PE文件查看器-Exe Spy-免费的跨平台Windows PE文件查看器 V1.0 下载

玩反编译的朋友一定都需要查看与分析PE文件吧?今天小编分享一款免费的跨平台Windows PE文件查看器给大家用，它就是Exe Spy!ExeSpy是一个用于查看EXE程序和DLL文件的跨平台PE查看器，完全免费开源。

界面预览图：

ExeSpy 是一个免费的开源跨平台Windows PE文件查看器，它支持所有有效的PE格式，包含EXE、DLL、COM、OCX、SYS、SCR、CPL、AX、ACM、WINMD、MUI、EFI、TSP与DRV。

Exe Spy程序能查看一般信息、文件头、资源等PE信息。

Exe Spy支持查看PE信息列表：

一般信息

标头

部分

收藏

导入

导出

资源

显现

文件的哈希

查看 x86/x64 PE 的反汇编

十六进制查看器

字符串搜索

识别用于混淆文件的加壳程序

VirusTotal 搜索

Entropy分析

Exe Spy功能特点：

1、支持查看文件的哈希值;

2、支持识别用于混淆文件的加壳程序;

3、支持VirusTotal 搜索;

4、支持x86/x64 PE 的反汇编;

5、支持十六进制查看;

6、支持字符串搜索;

Exe Spy(PE文件查看器)使用教程：

要打开 PE 文件，请使用 File->Open 或 Ctrl+O 并选择该文件。不同的选项卡将在可用时加载。由于 Python 的性质，较大的可执行文件可能需要几秒钟才可以加载。我不建议加载大于 50MB 的 PE 文件。

===========文档===========

菜单栏有多种选项。

1、文件

打开PE：打开一个PE文件

退出：退出程序

2、看法

使用原生风格：在原生 (OS) 主题与 Qt fusion 主题中间切换

3、选项

设置 VirusTotal API 密钥：设置您的 VirusTotal API 密钥

4、帮助

对于：版本与许可信息

第三方许可证：ExeSpy 使用的第三方库的许可证

===========一般的===========

常规选项卡显示有关 PE 文件的常规信息。如果可用，它会尝试显示文件的图标，虽然这可能会选择错误或分辨率较低的图标。

文件信息表显示文件元数据。这不是内嵌在 PE 中，则是来自文件系统。

图像信息表显示来自 PE 内部的公共信息。签名验证行使用 LIEF 库来验证 PE 的数字签名。它不会验证 PE 是否使用受信任的证书进行签名，仅仅验证签名是否有效。校验与行计算 PE 的校验与并将其与 PE 的内嵌校验与进行比较。某些 PE 不包含校验与，所以当不包含校验与并设置为 0x0 时，此行可能显示为无效。

===========标头===========

标题选项卡显示来自 PE 文件的 DOS、文件与可选标题。DOS 部分包含来自内部 PE 结构的名称与它所代表的内容的描述，因为给定的名称可能难以理解。

Characteristics 与 DLLCharacteristics 行显示从原始值解析出来的特征。

===========部分===========

部分选项卡显示 PE 文件中的部分及其所有属性。这包含不推荐使用的节标题变量，例如 PointerToLinenumbers 以确保完整性。特性列显示截面特性。特别是 MEM_EXECUTE，这意味着该部分是可执行的。

===========库===========

库选项卡显示作为导入表的结果由 PE 文件加载的库。它还显示从每个库导入的函数的数量。

===========导入===========

导入选项卡显示 PE 文件通过导入目录表 (.idata) 中的 DLL 条目导入的函数。它还显示了函数对应的 DLL 名称与地址。

===========导出===========

导出选项卡显示 PE 导出的函数 (.edata)。这包含函数的名称、序号值(如果用于序号导入而不是按名称)与函数的地址。

如果 PE 没有导出任何功能，则此选项卡将为空。

===========资源===========

资源选项卡显示 PE 资源表 (.rsrc) 中的所有资源。这包含资源的类型、其 ID、偏移量、语言与子语言。ExeSpy 还使用 libmagic 来计算资源的魔力。这对于识别资源的类型很有用。

要保存单个资源以供进一步分析，请右键点击它并点击保存。

===========清单===========

清单选项卡从其资源中提取 PE 的清单(如果有)。这包含一些元数据与有关文件怎么工作的关键信息。例如，该requestedExecutionLevel属性显示文件是否将以更高的权限运行并设置为highestAvailable或requireAdministrator如果是。

如果未找到清单，则此选项卡将为空。

===========字符串===========

字符串选项卡在 PE 文件中搜索 ASCII 字符的字符串，类似于 UNIXstrings命令。它还显示了找到字符串的偏移量。

您可以通过在搜索框中键入来过滤列表。您还可以点击列标题来更改排序顺序。

默认情况下，搜索不区分大小写。您可以通过点击区分大小写的复选框来更改此设置。

要配置在将其视为字符串之前一行中需要多少个 ASCII 字符，请更改最小长度。

===========十六进制视图===========

十六进制视图选项卡是 PE 文件的基本十六进制查看器。这些列是与文件开头的偏移量、十六进制值与十六进制值的 ASCII 解码。

由于 Python 与 Qt 一起运行速度相当慢，所以此选项卡可能需要一段时间才可以加载。

===========哈希===========

哈希选项卡显示 PE 文件的很多不同哈希。这些包含：

CRC32

MD5

SHA1

SHA224

SHA256

SHA3​​84

SHA512

SHA3​​-224

SHA3​​-256

SHA3​​-384

SHA3​​-512

BLAKE2s

它还包含其他专门的哈希。imphash 是从导入表中计算出来的。authentihashes 是验证码签名的哈希值。更多信息。

===========拆卸===========

反汇编选项卡使用iced-x86反汇编 PE 文件。它显示了完整指令的地址、十六进制、操作码与操作数。

Go to Entrypoint 按钮跳转到 PE 文件的入口点。这很有用，因为反汇编中的第一行将是 PE 标头的错误反汇编版本。

您可以通过在文本框中输入特定地址来跳转到该地址。它会智能地确定您输入的地址是否包含图像库，所以您可以包含或不包含图像库。

您还可以指定要反汇编使用的汇编语法。默认情况下，它使用 Intel 语法。

===========打包===========

打包程序选项卡使用 Yara 搜索可能已用于混淆 PE 文件的打包程序与其他信息。源列显示每个检测的来源。

===========熵===========

熵选项卡计算 PE 文件中数据块的熵。您可以指定要使用的块的大小。线图子选项卡显示了整个文件的熵。热图子选项卡将熵显示为 2D 网格中从黑色到白色的颜色。

更多对于熵：

熵是加载的 PE 文件中随机性的度量。

香农熵在每字节 0 到 8 位中间缩放。

0 表示数据是统一的

8 表示数据完全随机

熵可以指示文件中的数据类型。

较高的熵值可能表示加密或压缩的数据部分

明文平常每个字节有 3.5 到 5 位熵

块大小表示一次读取多少字节并计算熵。计算每个块的熵，随后绘制在图表中。

===========病毒总数===========

VirusTotal 选项卡显示 PE 文件的 VirusTotal 报告。这对于查明文件之前是否被扫描过很有用，如果有，它会显示结果。要获得结果，您需要点击按钮。这是为了使用您的 API 密钥节省过多的请求。

如果之前没有扫描过该文件，您可以点击确定打开 VirusTotal.com，您可以在那里进行扫描。