易语言反编译工具-E-Code Explorer-反编译由易语言开发的程序 V2.0 绿色版

不少朋友喜欢用易语言写程序，易语言是纯国产的程序开发软件，既然有开发就会有反编译。E-Code Explorer是第一课易语言反编译工具，可以反编译由易语言开发的程序，分析内部结构，查看数据。

界面预览图：

你在找可用的易语言反编译工具吗？因为易语言是门国产语言所以相应的易语言反编译工具也是很少的，小编为你寻找到这款《E-Code Explorer》。

E-Code Explorer 是一个功能强大的易语言反编译工具，它可以反编译由易语言编译生成的易格式可执行文件，分析内部结构，查看其中的各项数据。

E-Code Explorer 仅支持易语言，可用于破解、代码提取等方面，可以帮你对易语言编写的软件程序进行拆包、修改与反编译。软件支持查看树形视图功能，可以以树形视图模式清晰的查看当前被分析文件中所包含的多种结构，支持反汇编分析与窗口数据分析等。

不仅如此，E-Code Explorer易语言反编译工具还支持生成MAP文件、支持查看调用的支持库，可以查看当前程序在运行中所使用到的所有的支持库信息，支持查看动态链接库命令，可以查看当前程序在运行中所使用到的所有的动态链接库函数信息，功能非常强大且实用。

E-Code Explorer 易语言反编译工具功能：

1、格式分析：分析易格式可执行文件的总体结构，查看对应项的数据。分别对PE骨骼(PE头)与易格式原体分析，以树形结构清晰的显示，同时辅以仔细的分析表格。

2、反汇编分析：快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。

3、窗口分析：对易格式可执行文件中包含的窗口数据分析。

E-Code Explorer易语言反编译工具特点：

1、支持易格式头信息，可以查看当前分析的易格式的头信息。

2、支持附带数据信息，可以查看当前易格式头信息的附带数据信息。其中包含易格式所调用的所有DllCmd与支持库信息。点击查看全部，可以查看所有被调用的DllCmd的仔细信息。

3、支持程序数据段信息，可以查看易格式所包含的所有数据段的信息。双击列表中的某一项，将显示此数据段的附带信息，包含所有重定位项与输出符号信息。选择查看内容，将显示当前选择的数据段的实际内容。例如@const段显示所有常量数据，@form段显示窗口资源。现在此功能只支持显示@const段的常量数据，在之后的版本将加入对其他段的支持。选择查看数据，将以十六进制方式显示当前选择的数据段中的数据。点击列表项的表头，将在下方的状态条中显示此项的解释。

4、支持关键装载信息，可以查看当前可执行文件与易格式在装入过程中需要用到的多种关键数据。选择项目后面的>>按钮，将直接显示此地址所指向的数据内容。

5、支持查看调用的支持库，可以查看当前程序在运行中所使用到的所有的支持库信息。

6、支持查看动态链接库命令，可以查看当前程序在运行中所使用到的所有的动态链接库函数信息。

7、支持查看常量资源，可以查看当前程序在运行中所使用到的所有的常量资源。

8、支持查看服务接口，可以查看当前程序在运行中所使用到的所有服务接口信息。

9、支持查看PE导入表，可以查看当前程序的导入表信息。

10、支持查看PE导出表，可以查看当前程序或DLL的导出表信息。双击导出函数，可以对这个函数进行反汇编分析。

11、支持查看树形视图功能，可以以树形视图模式清晰的查看当前被分析文件中所包含的多种结构。

12、支持查看文件内容功能，可以以十六进制方式查看当前文件的内容。选择工具栏上面的地址转跳功能，可以直接转跳到您输入的地址处。选择显示中文，可以显示中文的字符信息。

E-Code Explorer 易语言反编译工具使用说明：

============文件菜单============

(1)打开文件：

选择打开文件后，会出现选择打开对象窗口，你可以选择从磁盘中载入文件或从进程附带两种方式进行分析。选择窗口右下角的设置按钮，可以即刻进行分析设置。

在选择从进程载入后出现的进程列表窗口里，可以查看、载入或结束进程，也可以查看或结束被选择进程中的某个模块。

在选择要载入的文件后，会询问是否使用多线程技术进行分析。一般来讲只要不是配置很低的机器，就不需要使用多线程分析，选择否就OK了。

稍等一会儿，窗口下面的信息栏显示报告信息已全部生成表示分析完成。

(2)关闭文件

关闭正在分析的文件。

(3)导出分析报告

将当前的分析结果以报告文件方式保存在磁盘上。生成的报告文件为标准的文本文件。

(4)退出

退出E-Code Explorer。

============查看菜单============

选择各个选项，即可查看当前分析的易格式可执行文件的结构信息。分析易格式可执行文件的总体结构，查看对应项的数据。分别对PE骨骼(PE头)与易格式原体分析，以树形结构清晰的显示，同时辅以仔细的分析表格。

