3.37 MB
2.70 GB
976.00 KB
2.11 MB
DPE豪华版是处理PE文件的强大工具,可以帮助用户完成对PE文件的分析、修改、脱壳等各种操作。而且LordPE中文版还可以帮助用户重新编辑PE文件中的所有内容,是所有用户学习调试手动脱壳的必备工具!
DPE豪华软件简介
DPE是一个强大的软件,用于分析,修改和炮轰PE文件。LordPE是查看PE文件信息的首选工具,可以修改相关信息。最新版本的Lore改进了很多东西,PE编辑器更强大,增加了十六进制编辑和各种物品列表。除了修补LDS (LordPE Dumper Server)的一些bug,还增加了一个LDE(LordPE Dumper Engine),支持新的插件格式,增加了功能。还加入了一些yoda写的软件。对了,还有一个新功能,就是全球首次支持新的pe文件格式——PE+,但只支持编辑,不支持解包等其他操作。配合手动脱壳工具(Ollydbg等)。),ImportREC等。,并学会调试手动脱壳的必备工具!软件功能
1.支持完全炮击、部分炮击和区域炮击。2.支持选择脱壳引擎和优先级。
3.支持校正图像大小。
4.您可以使用PE编辑器加载临时文件。
5.您可以使用PE编辑器加载只读文件。
6.支持查看PE编辑器的起始头信息。
7.您可以显示入口点、基址、文件大小和代码开始。
8、数据段、块对齐、文件块对齐、标记
9.子系统、段数、文件时间、字根和块表大小。
10.信息标志、检查值、可选字根长度、RAV名称和尺寸
DPE豪华版的使用
1.下载解压后的文件,找到" LordPE。EXE”并双击打开它。单击PE编辑器加载EXE文件进行编辑。2.重建PE,正在重建,炮轰,明确搬迁。
3.合并,打开要分割的数据文件,支持INI文件。
4.脱壳服务器正在等待用户的请求,可以查看记录和清除列表。
5.设置功能,可以设置PE编辑器,拖放文件,和通用
6.点击中间的PID和基址,显示脱壳物品。
DPE豪华版常见问题
pe文件是什么?PE的意思是可移植可执行文件(Portable Executable)。它是Win32环境本身带来的实例文件格式。它的一些功能继承了Unix的Coff(通用对象文件格式)文件格式。“可移植可执行文件”意味着这种文件格式是跨win32平台的:即使Windows运行在非Intel CPU上,任何win32平台的PE加载程序都可以识别和使用这种文件格式。当然,移植到不同CPU的PE执行器肯定会有一些变化。所有win32执行器(VxD和16位Dll除外)都使用PE文件格式,包括NT的内核模式驱动。所以学习PE文件格式给了我们一个很好的机会去了解Windows的结构。
所有的PE文件(甚至32位dll)都必须以一个简单的DOS MZ头文件开始。我们通常对这种结构没有太大兴趣。有了它,一旦程序在DOS下执行,DOS就能识别出它是有效的执行程序,然后在MZ头文件后立即运行DOS存根。DOS stub其实是一个有效的EXE。在不支持PE文件格式的操作系统中,它会简单的显示一个错误提示,类似于字符串“此程序需要Windows”或者程序员可以根据自己的意图实现完整的DOS代码。通常,我们对DOS stub不太感兴趣:因为大多数情况下它是由汇编器/编译器自动生成的。一般只是调用中断21h服务9显示字符串“此程序无法在DOS模式下运行”。
下面的DOS存根是PE头。Header是PE相关结构IMAGE_NT_HEADERS的缩写,包含了PE头使用的很多重要字段。当我们更深入地研究PE文件格式时,我们会对这些重要的字段有更好的理解。当执行器在支持PE文件结构的操作系统中执行时,PE loader会从DOS MZ头中找到PE头的起始偏移量。所以跳过DOS stub,直接定位真正的文件头PE头。
PE文件的真实内容被分成块,这些块被称为节。每一段都是一段具有共同属性的数据,比如代码/数据、读/写等。我们可以把PE文件想象成一个逻辑磁盘。PE头是磁盘的引导扇区,而sections是各种文件。当然,每个文件都有不同的属性,比如只读、系统、隐藏、文档等等。值得注意的是,节的划分是基于每组数据的共同属性:而不是逻辑概念。重要的不是如何使用数据/代码。如果PE文件中的数据/代码具有相同的属性,它们可以被分组到相同的部分中。不要担心节中的逻辑概念,如“数据”、“代码”或其他:如果数据和代码具有相同的属性,它们可以被分组到同一个节中。(译者注:节的名称只是区分不同节的符号,类似于“数据”,“代码”的名称只是为了便于识别。只有节的属性设置决定了节的特性和功能。)如果一段数据希望是只读的,可以将它放在只读的节中。PE loader在映射节内容时,会检查相关的节属性,并将对应的内存块设置为指定的属性。
如果我们把PE文件格式看作一个逻辑磁盘,PE头是引导扇区,段是各种文件,但是我们仍然缺乏足够的信息来定位磁盘上的不同文件。比如PE文件格式的目录相当于什么?不用担心,那是PE header的下一个数组结构,section table。每个结构包含属性、文件偏移量、虚拟偏移量等。相应部分的。如果PE文件中有5个部分,则该结构数组中有5个成员。因此,我们可以把段表看作逻辑磁盘中的根目录,每个数组成员相当于根目录中的目录项。
更新内容
本次加强版主要更新(根据学弟自述文件):(1)在LordPE的输入表部分增加搜索功能。
(2)Lord PE的右键菜单查看输入表(只复制ThunkRVA/FirstThunk列)。
(3)在LordPE的输入表部分点击“View always FirstThunk”时,灯条保持在原来的位置。(默认情况下,LordPE会将灯条设置为0线)
(4)将FLC(文件位置计算器)窗口中的每个文本框(VA、RVA、偏移)修改为只读。这时,你可以用鼠标复制里面的文字。(LordPE本来是禁止文本框灰化的,所以此时不能复制。)
但是,我在上面的输入表部分没有看到第二个右键菜单。我的系统(XP_SP2)有问题吗?
其他内容请参考附件readme.txt文件。我把DPE的原版和增强版的原版放在英文原版文件夹里,你可以对比一下。
文件列表:
LordPE.EXE原版
LordPE_fix。可执行程序的扩展名.............增强版