LordPE for Win10是一款非常專業(yè)的pe文件修改工具，該工具功能強(qiáng)大，支持PE文件分析、修改和脫殼三大功能，通過它，我們就能夠?qū)ξ募M(jìn)行系統(tǒng)層面的修改，不僅能夠?qū)崿F(xiàn)PE文件的分析、修改、脫殼功等操作，還能夠把一個(gè)進(jìn)程的內(nèi)存數(shù)據(jù)給Dump下來，然后保存為文件。

【軟件特色】

　　1、支持完全脫殼，支持部分脫殼和地區(qū)脫殼。

　　2、支持脫殼發(fā)動(dòng)機(jī)和優(yōu)先級(jí)的選擇

　　3、支持校正圖像尺寸

　　4、可以使用編輯器加載臨時(shí)文件

　　5、可以使用編輯器加載只讀文件

　　6、支持顯示PE編輯器的開始頭信息

　　7、可以顯示入口點(diǎn)、源地址、文件大小和代碼開始。

　　8、數(shù)據(jù)段開始，塊對(duì)齊，文件塊對(duì)齊，標(biāo)記

　　9、子系統(tǒng)、節(jié)數(shù)、文件時(shí)間、部首和塊表大小

　　10、信息標(biāo)志、檢查值、可選基本長度、RAV名稱和大小

【脫殼教程】

　　在本站下載解壓，得到lordpe吾愛破解專用版軟件包；

　　雙擊運(yùn)行"LORDPE.exe"程序，便可直接打開軟件進(jìn)行使用；

　　由于此次版本默認(rèn)是英文語言，所以小編在下圖帶來了中文界面為用戶做參考；

　　這個(gè)是程序的界面，打開程序時(shí)要注意用管理員權(quán)限打開，不然可能用OD調(diào)試的進(jìn)程在這里可能看不到。點(diǎn)擊選項(xiàng)，然后調(diào)整設(shè)置成下面這樣：

　　里面有個(gè)選項(xiàng)：從磁盤粘貼文件頭。意思是Dump下來的數(shù)據(jù)里面的PE文件頭是直接從磁盤原始文件中復(fù)制的。

　　當(dāng)我們要Dump一個(gè)進(jìn)程的內(nèi)存數(shù)據(jù)的時(shí)候，右鍵目標(biāo)進(jìn)程，然后選擇完整轉(zhuǎn)存就可以了

　　在軟件界面右鍵目標(biāo)進(jìn)程，然后點(diǎn)擊區(qū)域轉(zhuǎn)存，就出現(xiàn)了下圖：

　　這個(gè)時(shí)候我們可以打開OD，按下“Alt+M”或者點(diǎn)擊藍(lán)色小框框里面的M打開內(nèi)存映像，然后在PE文件頭那里右鍵，選擇設(shè)置訪問->所有訪問；

　　下面就試一下用LordPE進(jìn)行脫殼，用到的加殼程序是書本《加密與解密》里面的例子：RebPE。

　　首先我們用OD打開目標(biāo)程序：

　　很明顯是被加殼了。然后我們單步執(zhí)行一下之后，在ESP寄存器中的內(nèi)存地址上設(shè)置內(nèi)存訪問斷點(diǎn)，然后運(yùn)行程序，跟蹤到OEP的地方：

　　這個(gè)時(shí)候進(jìn)程在內(nèi)存中已經(jīng)脫殼完成了，現(xiàn)在我們就要用LordPE來Dump數(shù)據(jù)了。用管理員權(quán)限打開軟件，然后右鍵目標(biāo)進(jìn)程，先選擇修正鏡像大?。?/p>

　　軟件成功修正了鏡像的大小。所以說這個(gè)程序也修改了MODULEENTRY32結(jié)構(gòu)里面的值。

　　然后我們?cè)龠x擇完整轉(zhuǎn)存，保存到磁盤文件就可以了。

【特別說明】

　　1、為LordPE查看輸入表部分加上搜索功能

　　2、為LordPE查看輸入表部分加右鍵菜單(僅復(fù)制ThunkRVA/FirstThunk列).

　　3、當(dāng)點(diǎn)擊LordPE查看輸入表部分中"View always FirstThunk",保持光條在原來位置.(LordPE默認(rèn)會(huì)將光條置到0行)

　　4、修改FLC(File Location Calulator)窗口中各個(gè)文本框(VA,RVA,Offset)為只讀屬性,此時(shí)可以用鼠標(biāo)復(fù)制里面的文本.(LordPE原來是將文本框禁止變灰,此時(shí)不可復(fù)制)

　　不過上面的第二條查看輸入表部分的右鍵菜單我沒看到。難道是我的系統(tǒng)(XP_SP2)有問題?

　　其它內(nèi)容請(qǐng)看附帶在內(nèi)的readme.txt文件。LordPE的原版和增強(qiáng)版的原版我都放在英文原版文件夾中，大家可以進(jìn)行比較。