lordPE,读取windows可执行文件

翻译:KaF (zerokaf@hotmail.com) 耐屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯湍您 ? ? ? ? ? 咣圹圹圻 圮苘苒 圹圹圹圹? 圹圮苘苒? 鄄膊槽 咣膊圻 鄄膊膊膊圹 咣膊膊槽? 鄄佰 鄄槽 咣膊鞍安槽 鄄膊膊圮 鄄佰 鄄槽 鄄膊膊槽? 咣膊圹圹 鄄佰 ? ?? ? 鄄槽 鄄槽圹哌 鄄槽苘 鄄佰 圹苘苘圹 咣圹 苘 圮苒鄄槽 鄄 鄄膊槽 鄄佰 咣膊膊圻 鄄圮圹 咣膊膊槽 鄄 鄄膊槽 鄄佰 苘 鄄鞍槽 鄄膊圻 鄄鞍安 鄄槽 鄄槽哌 鄄舶佰圹圹 鄄鞍槽 鄄圻 鄄鞍安 鄄膊 苒膊圹圹 鄄膊鞍鞍? 苒膊膊圮 苒槽? 鄄膊膊? 苒圹圹? 鄄膊膊圻 圹圹圹圹圹? 圹哌哌圹 圻哌? 圹哌哌咣?圻 咣 苒圻哌咣? 哌 哌 ? ?? ? ? ?? ? ? ? [yoda] 耐屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯湍您 版本: RoyalTS 程序员: yoda 项目开始日期: 2001年3月25日 编程语言: C (16Edit.dll 用的 C++) 电子邮件: LordPE@gmx.net 站点: y0da.cjb.net 为什么需要 LordPE?? -------------------- "PEditor" 已经在某个时候停止开发了:((( 它已经不再更新了.它的编程方法 很不好. M.o.D. 和我在开始开发它时非常年轻;) 这是一个我不再为它添加代 码的原因. 既然有一些人在使用它,我试图重新做它的源代码.它的名字就是 "LordPE".我 决定用 C 来重新编它,因为大部分是狗屁的图形界面.(译注:原文如此) LordPE 现在还没停止更新... 我希望有人能喜欢它:) 特色: ----- - 任务察看器 - 完全的模块脱壳 - 部分的模块脱壳 - 进程区域脱壳 - 修改进程优先权 - 反脱壳保护功能 - 结束进程 - PE 编辑器 - 编辑基本文件头信息 - 编辑子系统标记 - 纠正校验和 - 编辑特征字符串 - 扩大文件头 - 区段表察看器 - 编辑区段头 - 编辑区段头特征 - 区段的十六进制编辑 - 增加区段头 - 删除区段头 - 保存区段头到硬盘 - 从硬盘载入区段头 - 修剪区段的头部和尾部 - 分割/合并 - 目录表察看器 - 导出表察看器 - 编辑导出表 - 编辑导出项目 - 导入表察看器 - 编辑导入表注释 - 删除导入表注释 - 删除 OriginalFirstThunk's - 添加导入表 - 编辑 thunks of ImageImportDescriptors - 资源目录察看器 - 资源脱壳 - 资源十六进制编辑 - 高级的重定位表察看器 - 版权字符串察看器 - Tls 表察看器 - 调试信息察看器 - 范围导入察看器 - FLC (VA<->RVA<->Offset - 计算器) - 十六进制编辑目标定位(原文:hex edit target location) - TDSC (时间日期标志<->时间/日期 - 转换器) -比较 PE 文件 - Break & Enter - 在 PE exe 或 dll 入口点加入断点 - PE 重建器 - 脱壳修复 - 重新排列 - 清除重定位表 - 导入表重建器 - 使 PE 文件有效 (使 PE 文件可以工作在 win2k 下) - 约束导入表 - 改变文件大小 - 脱壳服务器 (插件界面) 一般注意事项 ------------ - Break&Enter: - 在你的调试器里有时要向上卷动一下才能看到原始的数据 - 如果你想脱壳一个 dll 文件,先在它里边用汇编输入一个 "jmp eip", 然后在 LordPE 的主窗口里点击 "TrapDll.exe" 进程.在它的进程列表 里你会找到你要脱壳的目标 Dll 文件. - 任务察看器 - "纠正 ImageSize"可以去掉脱壳保护,基于尤 ANAKiN 提出的修改内部的 windows 变量的 ImageSize 的值得方法.例如这个技术用在了 PEShield - 既然用把内存中的进程作为临时文件载入 PE 编辑器的方法可以把区段 脱壳下来,所以你可以把任何你在区段察看器里看到的区段象平常一样, 保存到磁盘 - PE 编辑器 - 如果 LordPE 无法的对目标文件的写入权,那么文件将在只读模式下打开. 这种情况下 "保存" 按钮或其他的一些按钮将被禁止. - 在合并分割的区段前,你可以调整分割了的区段大小 - 为了使用 TDSC ,你必须安装了 Internet Explorer 4 或更高的版本(译: 这是什么道理???) - 用 "文件头大小" 编辑框旁边的 "+" 按钮,你可以每次为 PE 文件头增加 0x200 字节.这个很有用,例如:有时一个"加壳/压缩器"(译注: packer/ compressor)会报告区段表里或 PE 文件头没有足够的空间. LordPE.exe 命令行: /NOTRADEMARK 避免 LordPE 在 PE 文件里加入一个商标.通常执行了一下操作后会加入商标: - 完全脱壳 - 重建 - 增加导入表 - 用脱壳服务器完全脱壳 /BREAKENTER"%PATH%" 为指定的文件做 Break&Enter .主窗口不会出现. %path% - 被欺骗的 dll 或 exe 文件的路径 /PEEDIT"%path%" 直接打开 PE 编辑器.主窗口不会出现. %path% - 要编辑的 PE 文件的路径 /LDS%modifiers% 登陆脱壳服务器.主窗口不出现. %modifiers% - 可以是 "+L" / "-L" (允许/禁止 请求日志) 或 "+T" / "-T" (允许/禁止 总在最上),两个选项可以同时使用. 感谢 ---- MackT - for BETA testing + good ideas + a big bag full of bugfixes bart - for giving many nice improvement ideas Snow Panther - bug reports 欢迎你的改进、建议和捉虫。 玩的开心！ yoda 翻译:KaF (zerokaf@hotmail.com)