LordPE是一个非常应用的脱壳工具,能够快速剖析PE文件、反对于用户停止修改、同时还反对于脱壳性能。本次带来的是汉化豪华版,不仅界面中野蛮,另有这全部的性能。为LordPE检察输入板整体加之了搜寻性能、右键菜单等性能。修改了FLC窗口中各个文本框(VA,RVA,Offset)为只读属性,反对于用户能够用鼠标间接复制外面的文本,从而来更加便于用户停止应用。反对于齐全脱壳、整体脱壳、地区脱壳等三种形式,满足了年夜少数用户的应用需要。
软件特色
一、反对于齐全脱壳,反对于整体脱壳以及地区脱壳。
二、反对于脱壳发起机以及优先级的抉择
三、反对于校对于图像尺寸
四、能够应用编纂器加载临时文件
五、能够应用编纂器加载只读文件
六、反对于显示PE编纂器的最先头信息
七、能够显示进口点、源所在、文件巨细以及代码最先。
八、数据段最先,块对于齐,文件块对于齐,标记
九、子系统、节数、文件时日、部首以及块表巨细
十、信息标记、检察值、可选基础长度、RAV名称以及巨细
脱壳教程
一、在本站下载解压,失去lordpe吾爱破解专用版软件包;
二、双击运行"LORDPE.exe"程序,就可间接关上软件停止应用;
三、因为这次版本默认是英文语言,以是小编在下图带来了中文界面为用户做参考;
四、这个是程序的界面,关上程序时要细致用治理员权限关上,否则能够用OD调试的进程在这里能够看不到。点击选项,而后调解配置成下面如许:
五、外面有个选项:从磁盘粘贴文件头。意思是Dump下来的数据外面的PE文件头是间接从磁盘原始文件中复制的。
当咱们要Dump一个进程的内存数据的时刻,右键宗旨进程,而后抉择完好转存就能够了
六、在软件界面右键宗旨进程,而后点击地区转存,就浮现了下图:
七、这个时刻咱们能够关上OD,按下“Alt+M”或者点击蓝色小框框外面的M关上内存映像,而后在PE文件头那边右键,抉择配置访问->所有访问;
八、下面就试一下用LordPE停止脱壳,用到的加壳程序是书籍《加密与解密》外面的例子:RebPE。
首先咱们用OD关上宗旨程序:
九、很明显是被加壳了。而后咱们单步实行一下以后,在ESP寄存器中的内存所在上配置内存访问断点,而后运行程序,跟踪到OEP的中央:
十、这个时刻进程在内存中已经脱壳实现为了,现在咱们就要用LordPE来Dump数据了。用治理员权限关上软件,而后右键宗旨进程,先抉择修改镜像巨细:
十一、软件胜利修改了镜像的巨细。以是说这个程序也修改了MODULEENTRY32构造外面的值。
而后咱们再抉择完好转存,生存到磁盘文件就能够了。
应用说明
一、为LordPE检察输入表整体加之搜寻性能
二、为LordPE检察输入表整体加右键菜单(仅复制ThunkRVA/FirstThunk列).
三、当点击LordPE检察输入表整体中"View always FirstThunk",保持光条在本来地位.(LordPE默认会将光条置到0行)
四、修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时能够用鼠标复制外面的文本.(LordPE本来是将文本框阻挠变灰,此时不可复制)
无非下面的第二条检察输入表整体的右键菜单我没看到。难道是我的系统(XP_SP2)有问题?
其余内容请看附带在内的readme.txt文件。LordPE的原版以及增强版的原版我都放在英文原版文件夹中,人人能够停止对于比。
作者:Admin本文地址:https://360admin.cn/lordpe-han-hua-hao-hua-ban-v14.html发布于 2021-07-25
文章转载或复制请以超链接形式并注明出处磁力引擎导航网
发表评论