軟件介紹

LordPE豪華版是一款功能非常強大的PE文件處理工具，它可以幫助用戶完成PE文件的分析、修改、脫殼等多種不同操作。而且LordPE漢化版還可以幫助用戶將PE文件里的所有內容進行重新編輯，是所有用戶們學習調試手動脫殼必備的工具！

LordPE豪華版軟件簡介

LordPE，是一款功能強大的PE文件分析、修改、脫殼軟件。LordPE是查看PE格式文件信息的首選工具，并且可以修改相關信息。LordPE的最新版本，改進了許多東東，PE 編輯器的功能更加強大，加入了各項目的16進制編輯和列表，除了修補了LDS(LordPE Dumper Server)的一些bugs，還增加了一個LDE(LordPE Dumper Engine)，支持新的插件格式，功能增加了，還加入了一些yoda自己寫的軟件，對了，還有一項新的功能，就是：全球首先支持新的 pe 文件格式---pe+，但是只是支持編輯，還不支持脫殼等別的操作。配合手動脫殼工具（Ollydbg等）、ImportREC 等，學習調試手動脫殼必備的工具！

軟件特色

1、支持完整脫殼、部分脫殼、區域脫殼

2、支持選擇脫殼引擎、優先權

3、支持修正映像大小

4、可以用PE編輯器載入臨時文件

5、可以用PE編輯器載入只讀文件

6、支持查看PE編輯器起始首部信息

7、可以顯示入口點、基址、文件大小、代碼起始

8、數據段起、塊對齊、文件塊對齊、標志

9、子系統、區段數目、文件時間、部首以及塊表大小

10、信息標志、校驗值、可選部首長度、RAV名稱和尺寸

LordPE豪華版使用方法

1、下載解壓文件，找到“LordPE.EXE”雙擊打開使用，點擊PE編輯器，可以加載EXE文件進行編輯

2、重建PE，正在重建、脫殼完成、清楚重定位區段

3、合并，打開需要分割的數據文件，支持INI文件

4、脫殼服務器，正在等待用戶的要求、可以查看記錄、清楚列表

5、設置功能，可以設置PE編輯器、拖拽文件、常規

6、點擊中間的PID、基址，可以顯示脫殼的項目

LordPE豪華版常見問題

pe文件是什么?

PE 的意思就是 Portable Executable（可移植的執行體）。它是 Win32環境自身所帶的執行體文件格式。它的一些特性繼承自 Unix的 Coff (common object file format)文件格式。"portable executable"（可移植的執行體）意味著此文件格式是跨win32平臺的 : 即使Windows運行在非Intel的CPU上，任何win32平臺的PE裝載器都能識別和使用該文件格式。當然，移植到不同的CPU上PE執行體必然得有一些改變。所有 win32執行體 (除了VxD和16位的Dll)都使用PE文件格式，包括NT的內核模式驅動程序（kernel mode drivers）。因而研究PE文件格式給了我們洞悉Windows結構的良機。

所有 PE文件(甚至32位的 DLLs) 必須以一個簡單的 DOS MZ header 開始。我們通常對此結構沒有太大興趣。有了它，一旦程序在DOS下執行，DOS就能識別出這是有效的執行體，然后運行緊隨 MZ header 之后的 DOS stub。DOS stub實際上是個有效的 EXE，在不支持 PE文件格式的操作系統中，它將簡單顯示一個錯誤提示，類似于字符串 "This program requires Windows" 或者程序員可根據自己的意圖實現完整的 DOS代碼。通常我們也不對 DOS stub 太感興趣: 因為大多數情況下它是由匯編器/編譯器自動生成。通常，它簡單調用中斷21h服務9來顯示字符串"This program cannot run in DOS mode"。

緊接著 DOS stub 的是 PE header。 PE header 是PE相關結構 IMAGE_NT_HEADERS 的簡稱，其中包含了許多PE裝載器用到的重要域。當我們更加深入研究PE文件格式后，將對這些重要域耳目能詳。執行體在支持PE文件結構的操作系統中執行時，PE裝載器將從 DOS MZ header 中找到 PE header 的起始偏移量。因而跳過了 DOS stub 直接定位到真正的文件頭 PE header。

PE文件的真正內容劃分成塊，稱之為sections（節）。每節是一塊擁有共同屬性的數據，比如代碼/數據、讀/寫等。我們可以把PE文件想象成一邏輯磁盤，PE header 是磁盤的boot扇區，而sections就是各種文件，每種文件自然就有不同屬性如只讀、系統、隱藏、文檔等等。 值得我們注意的是 ---- 節的劃分是基于各組數據的共同屬性: 而不是邏輯概念。重要的不是數據/代碼是如何使用的，如果PE文件中的數據/代碼擁有相同屬性，它們就能被歸入同一節中。不必關心節中類似于"data", "code"或其他的邏輯概念: 如果數據和代碼擁有相同屬性，它們就可以被歸入同一個節中。（譯者注：節名稱僅僅是個區別不同節的符號而已，類似"data", "code"的命名只為了便于識別，惟有節的屬性設置決定了節的特性和功能）如果某塊數據想付為只讀屬性，就可以將該塊數據放入置為只讀的節中，當PE裝載器映射節內容時，它會檢查相關節屬性并置對應內存塊為指定屬性。

如果我們將PE文件格式視為一邏輯磁盤，PE header是boot扇區而sections是各種文件，但我們仍缺乏足夠信息來定位磁盤上的不同文件，譬如，什么是PE文件格式中等價于目錄的東東？別急，那就是 PE header 接下來的數組結構 section table（節表）。 每個結構包含對應節的屬性、文件偏移量、虛擬偏移量等。如果PE文件里有5個節，那么此結構數組內就有5個成員。因此，我們便可以把節表視為邏輯磁盤中的根目錄，每個數組成員等價于根目錄中目錄項。

更新內容

這個增強版的主要更新(根據看雪兄的readme文件)：

(1) 為LordPE查看輸入表部分加上搜索功能

(2) 為LordPE查看輸入表部分加右鍵菜單(僅復制ThunkRVA/FirstThunk列).

(3) 當點擊LordPE查看輸入表部分中"View always FirstThunk",保持光條在原來位置.(LordPE默認會將光條置到0行)

(4) 修改FLC(File Location Calulator)窗口中各個文本框(VA,RVA,Offset)為只讀屬性,此時可以用鼠標復制里面的文本.(LordPE原來是將文本框禁止變灰,此時不可復制)

不過上面的第二條查看輸入表部分的右鍵菜單我沒看到。難道是我的系統(XP_SP2)有問題?

其它內容請看附帶在內的readme.txt文件。LordPE的原版和增強版的原版我都放在英文原版文件夾中，大家可以進行比較。

文件列表：

LordPE.EXE .............原版

LordPE_fix.EXE .............增強版