LordPE
简介
一款强大的可执行文件分析辅助脱壳工具,附带16进制编辑器.不包括反汇编模块.它叫LordPE而不是LoadPE.
版本系统支持情况
32位兼容64位
官网
y0da.cjb.net(已失效)
什么时候需要?
你想熟悉PE结构吗?LordPE拥有基于最小功能的PE修改方式.
你当然也可以用它查看PE的其它信息.它提供了有限的自动脱壳功能.此外它的作者y0da曾经开放过数款有趣的壳.
示例
问题:随机基址的标志在哪里?
如果你是一个不太不底层的程序员,我们就会经常听到”随机基址”一词.这项技术将映像基地址变得随机使程序难以被找出有效的攻击漏洞.
据信VS2010以上编译出的程序默认开启了这项功能.
如图:
因为从程序的OEP(入口点)开始就进入了基址重定位的区域.所以我们推断基址重定位的标记应当在PE文件头中.
为了确切得到哪个标志位决定了是否使用基址重定位.需要一个对比实验.首先需要写一个”你好师姐”或者其它任意的程序.
如图:
通过配置开启和关闭随机基址功能分别生成程序后复制出来.等待我们的分析.
如何找到两个PE文件文件头的区别?
使用我们LordPe打开其中一个文件,点击”对比”,找到另外一个文件.
如图:
红×表示不同之处.
如果你竟然看不懂这里的东东.快去学习PE头结构,以下是我当年学习PE的时候找到的比较好的资料:
拓展学习
该程序的原版非汉化版,被加了壳yoda’s Protector.这很有趣不是吗?以下是一些相关资料:
超级变态壳yoda’s Protector v1.02请高手指教!
注意
LordPE的PE编辑器模块对文件的改变是不可逆的.很多操作是实时的.别想着通过”取消”来反悔.因为根本没有”取消”按钮.汗.
版权声明:本文为博主原创文章,未经博主允许不得转载。
时间: 2024-10-10 17:12:11