E-Code Explorer(易语言反编译工具)

　　E-Code Explorer是一款分非常实用的易语言反编译工具，可以帮助用户在短时间内完成所有的源代码以及程序代码提取，用户还可以将此工具进行应用开发，可以让用户缩短开发流程，也可以将其应用于程序数据包分解，可以对程序数据构建内容进行编辑、修改、以及反编译；该程序支持对使用的数据库进行调用以及支持对当亲所使用的程序信息进行查看；用户在使用该此程序进行反编译时，可以直接通过它查看动态链接库命令，可以清晰的看到当前程序中所用到的所有动态函数信息，可以查看查看PE导入表，可以以工作需要对程序的导入数据信息进行查看；强大又实用，需要的用户可以下载体验

软件功能

　　1、反汇编分析：

　　①快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。

　　②只有经过加载的程序才能进行反汇编分析。如果尚未被加载，会进行讯问。

　　③如果在进程分析设之中启用了“以DEBUG模式加载进程”，将不会出现这个提示。

　　④选择转跳跟踪列表的任一项，可在转跳预览框看到当前选择地址的反汇编结果预览，双击即可转跳到选择的位置进行反汇编分析。

　　⑤在某一个常量处悬停鼠标，可以看到该常量的详细数据情况。双击该常量，可以进行十六进制代码查看。

　　2、窗体数据分析：

　　①对易格式可执行文件中包含的窗体数据分析，以树型结构清晰的显示窗体单元的从属结构。

　　②详细的控件属性显示、准确的事件处理函数定位、与反汇编模式便捷的切换

　　③让使用者可以立即进入要调试的事件函数领空，避免在runtime的空间里四处打转浪费时间。

　　④这一点对于调试非线性事件驱动类型的程序是必须的。

　　3、详细的反汇编分析：

　　①导出保存详细反汇编分析报告，详细反汇编分析可以反汇编出程序中绝大部分的函数，同时进行符号修饰。

　　4、生成MAP文件：

　　①生成标准格式的MAP文件，可以供其它调试软件加载使用。

　　②如果使用OllyDbg作为调试器，建议使用forever[RCT]为EcE特别定做的OllyDbg插件LoadMapEx来加载MAP文件。

软件特色

　　1、支持“易格式头信息”，可以查看当前分析的易格式的头信息。

　　2、支持“附加数据信息”，可以查看当前易格式头信息的附加数据信息。其中包括易格式所调用的所有DllCmd和支持库信息。点击“查看全部”，可以查看所有被调用的DllCmd的详细信息。

　　3、支持“程序数据段信息”，可以查看易格式所包括的所有数据段的信息。

　　4、支持“重要装载信息”，可以查看当前可执行文件和易格式在装入过程中需要用到的各种重要数据。

　　5、支持“查看调用的支持库”，可以查看当前程序在运行中所使用到的所有的支持库信息。

安装步骤

　　1、需要的用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　2、通过解压功能将压缩包打开，找到主程序，双击主程序即可将其打开

　　3、弹出对应的应用程序用户界面，用户可以根据需要进行使用

使用方法

　　1、点击文件菜单，打开文件：

　　选择打开文件后，会出现选择打开对象窗口，你可以选择从磁盘中载入文件或从进程附加两种方式进行分析。选择窗口右下角的设置按钮，可以立即进行分析设置。

　　在选择从进程载入后出现的进程列表窗口里，可以查看、载入或结束进程，也可以查看或结束被选择进程中的某个模块。

　　在选择要载入的文件后，会询问是否使用多线程技术进行分析。一般来说只要不是配置很低的机器，就不需要使用多线程分析，选择“否”即可。

　　稍等片刻，窗口下面的信息栏显示“报告信息已全部生成”表示分析完成。

　　（2）关闭文件，关闭正在分析的文件。

　　（3）导出分析报告，将当前的分析结果以报告文件方式保存在磁盘上。生成的报告文件为标准的文本文件。

　　（4）退出，退出E-Code Explorer。

　　2、查看菜单

　　选择各个选项，即可查看当前分析的易格式可执行文件的结构信息。分析易格式可执行文件的总体结构，查看对应项的数据。分别对PE骨骼（PE头）和易格式原体分析，以树形结构清晰的显示，同时辅以详细的分析表格。

