PETotal(PE查看器) v1.7绿色版

PETotal是一款免费的PE查看器，一款简单好用的PE信息编辑软件，可以查看EXE文件的编译工具、版本号、编译链接版本、头信息和数字签字、程序类型等多种功能，支持自定义花指令、文件捆绑、免杀功能。软件绿色免安装，需要的朋友可以下载！

PETotal功能

1. 支持换肤

2. 可以看可执行文件(exe，dll，sys)的版本信息， PE头信息(可用于效验文件的三个字段)和 这个可执行文件使用的DLL和函数，以及输出地函数接口

3. 支持拖拽功能，可以直接拖拽文件到界面，即可分析

4. 可以检查可执行文件是否已经数字签名了

5..可以探测一部分加壳的信息和编译器的信息

6. 可以自动添加花指令，免杀功能,也可以手动添加空白Section，然后修改入口地址，自己通过第三方工具加花指令

7. 支持添加自定义花指令

8. 支持自定义shellcode探框的消息内容

9. 新增提取图标和位图的资源文件功能

10. 文件捆绑功能

12. 支持拖入快捷方式分析，直接拖入桌面的快捷方式即可分析

13.新增附加数据的分析和提取附加数据

PETotal使用方法

1、先点击【浏览】选择要查看的PE文件

2、然后点击【提取资源】查看编译工具、版本号、程序类型、编译链接版本、头信息和数字签名等

PETotal导入函数教程

特征码格式如下：

# 特征码位置索引; 特征码; 壳/编译器名称; 是否从头往下查询(如果有位置索引请置0)

例子：

0106090A;E8E9FFFF;Micorsoft Visual C++ 2005/2008;0

0106090A是特征码相对于程序入口点所处位置，第01位，第06位，以此类推。。。

E8E9FFFF就是这些位置分别对应的特征码，第01位是E8，第06位是E9，以此类推。。。

Micorsoft Visual C++ 2005/2008就是要显示的信息

最后一个0是说按照位置索引来查找，

如果是1就是说从头开始一次查找，这个时候位置索引项目请置0

以分号(;)间隔，一行为一条特征码，#号作为注释行

来看一下添加导入函数的效果：

首先选择一个DLL，下拉框会自动取得DLL导出函数

选择想要添加的函数点击添加增加到列表框里面，然后点击保存按钮

最后看一下PESniffer.dll里的两个函数已经添加到导入列表里面了

更新日志

有哪些变化?

1. 为文件捆绑专门做了个寄主文件(host.exe)，隐藏文件只能绑定到这个寄主文件， petotal不再做免杀软件的载体了(请务必把petotal和host放在同一目录)

2. 支持拖入快捷方式分析，直接拖入桌面的快捷方式即可分析

这次新增的功能

1. 新增附加数据的分析和提取附加数据，也就是平时大家常看到的 [Overlay] *

这个技术一般用在隐藏一些数据，用的时候自己读取，也可以用在隐藏，捆绑文件上(petotal不是用这个捆绑技术)

2.所以这功能也可以用来检测部分文件捆绑