Simple and familiar user interface
Hexbased expression parser
Full-featured kernel memory edit, save and load
Follow jump and back
Memory map
Modules thread view
Register view
Full memory search
Fast assmbler/disassembler (Zydis 4.0.0)
Plugin support with growing API
ASCII/Hex memory dump
Dynamic stack view
Executable patching
Game cheat engine trainer
Full IO ports read and write
Windows service API investigator
Save and load binary files
Virtual / physical address converter and mapper
Full PCI bus viewer
Full kernel drivers structre viewer
Full user mode processes structure viewer
Full system BIOS structure viewer
System ACPI structure viewer
Special boot control featrure
Debug Windows kernel and processes without
Windows global flag enabled or any process in debug mode

Support for Windows XP up to Windows 11, x86 and x64, and SMP kernels. Support for WOW64 processes on x64.

Integration of QuickJSPP, which is a port of QuickJS to MSVC++. Before calling QuickJS, BugChecker saves the FPU state (on x86) and switches to an expanded stack of 128KB.

Commands accept JS expressions. For example, "U rip+rax*4" and "U MyJsFn(rax+2)" are valid commands. Custom functions can be defined in the Script Window. CPU registers are declared as global scope variables automatically by BugChecker.

Support for PDB symbol files. PDB files can be specified manually or Symbol Loader can download them from a symbol server.

JavaScript code can call the following asynchronous functions: WriteReg, ReadMem, WriteMem.

Breakpoints can have a JS condition: if condition evaluates to 0, no "breakin" happens. This allows to set "Logpoints" and breakpoints that can change the flow of execution.

Log window shows the messages sent to the kernel debugger (for example DbgPrint messages).

JavaScript window with syntax highlighting.

The tab key allows, given few digits, to cycle through all the hex numbers on the screen or, given few characters, to cycle through all the symbols containing those characters.

EASTL and C++20 coroutines make creating new commands a breeze. Feel free to send your pull requests!

با توجه به تاریخ انتشار کتاب Windows PE权威指南 که به زبان چینی و در سال 2011 به چاپ رسیده است، در بازنویسی این کتاب سعی کرده‌ام مطالب و ابزارهای قدیمی را حذف کنم و از نرم‌افزارهای به‌ روز و مطالب جدید استفاده کنم. به همین دلیل ممکن است بعضی از موضوعات به‌طور کامل تغییر یا جایگزین شوند و یا حتی بر حسب نیاز مطالب جدیدی اضافه گردند.

سطح مطالب این کتاب پیشرفته است و موضوعاتی که مطرح می‌شوند ممکن است نیاز به داشتن پیش‌نیاز باشند. به طور مثال، کدنویسی پروژه‌ها به زبان اسمبلی و در محیط برنامه‌نویسی انجام می‌شود، بنابراین شما باید زبان اسمبلی را بدانید و با محیط برنامه‌نویسی به زبان اسمبلی آشنایی داشته باشید. تمرکز این کتاب بر تشریح ساختار فایل‌های PE خواهد بود و به آموزش پیش‌نیازها یا سایر موارد اشاره نخواهیم کرد. با این حال، در هر فصل بخشی تحت عنوان منابع وجود دارد که برای درک و آشنایی بیشتر شما با بعضی مطالب، منابع مناسبی معرفی خواهند شد.

char chrSign[] = "DWORD.IR";
    

// 01. Array Index Assign
char array01[] = "DEFUALT_RAW_DATA";
SecureZeroMemory(array01, sizeof(array01));
array01[0] = 'D';
array01[1] = 'W';
array01[2] = 'O';
array01[3] = 'R';
array01[4] = 'D';
array01[5] = '.';
array01[6] = 'I';
array01[7] = 'R';
    
// 02. Pointer Assign
char* array02 = "DWORD.IR";
array02 = "SecureByte.IR";

// 03. Assign With STR Functions
SecureZeroMemory(array01,sizeof(array01));
strcpy_s(array01, sizeof(array01), chrSign);

// 04. Assign With MEM Functions
SecureZeroMemory(array01, sizeof(array01));
memcpy_s(array01, sizeof(array01), chrSign, strlen(chrSign) + 1);

// 05. Assign With LSTR Functions
SecureZeroMemory(array01, sizeof(array01));
lstrcpyA(array01, chrSign);

// 06. Assign With SPRINTF
SecureZeroMemory(array01, sizeof(array01));
sprintf_s(array01, sizeof(array01), "%s", chrSign);
   
// 07. Assign With Inputs
SecureZeroMemory(array01, sizeof(array01));
scanf_s("%17s", array01, (unsigned)_countof(array01));

// 08. Assign With External Inputs
// Registry, Files and etc...