編輯“LordPE”

'''LordPE'''，是一款PE文件分析、修改、脫殼軟件。LordPE是查看PE格式文件信息的首選工具，并且可以修改相關(guān)信息。
==LordPE介紹==
LordPE的最新版本，改進(jìn)了許多東東，PE [[編輯器]]的功能更加強(qiáng)大，加入了各項(xiàng)目的16進(jìn)制編輯和列表，除了修補(bǔ)了LDS(LordPE Dumper Server)的一些bugs，還增加了一個(gè)LDE(LordPE Dumper Engine)，支持新的插件格式，功能增加了，還加入了一些yoda自己寫的軟件，對(duì)了，還有一項(xiàng)新的功能，就是：全球首先支持新的 pe 文件格式---pe+，但是只是支持編輯，還不支持脫殼等別的操作。配合手動(dòng)脫殼工具（Ollydbg等）、ImportREC 等，學(xué)習(xí)調(diào)試手動(dòng)脫殼必備的工具！

==PE文件==
'''PE''' 的意思就是 Portable Executable（可移植的執(zhí)行體）。它是 Win32環(huán)境自身所帶的執(zhí)行體文件格式。它的一些特性繼承自 [[Unix]]的 Coff (common object file format)文件格式。"portable executable"（可移植的執(zhí)行體）意味著此文件格式是跨win32平臺(tái)的 : 即使Windows運(yùn)行在非Intel的CPU上，任何win32平臺(tái)的PE裝載器都能識(shí)別和使用該文件格式。當(dāng)然，移植到不同的CPU上PE執(zhí)行體必然得有一些改變。所有 win32執(zhí)行體 (除了VxD和16位的Dll)都使用PE文件格式，包括NT的內(nèi)核模式驅(qū)動(dòng)程序（kernel mode drivers）。因而研究PE文件格式給了我們洞悉Windows結(jié)構(gòu)的良機(jī)。

所有 PE文件(甚至32位的 DLLs) 必須以一個(gè)簡(jiǎn)單的 DOS MZ header 開始。我們通常對(duì)此結(jié)構(gòu)沒(méi)有太大興趣。有了它，一旦程序在[[DOS]]下執(zhí)行，DOS就能識(shí)別出這是有效的執(zhí)行體，然后運(yùn)行緊隨 MZ header 之后的 DOS stub。DOS stub實(shí)際上是個(gè)有效的 EXE，在不支持 PE文件格式的[[操作系統(tǒng)]]中，它將簡(jiǎn)單顯示一個(gè)錯(cuò)誤提示，類似于字符串 "This program requires Windows" 或者程序員可根據(jù)自己的意圖實(shí)現(xiàn)完整的 DOS代碼。通常我們也不對(duì) DOS stub 太感興趣: 因?yàn)榇蠖鄶?shù)情況下它是由匯編器/編譯器自動(dòng)生成。通常，它簡(jiǎn)單調(diào)用中斷21h服務(wù)9來(lái)顯示字符串"This program cannot run in DOS mode"。

緊接著 DOS stub 的是 PE header。 PE header 是PE相關(guān)結(jié)構(gòu) IMAGE_NT_HEADERS 的簡(jiǎn)稱，其中包含了許多PE裝載器用到的重要域。當(dāng)我們更加深入研究PE文件格式后，將對(duì)這些重要域耳目能詳。執(zhí)行體在支持PE文件結(jié)構(gòu)的操作系統(tǒng)中執(zhí)行時(shí)，PE裝載器將從 DOS MZ header 中找到 PE header 的起始偏移量。因而跳過(guò)了 DOS stub 直接定位到真正的文件頭 PE header。

PE文件的真正內(nèi)容劃分成塊，稱之為sections（節(jié)）。每節(jié)是一塊擁有共同屬性的數(shù)據(jù)，比如代碼/數(shù)據(jù)、讀/寫等。我們可以把PE文件想象成一邏輯磁盤，PE header 是磁盤的boot扇區(qū)，而sections就是各種文件，每種文件自然就有不同屬性如只讀、系統(tǒng)、隱藏、文檔等等。 值得我們注意的是 ---- 節(jié)的劃分是基于各組數(shù)據(jù)的共同屬性: 而不是邏輯概念。重要的不是數(shù)據(jù)/代碼是如何使用的，如果PE文件中的數(shù)據(jù)/代碼擁有相同屬性，它們就能被歸入同一節(jié)中。不必關(guān)心節(jié)中類似于"data", "code"或其他的邏輯概念: 如果數(shù)據(jù)和代碼擁有相同屬性，它們就可以被歸入同一個(gè)節(jié)中。（譯者注：節(jié)名稱僅僅是個(gè)區(qū)別不同節(jié)的符號(hào)而已，類似"data", "code"的命名只為了便于識(shí)別，惟有節(jié)的屬性設(shè)置決定了節(jié)的特性和功能）如果某塊數(shù)據(jù)想付為只讀屬性，就可以將該塊數(shù)據(jù)放入置為只讀的節(jié)中，當(dāng)PE裝載器映射節(jié)內(nèi)容時(shí)，它會(huì)檢查相關(guān)節(jié)屬性并置對(duì)應(yīng)內(nèi)存塊為指定屬性。

如果我們將PE文件格式視為一邏輯磁盤，PE header是boot扇區(qū)而sections是各種文件，但我們?nèi)匀狈ψ銐蛐畔?lái)定位磁盤上的不同文件，譬如，什么是PE文件格式中等價(jià)于目錄的東東？別急，那就是 PE header 接下來(lái)的數(shù)組結(jié)構(gòu) section table（節(jié)表）。 每個(gè)結(jié)構(gòu)包含對(duì)應(yīng)節(jié)的屬性、文件偏移量、虛擬偏移量等。如果PE文件里有5個(gè)節(jié)，那么此結(jié)構(gòu)數(shù)組內(nèi)就有5個(gè)成員。因此，我們便可以把節(jié)表視為邏輯磁盤中的根目錄，每個(gè)數(shù)組成員等價(jià)于根目錄中目錄項(xiàng)。

==相關(guān)條目==
*[[WordPress]]
*[[磁盤]]

==參考來(lái)源==
*http://baike.baidu.com/view/3774911.htm

[[category:系統(tǒng)工具|L]]