LordPE for Win10是一款非常专业的pe文件修改工具，该工具功能强大，支持PE文件分析、修改和脱壳三大功能，通过它，我们就能够对文件进行系统层面的修改，不仅能够实现PE文件的分析、修改、脱壳功等操作，还能够把一个进程的内存数据给Dump下来，然后保存为文件。

【软件特色】

　　1、支持完全脱壳，支持部分脱壳和地区脱壳。

　　2、支持脱壳发动机和优先级的选择

　　3、支持校正图像尺寸

　　4、可以使用编辑器加载临时文件

　　5、可以使用编辑器加载只读文件

　　6、支持显示PE编辑器的开始头信息

　　7、可以显示入口点、源地址、文件大小和代码开始。

　　8、数据段开始，块对齐，文件块对齐，标记

　　9、子系统、节数、文件时间、部首和块表大小

　　10、信息标志、检查值、可选基本长度、RAV名称和大小

【脱壳教程】

　　在本站下载解压，得到lordpe吾爱破解专用版软件包；

　　双击运行"LORDPE.exe"程序，便可直接打开软件进行使用；

　　由于此次版本默认是英文语言，所以小编在下图带来了中文界面为用户做参考；

　　这个是程序的界面，打开程序时要注意用管理员权限打开，不然可能用OD调试的进程在这里可能看不到。点击选项，然后调整设置成下面这样：

　　里面有个选项：从磁盘粘贴文件头。意思是Dump下来的数据里面的PE文件头是直接从磁盘原始文件中复制的。

　　当我们要Dump一个进程的内存数据的时候，右键目标进程，然后选择完整转存就可以了

　　在软件界面右键目标进程，然后点击区域转存，就出现了下图：

　　这个时候我们可以打开OD，按下“Alt+M”或者点击蓝色小框框里面的M打开内存映像，然后在PE文件头那里右键，选择设置访问->所有访问；

　　下面就试一下用LordPE进行脱壳，用到的加壳程序是书本《加密与解密》里面的例子：RebPE。

　　首先我们用OD打开目标程序：

　　很明显是被加壳了。然后我们单步执行一下之后，在ESP寄存器中的内存地址上设置内存访问断点，然后运行程序，跟踪到OEP的地方：

　　这个时候进程在内存中已经脱壳完成了，现在我们就要用LordPE来Dump数据了。用管理员权限打开软件，然后右键目标进程，先选择修正镜像大小：

　　软件成功修正了镜像的大小。所以说这个程序也修改了MODULEENTRY32结构里面的值。

　　然后我们再选择完整转存，保存到磁盘文件就可以了。

【特别说明】

　　1、为LordPE查看输入表部分加上搜索功能

　　2、为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列).

　　3、当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行)

　　4、修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制)

　　不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题?

　　其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中，大家可以进行比较。