(1)选择易格式头信息，可以查看当前分析的易格式的头信息。

(2)选择附带数据信息，可以查看当前易格式头信息的附带数据信息。其中包含易格式所调用的所有DllCmd与支持库信息。点击查看全部，可以查看所有被调用的DllCmd的仔细信息。

(3)选择程序数据段信息，可以查看易格式所包含的所有数据段的信息。双击列表中的某一项，将显示此数据段的附带信息，包含所有重定位项与输出符号信息。选择查看内容，将显示当前选择的数据段的实际内容。例如@const段显示所有常量数据，@form段显示窗口资源。现在此功能只支持显示@const段的常量数据，在之后的版本将加入对其他段的支持。选择查看数据，将以十六进制方式显示当前选择的数据段中的数据。点击列表项的表头，将在下方的状态条中显示此项的解释。

(4)选择关键装载信息，可以查看当前可执行文件与易格式在装入过程中需要用到的多种关键数据。选择项目后面的>>按钮，将直接显示此地址所指向的数据内容。

(5)选择查看调用的支持库，可以查看当前程序在运行中所使用到的所有的支持库信息。

(6)选择查看动态链接库命令，可以查看当前程序在运行中所使用到的所有的动态链接库函数信息。

(7)选择查看常量资源，可以查看当前程序在运行中所使用到的所有的常量资源。

(8)选择查看服务接口，可以查看当前程序在运行中所使用到的所有服务接口信息。

(9)选择查看PE导入表，可以查看当前程序的导入表信息。

(10)选择查看PE导出表，可以查看当前程序或DLL的导出表信息。双击导出函数，可以对这个函数进行反汇编分析。

(11)选择查看树形视图功能，可以以树形视图模式清晰的查看当前被分析文件中所包含的多种结构。

(12)选择查看文件内容功能，可以以十六进制方式查看当前文件的内容。选择工具栏上面的地址转跳功能，可以直接转跳到您输入的地址处。选择显示中文，可以显示中文的字符信息。

注意：如果不明白某一项分析内容的含义，可以将鼠标悬停在当前项的提示文字上或者点击分析列表的表头，在下面的提示栏中将出现这里分析内容的仔细解释。

============分析菜单============

(1)反汇编分析

快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。

唯有经过加载的程序才可以进行反汇编分析。如果尚未被加载，会进行讯问。

开始加载后，等待被分析的文件加载成功，选择等待对话框的确定按钮。

注意：如果在进程分析设之中启用了以DEBUG模式加载进程，将不会出现这个提示。程序能以调试模式创建进程并自动中断到入口点进行加载。

进入反汇编窗口后，左上方是转跳跟踪列表，左下方是转跳预览框，右面就是反汇编结果。

主要功能通过顶部的工具栏与右键菜单来实现。可以完成转跳、转跳返回、转跳位置、刷新、到入口点、到开始处、单行复制、全部复制等一系列功能。

在反汇编结果区域，鼠标双击转跳命令，可以进行转跳跟踪。同时Ctrl+方向键右、Ctrl+方向键左也可以方便的实现跟踪转跳，转跳返回的功能。PageUp键、PageDown键、方向键上、方向键下可以进行翻页。

选择转跳跟踪列表的任一项，可在转跳预览框看到当前选择地址的反汇编结果预览。双击即可转跳到选择的位置进行反汇编分析。

在某个常量处悬停鼠标，可以看到该常量的仔细数据情况。双击该常量，可以进行十六进制代码查看。

(2)窗口数据分析

对易格式可执行文件中包含的窗口数据分析。以树型结构清晰的显示窗口单元的从属结构。仔细的控件属性显示、精准的事件处理函数定位、与反汇编模式简单的切换，让你可以即刻进入要调试的事件函数领空，免除在runtime的空间里四处打转浪费时间。这一点对于调试非线性事件驱动类型的程序是必须的。

打开要分析的文件后，即可查看窗口数据分析结果。可以显示当前程序中窗口成员的使用情况、属性与事件处理函数。

双击某一窗口单元，可以即刻预览到这个窗口，使分析更加直观。

双击列出的窗口单元的成员，可以查看选择的窗口成员的属性与事件处理函数信息，并在预览窗口中以明显的方式被标示出来。事件栏可以看到当前窗口成员所处理的事件名称与对应的函数地址。双击事件项，即可反汇编显示此事件处理函数。

