LordPE下载|LordPE汉化豪华版 v1.4下载

LordPE是一个非常使用的脱壳工具,知识兔可以快速分析PE文件、支持用户进行修改、同时还支持脱壳功能。本次分享的是汉化豪华版,不仅界面中文化,还有这全部的功能。为LordPE查看输入板部分加上了搜索功能、右键菜单等功能。修改了FLC窗口中各个文本框(VA,RVA,Offset)为只读属性,知识兔支持用户可以用鼠标直接复制里面的文本,知识兔从而来更加便于用户进行使用。知识兔支持完全脱壳、部分脱壳、地区脱壳等三种方式,满足了大多数用户的使用需求。

LordPE图片1

软件特色

1、支持完全脱壳,知识兔支持部分脱壳和地区脱壳。

2、支持脱壳发动机和优先级的选择

3、支持校正图像尺寸

4、可以使用编辑器加载临时文件

5、可以使用编辑器加载只读文件

6、支持显示PE编辑器的开始头信息

7、可以显示入口点、源地址、文件大小和代码开始。

8、数据段开始,块对齐,文件块对齐,标记

9、子系统、节数、文件时间、部首和块表大小

10、信息标志、检查值、可选基本长度、RAV名称和大小

脱壳教程

1、在知识兔下载解压,得到lordpe吾爱破解专用版软件包;

LordPE图片2

2、知识兔双击运行”LORDPE.exe”程序,便可直接打开软件进行使用;

LordPE图片3

3、由于此次版本默认是英文语言,所以小编在下图带来了中文界面为用户做参考;

LordPE图片4

4、这个是程序的界面,知识兔打开程序时要注意用管理员权限打开,不然可能用OD调试的进程在这里可能看不到。知识兔点击选项,然后知识兔调整设置成下面这样:

LordPE图片5

5、里面有个选项:从磁盘粘贴文件头。意思是Dump下来的数据里面的PE文件头是直接从磁盘原始文件中复制的。

当我们要Dump一个进程的内存数据的时候,右键目标进程,然后知识兔选择完整转存就可以了

LordPE图片6

6、在软件界面右键目标进程,然后知识兔知识兔点击区域转存,就出现了下图:

LordPE图片7

7、这个时候我们可以打开OD,按下“Alt+M”或者知识兔点击蓝色小框框里面的M打开内存映像,然后知识兔在PE文件头那里右键,知识兔选择设置访问->所有访问;

LordPE图片8

8、下面就试一下用LordPE进行脱壳,用到的加壳程序是书本《加密与解密》里面的例子:RebPE。

首先我们用OD打开目标程序:

LordPE图片9

9、很明显是被加壳了。然后知识兔我们单步执行一下之后,在ESP寄存器中的内存地址上设置内存访问断点,然后知识兔运行程序,跟踪到OEP的地方:

LordPE图片10

10、这个时候进程在内存中已经脱壳完成了,现在我们就要用LordPE来Dump数据了。用管理员权限打开软件,然后知识兔右键目标进程,先选择修正镜像大小:

LordPE图片11

11、软件成功修正了镜像的大小。所以说这个程序也修改了MODULEENTRY32结构里面的值。

然后知识兔我们再选择完整转存,保存到磁盘文件就可以了。

使用说明

1、为LordPE查看输入表部分加上搜索功能

2、为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列).

3、当知识兔点击LordPE查看输入表部分中”View always FirstThunk”,保持光条在原来位置.(LordPE默认会将光条置到0行)

4、修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制)

不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题?

其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。

下载仅供下载体验和测试学习,不得商用和正当使用。

下载体验

请输入密码查看下载!

如何免费获取密码?

点击下载

评论