　　3、分析菜单

　　（1）反汇编分析

　　快速的静态反汇编易格式可执行文件。提供方便的跳转、调用目标地址的代码预览功能。

　　只有经过加载的程序才能进行反汇编分析。如果尚未被加载，会进行讯问。

　　开始加载后，等待被分析的文件加载成功，选择等待对话框的确定按钮。

　　注意：如果在进程分析设之中启用了“以DEBUG模式加载进程”，将不会出现这个提示。程序会以调试模式创建进程并自动中断到入口点进行加载。

　　进入反汇编窗口后，左上方是转跳跟踪列表，左下方是转跳预览框，右面就是反汇编结果。

　　主要功能通过顶部的工具栏和右键菜单来实现。可以完成“转跳”、“转跳返回”、“转跳位置”、“刷新”、“到入口点”、“到开始处”、“单行复制”、“全部复制”等功能。

　　在反汇编结果区域，鼠标双击转跳命令，可以进行转跳跟踪。同时Ctrl+方向键右、Ctrl+方向键左也可以方便的实现跟踪转跳，转跳返回的功能。PageUp键、PageDown键、方向键上、方向键下可以进行翻页。

　　选择转跳跟踪列表的任一项，可在转跳预览框看到当前选择地址的反汇编结果预览。双击即可转跳到选择的位置进行反汇编分析。

　　在某一个常量处悬停鼠标，可以看到该常量的详细数据情况。双击该常量，可以进行十六进制代码查看。

　　（2）窗体数据分析

　　对易格式可执行文件中包含的窗体数据分析。以树型结构清晰的显示窗体单元的从属结构。详细的控件属性显示、准确的事件处理函数定位、与反汇编模式便捷的切换，让使用者可以立即进入要调试的事件函数领空，避免在runtime的空间里四处打转浪费时间。这一点对于调试非线性事件驱动类型的程序是必须的。

　　打开要分析的文件后，即可查看窗体数据分析结果。可以显示当前程序中窗体成员的使用情况、属性和事件处理函数。

　　双击某一窗体单元，可以立即预览到这个窗体，使分析更加直观。

　　双击列出的窗体单元的成员，可以查看选择的窗口成员的属性和事件处理函数信息，并在预览窗口中以明显的方式被标示出来。事件栏可以看到当前窗口成员所处理的事件名称和对应的函数地址。双击事件项，即可反汇编显示此事件处理函数。

　　（3）详细的反汇编分析

　　导出保存详细反汇编分析报告。详细反汇编分析可以反汇编出程序中绝大部分的函数，同时进行符号修饰。

　　（4）生成MAP文件

　　生成标准格式的MAP文件。可以供其它调试软件加载使用。如果使用OllyDbg作为调试器，建议使用forever[RCT]为EcE特别定做的OllyDbg插件LoadMapEx来加载MAP文件。此插件在EcE安装目录下的Tools文件夹中可以找到。

　　4、设置菜单

　　在（1) 如果您对无意中修改了某些设置而又不知道应该如何恢复，可以按下“默认”按钮，即可把设置项更新为最初的内容。

　　（2）显示设置

　　设置和显示相关参数。可以完成反汇编器显示的色彩、十六进制查看器显示的色彩、是否在任务条显示子窗口等设置。

　　（3）插件管理

　　对当前加载的插件进行管理。可以动态加载、卸载插件，也可以禁用或恢复某个插件。选择一个插件，可以看到关于这个插件的描述。

　　5、工具菜单

　　提供了若干个默认加载的实用工具和插件功能。

　　（1）导出易格式原体

　　把当前分析的文件中包含的易格式原体导出保存为原体文件。

　　（2）易格式原体植入PE骨骼

　　把易格式原体重新封装为标准的PE可执行文件。

　　（3）易格式重定位信息修复

　　如果是从正在执行的文件中直接导出的易格式原体，如果要进行重新封装的操作，必须要先进行重定位信息修复。输入重定位基址（导出易格式原体前易格式的基址），即可进行修复。

　　（4）插件

　　自动加载EcE安装目录下PlugIns文件夹中的保存的插件。可以在“设置”菜单的“插件管理”功能中管理所有加载的插件。

　　6、帮助菜单

　　打开帮助文档、快捷的进入EcE的网站、与作者联系、查看关于信息。