home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Tools / Make PE / MAKEPE.TXT < prev    next >
Encoding:
Text File  |  2000-05-25  |  4.7 KB  |  137 lines
  1. ──────────────────────────────────────────────────────────────────────────────
  2.             MakePE version 1.30 (C) G-RoM in 1998
  3.  
  4.               GTR95/SoftICE/TRW Dump rebuilder
  5. ──────────────────────────────────────────────────────────────────────────────
  6.  
  7. Purpose :
  8. ─────────
  9.  
  10.   MakePE is a PE structure  rebuilder. From a dump, made with ProcDump(TM) or
  11. with GTR95(TM)  or one you did under SoftICE (TM), it will try to rebuild the
  12. PE header, import section (when possible) and can reoptimize your dump to re-
  13. duce it. It can load too a standard PE file and will try to reduce it if you
  14. used the '-s' switch.
  15.  
  16. Syntax :
  17. ────────
  18.  
  19.  MakePE <PE file to rebuild> [options]
  20.  
  21. it will generate a PE file called fileout.exe
  22.  
  23. Options :
  24. ─────────
  25.  
  26.  ■ -a  : Recompute object size
  27.  
  28.    This option allow you to say to MakePE to use Virtual Size for section
  29.    as physical size. This is necessarry for PACKED PE, because the unpacked
  30.    size of section is bigger than packed one. You can unselect this option
  31.    if you are planning to work against a cryptor.
  32.  
  33.  ■ -s  : Optimize PE structure
  34.  
  35.    This option optimize the PE structure according to the object table  in
  36.    the way to  reduce written  PE file. If you select  this option, the PE
  37.    file will take less space on disk.
  38.  
  39.  ■ -ix : Import rebuilder method :
  40.  
  41.    * 0 : No rebuild
  42.  
  43.      Doesn't try at all to locate import section, leave the related import
  44.      informations untouched.
  45.  
  46.    * 1 : Use import informations
  47.  
  48.      Read actual import informations, and use them to recreate a valid import
  49.      table.
  50.  
  51.    * 2 : Rebuild import table.
  52.  
  53.      Detect import table using heuristical criterea and fixup the import ta-
  54.      ble if found.
  55.  
  56.    * 3 : Full Import rebuild.
  57.  
  58.      Detect import table, generate a new import section, generate import
  59.      function names & ordinals. There is a BIG chance that generated PE runs
  60.      perfectly ;). REQUIRES a DLL List (see option -l).
  61.  
  62.  
  63.  ■ -l<file> : Load Dll List informations.
  64.  
  65.    This option is required if u wish to use the Import rebuilding method n°3.
  66.    The file must contains the dll list that were attached to this memory dump.
  67.  
  68.    The file format is really easy :
  69.  
  70.     One dll name (without any fucking path) by line.
  71.  
  72.    U can take a look at the file DLLLIST.SAM if u have a small doubt ;). The
  73.    external tool ModList can help you to do a such file. Just launch it like
  74.    that :  ModList >mylist. Then Edit mylist and remove all the  unnecessary
  75.    output (stuff other than DLL list of ur targetted process !).
  76.  
  77.  ■ -f  : Force raw mode
  78.  
  79.    This force MakePE to consider input file for REBUILD tool as a dump file.
  80.    Use only this if MakePE crash when u try to supply a PE file.
  81.  
  82.  ■ -m  : Merge code section
  83.  
  84.    REBUILDed file will have all the image in a single section. Can be usefull
  85.    to analyze some PE loader.
  86.  
  87.  ■ -kx : Kill sections from N°x
  88.  
  89.    Remove Sections starting with x one. Can be usefull to remove unpacker,
  90.    Decryptor relative loader/datas OR to strip .DEBUG object for example.
  91.  
  92.  ■ -v  :  Show internal code version.
  93.  
  94. Informations :
  95. ──────────────
  96.  
  97.  PE rebuilder code : 91Kb
  98.  Main Code       : 12Kb
  99.  
  100.  MakePE was originaly designed as test code for ProcDump. But, regarding some
  101. needs I had and the fact that my friend Hendrix needed a such tool, I finally
  102. improved it. MakePE complete ProcDump32 and vice-versa ;).
  103.  
  104. History :
  105. ─────────
  106.  
  107. 1.0  : First version, same as the ProcDump beta 2-1 engine.
  108. 1.01 : Added the PE structure shrinker.
  109. 1.02 : Added an universal PE loader.
  110. 1.03 : Added the import skip option.
  111. 1.04 : Fixed a major bug in PE loader
  112.        Fixed a major bug Structure shrinker.
  113.        Added a little check for virtual size of ZERO.
  114. 1.05 : Added Merge Section option code coz of Hendrix request.
  115. 1.06 : Enhanced a buffer size.
  116.        Set to zero the space between section.
  117. 1.07 : Added an option for PE loader (RAW mode).
  118. 1.08 : Added a Fake Reloc Pointer in MZ header COZ IDA LOADER IS STUPID !!!.
  119.        Added a Section Remover after a given one.
  120.        Enhanced the File Type detection (PE/RAW detector).
  121. 1.08a: Enhanced PE loader [Section Size AutoChoice].
  122. 1.09 : Fixed a little bug in Import By Ordinal routine.
  123.        Added a TLS section skipper.
  124. 1.10 : Enhanced PE loader again.
  125. 1.20 : Use same technology as ProcDump 1.2.0
  126.        Added Load of DLL list.
  127.        Added two external tools.
  128.        Added a PE header section optimizer to avoid non pageable area.
  129.        Quit properly if there is no import table at all (Ie: Data DLL).
  130. 1.25 : Use same technology as ProcDump 1.2.5 [EXPERIMENTAL VXD].
  131.        Fixed GetProcOrd Code.
  132.        Fixed Name Scanner.
  133.        Fixed Load DLL pb with a few DLLs.
  134. 1.30 : New PE optimizer code.
  135.        Added Section Size Optimizer.
  136.        Changed Banner Stamp method.
  137.