【LordPE豪华版】LordPE汉化版下载 v1.4.0 中文豪华版(32/64位)
软件介绍
LordPE豪华版是一款功能非常强大的PE文件处理工具,它可以帮助用户完成PE文件的分析、修改、脱壳等多种不同操作。而且LordPE汉化版还可以帮助用户将PE文件里的所有内容进行重新编辑,是所有用户们学习调试手动脱壳必备的工具!
LordPE豪华版软件简介
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。LordPE的最新版本,改进了许多东东,PE 编辑器的功能更加强大,加入了各项目的16进制编辑和列表,除了修补了LDS(LordPE Dumper Server)的一些bugs,还增加了一个LDE(LordPE Dumper Engine),支持新的插件格式,功能增加了,还加入了一些yoda自己写的软件,对了,还有一项新的功能,就是:全球首先支持新的 pe 文件格式—pe+,但是只是支持编辑,还不支持脱壳等别的操作。配合手动脱壳工具(Ollydbg等)、ImportREC 等,学习调试手动脱壳必备的工具!
软件特色
1、支持完整脱壳、部分脱壳、区域脱壳
2、支持选择脱壳引擎、优先权
3、支持修正映像大小
4、可以用PE编辑器载入临时文件
5、可以用PE编辑器载入只读文件
6、支持查看PE编辑器起始首部信息
7、可以显示入口点、基址、文件大小、代码起始
8、数据段起、块对齐、文件块对齐、标志
9、子系统、区段数目、文件时间、部首以及块表大小
10、信息标志、校验值、可选部首长度、RAV名称和尺寸
LordPE豪华版使用方法
1、下载解压文件,找到“LordPE.EXE”双击打开使用,点击PE编辑器,可以加载EXE文件进行编辑
2、重建PE,正在重建、脱壳完成、清楚重定位区段
3、合并,打开需要分割的数据文件,支持INI文件
4、脱壳服务器,正在等待用户的要求、可以查看记录、清楚列表
5、设置功能,可以设置PE编辑器、拖拽文件、常规
6、点击中间的PID、基址,可以显示脱壳的项目
LordPE豪华版常见问题
pe文件是什么?
PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。”portable executable”(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。当然,移植到不同的CPU上PE执行体必然得有一些改变。所有 win32执行体 (除了VxD和16位的Dll)都使用PE文件格式,包括NT的内核模式驱动程序(kernel mode drivers)。因而研究PE文件格式给了我们洞悉Windows结构的良机。
所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随 MZ header 之后的 DOS stub。DOS stub实际上是个有效的 EXE,在不支持 PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串 “This program requires Windows” 或者程序员可根据自己的意图实现完整的 DOS代码。通常我们也不对 DOS stub 太感兴趣: 因为大多数情况下它是由汇编器/编译器自动生成。通常,它简单调用中断21h服务9来显示字符串”This program cannot run in DOS mode”。
紧接着 DOS stub 的是 PE header。 PE header 是PE相关结构 IMAGE_NT_HEADERS 的简称,其中包含了许多PE装载器用到的重要域。当我们更加深入研究PE文件格式后,将对这些重要域耳目能详。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 DOS MZ header 中找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header。
PE文件的真正内容划分成块,称之为sections(节)。每节是一块拥有共同属性的数据,比如代码/数据、读/写等。我们可以把PE文件想象成一逻辑磁盘,PE header 是磁盘的boot扇区,而sections就是各种文件,每种文件自然就有不同属性如只读、系统、隐藏、文档等等。 值得我们注意的是 —- 节的划分是基于各组数据的共同属性: 而不是逻辑概念。重要的不是数据/代码是如何使用的,如果PE文件中的数据/代码拥有相同属性,它们就能被归入同一节中。不必关心节中类似于”data”, “code”或其他的逻辑概念: 如果数据和代码拥有相同属性,它们就可以被归入同一个节中。(译者注:节名称仅仅是个区别不同节的符号而已,类似”data”, “code”的命名只为了便于识别,惟有节的属性设置决定了节的特性和功能)如果某块数据想付为只读属性,就可以将该块数据放入置为只读的节中,当PE装载器映射节内容时,它会检查相关节属性并置对应内存块为指定属性。
如果我们将PE文件格式视为一逻辑磁盘,PE header是boot扇区而sections是各种文件,但我们仍缺乏足够信息来定位磁盘上的不同文件,譬如,什么是PE文件格式中等价于目录的东东?别急,那就是 PE header 接下来的数组结构 section table(节表)。 每个结构包含对应节的属性、文件偏移量、虚拟偏移量等。如果PE文件里有5个节,那么此结构数组内就有5个成员。因此,我们便可以把节表视为逻辑磁盘中的根目录,每个数组成员等价于根目录中目录项。
更新内容
这个增强版的主要更新(根据看雪兄的readme文件):
(1) 为LordPE查看输入表部分加上搜索功能
(2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列).
(3) 当点击LordPE查看输入表部分中”View always FirstThunk”,保持光条在原来位置.(LordPE默认会将光条置到0行)
(4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制)
不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题?
其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。
文件列表:
LordPE.EXE ………….原版
LordPE_fix.EXE ………….增强版
下载仅供下载体验和测试学习,不得商用和正当使用。
发表评论