndName=后面補充
[OPTIONDISASMPAGE]
Title=反匯編行為設置
AnalysisResource=分析資源(&R)
AnalysisMenu=分析菜單(&M)
AnalysisDialog=分析對話框(&D)
LogReport=使用跟蹤報告
ParseSymbol=自定輸入表分析(&E)
HiTextColor=高亮前景色
HiBackColor=高亮背景色
TextColor=前景色
BackColor=背景色
Automatic=缺省
Other=其他
Font=字體
ParseTitle=分析
DisplayTitle=顯示
JmpLessOverFlow=深度值必須為0和9之間
JmpLess=跳轉(zhuǎn)分析的深度
[HEXINTERPRETER]
Title=數(shù)據(jù)解釋器選項
SIGNED_BYTE=8 位,有符號
UNSIGNED_BYTE=8 位,無符號
SIGNED_SHORT=16 位,有符號
UNSIGNED_SHORT=16 位,無符號
SIGNED_LONG=32 位,有符號
UNSIGNED_LONG=32 位,無符號
SIGNED_QUAD=64 位,有符號
UNSIGNED_QUAD=64 位,無符號
FLOAT=32 位,Float
DOUBLE=64 位,Double
DOS_TIME=16 位,Dos Time
DOS_DATE=16 位,Dos Date
TIME_T=32 位,Dos time_t
FILMTIME=64 位,FilmTime
DISASM=? 位,反匯編
Explain=位數(shù)
Name=名稱
Value=數(shù)值
[TOOLSTRANSFORMCODE]
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
buttonClear=清除(&L)
buttonSaveBin=保存Bin(&S)
buttonCopyHex=拷貝Hex(&H)
buttonCopyAsm=拷貝Asm(&A)
buttonUndo=撤銷(&N)
buttonRedo=重做(&R)
staticAddress=地址(hex)
staticInput=輸入
staticStatus=狀態(tài)
staticCodeResult=代碼
staticAsmResult=匯編符號
checkMinCode=自動選擇最小代碼(&U)
Title=匯編轉(zhuǎn)換
SelectTitle=選擇匯編碼
[TOOLSHASHCAL]
ButtonOk=計算(&A)
ButtonCancel=退出(&C)
ButtonOpenFile=打開文件(&O)
radioHex=16進制(&H)
radioString=字符串(&S)
radioFile=文件(&F)
editHexInput=您沒有選擇任何字節(jié)用來計算散列值,您可以在這里輸入16進制的數(shù)或者字符串來計算散列值
staticHashSelect=選擇散列計算方式
staticHexInput=輸入16進制
staticHashResult=結(jié)果
Title=計算散列值
[HEXFILLBLOCK]
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
ButtonAdd=添加(&A)
ButtonDelete=刪除(&D)
ButtonSelect=選擇(&S)
staticForm=從
staticTo=到
staticPasses=選擇
staticNewFileLen=新文件大小
staticFillLen=填充大小
staticInsertLen=插入數(shù)據(jù)大小
radioHex=使用16進制填充
radioRandom=使用隨機的數(shù)值填充
FillTitle=填充數(shù)據(jù)
NewFileTitle=建立新文件
InsertTitle=插入數(shù)據(jù)
RandBig=隨機的范圍不能大于255
FromBigTo=隨機開始的范圍不能大于隨機結(jié)束的范圍
LengthIsZero=長度不能為0
[HEXMODIFYDATA]
FLIP16FALUT=選擇的數(shù)據(jù)同2字節(jié)不匹配,是否需要自動校正?
FLIP32FALUT=選擇的數(shù)據(jù)同4字節(jié)不匹配,是否需要自動校正?
FLIP64FALUT=選擇的數(shù)據(jù)同8字節(jié)不匹配,是否需要自動校正?
REFlIPOK=選擇數(shù)據(jù)已經(jīng)匹配
CALEMPTY=計算操作的值不能為空
DISNUMZERO=位移次數(shù)不能為零
radioAdd=加(&A)
radioSub=減(&S)
radioMul=乘(&U)
radioDiv=除(&D)
radioMod=模(&M)
radioShiftLeft=算術(shù)左移(&L)
radioShiftRight=算術(shù)右移(&R)
radioRotateLeft=循環(huán)左移
radioRotateRight=循環(huán)右移
radioBlockLeft=字符塊左移(&B)
radioBlockRight=字符塊右移(&K)
radioUpperCase=字符大寫(&U)
radioLowerCase=字符小寫(&W)
radioInverseCase=大小寫翻轉(zhuǎn)(&I)
radioFlip=翻轉(zhuǎn)(&F)
radioNeg=&Neg
radioNot=取反
radioXor=異或(&X)
radioOr=或(&O)
radioAnd=與(&N)
checkCal=十六進制(&H)
ButtonOk=確定(&O)
ButtonCancel=退出(&C)
Title=修改數(shù)據(jù)
[HEXVIEWERRORCODE]
OUTOFMEMORY=內(nèi)存不足
ALREADYOPEN=文件已經(jīng)打開
SHARINGVIOLATION=voilation sharing
ACCESSDENIED=沒有權(quán)限
MEMMAP=memory map error
FILETOOBIG=文件太大
INVALIDOFFSET=無效的偏移
INVALIDLENGTH=無效的長度
INVALIDARG=無效的目標
MAXLINKEDFILES=連接文件已滿
FILEERROR=文件錯誤
FAILEDTOFIND=沒有找到
USERABORT=用戶取消
FILEREADONLY=只讀文件
DISKSPACE=硬盤空間不夠
FILEQUICKSAVE=文件保存錯誤
FILENOLINKCURRENT=沒有聯(lián)接文件
FILENOINSERTCURRE=不能插入文件
FILEEMPTY=空文件
FILEINSERTFAILED=文件插入失敗
NOSELECTION=沒有選擇
INSERTMODE=插入模式
FILEOPENFAIL=文件打開失敗
FILESAVEFAIL=文件保存失敗
FILECREATEFAIL=文件創(chuàng)建失敗
FILEWRITEFAIL=文件寫入失敗
FILETOOSMALL=文件太小
- PC官方版
- 安卓官方手機版
- IOS官方手機版