(3)仔细的反汇编分析

导出保存仔细反汇编分析报告。仔细反汇编分析可以反汇编出程序中绝大部分的函数，同时进行符号修饰。

(4)生成MAP文件

生成标准格式的MAP文件。可以供其它调试软件加载使用。如果使用OllyDbg作为调试器，建议使用forever[RCT]为EcE特别定做的OllyDbg插件LoadMapEx来加载MAP文件。此插件在EcE安装目录下的Tools目录中可以找到。

============设置菜单============

(1)分析设置

分析对象设置：设置要分析的文件类型，其中包含标准PE可执行文件、标准Linux可执行文件(现在尚不支持)、易格式原体文件、其他包含易格式的文件。同时还可以设置从某一具体偏移处开始分析(对于其他包含易格式的文件选项)。在0.70以上版本中，加入了对易格式捕捉者的支持。易格式捕捉者可以根据设置的易格式特征码，从当前被分析的数据中自动分析易格式的基址。选择了启动易格式捕捉者，在打开要分析分析文件时，会弹出易格式捕捉者的窗口。可以选择从哪一个疑似易格式基址进行分析，也可以查看疑似基址附近的数据。如果有多个分析结果，即为疑似基址，需要用户自己进行选择。在这里可以选择是否要启动易格式捕捉者，同时也可以配置易格式特征码，供易格式捕捉者分析用。唯有当分析对象类型为其他包含易格式的文件时，才可以使用这项功能。

进程分析设置：选择在从进程加载模式下，是否要自动分析进程的参数。可以手动设置加载参数，如进程基址与进程尺寸。在DLL加载设之中，可以设置DLL加载程序。被选择的程序将用来调用被分析的DLL供加载分析使用。默认情况下，使用内置的LoadDLL程序进行加载。在调试加载设置中，可以选择是否以调试模式加载被分析的程序。通过设置可以用DEBUG模式创建被分析的程序进程，并在真正的入口点中断运行并加载。

符号分析设置：设置符号库相关的参数。如符号库的加载目录。可以显示当前已经加载的符号库列表及其仔细信息。也可以手工添加或卸载加载的符号库。进行相关操作后，点击更新按钮能使操作即刻生效。EcE使用的符号库是标准的易语言带编辑信息的支持库，可以手工为EcE添加符号库。直接把相应的fne文件覆盖到EcE的安装目录下Symbol目录就OK了。

符号修饰设置：设置是否打开相应的符号修饰功能。也可以选择关闭全部的修饰。在高级修饰设置中，可以选择是否使用实时常量分析算法(打开后可以更精确的分析程序中使用到的常量)，是否使用智能冗余代码检测，是否使用DLL接口自动分析(打开后在DLL导出函数的分析中可以直接定位到真正的入口点)。

服务分析设置：设置服务指针表分析算法的参数。可以选择自动解析服务指针还是手动解析服务指针。自动解析服务指针使用了步进算法，在这里可以设置是否打开这个算法。同时还可以设置自动解析的分析起始偏移与解析范围。修改手动解析列表中服务制对于应项后，需按更新按钮才可以生效。此设置比较复杂，不正确的设置会严重影响到反汇编的修饰效果，请谨慎修改。

如果您对无意中修改了某些设置而又不知道应该怎么恢复，可以点击默认按钮，即可把设置项更新为最初的内容。

(2)显示设置

设置与显示相关参数。可以完成反汇编器显示的色彩、十六进制查看器显示的色彩、是否在任务条显示子窗口等设置。

(3)插件管理

对当前加载的插件进行管理。可以动态加载、卸载插件，也可以禁用或恢复某个插件。选择一个插件，可以看到对于这个插件的描述。

============工具菜单============

提供了若干个默认加载的实用工具与插件功能。

(1)导出易格式原体

把当前分析的文件中包含的易格式原体导出保存为原体文件。

(2)易格式原体植入PE骨骼

把易格式原体重新封装为标准的PE可执行文件。

(3)易格式重定位信息修复

如果是从正在执行的文件中直接导出的易格式原体，如果要进行重新封装的操作，必须先进行重定位信息修复。输入重定位基址(导出易格式原体前易格式的基址)，即可进行修复。

(4)插件

自动加载EcE安装目录下PlugIns目录中的保存的插件。可以在设置菜单的插件管理功能中管理所有加载的插件。

============帮助菜单============

打开帮助文档、快捷的进入EcE的网站、与作者联系、查看对于信息。