PEiD(查壳工具)

PEiD专业的查壳软件哦！?几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。PEiD能检测大多数编译语言.、病毒和加密的壳，它主要利用查特征串搜索来完成识别工作的，各种开发语言都有固定的启动代码部分，利用这点可识别是何种语言编译的，被加壳程序处理过的程序，在壳里会留下相关加壳软件的信息，利用这点就可识别是保种壳所加密的，它提供了一个扩展接口文件userdb.txt，用启可以自定义一些特征码，这样可以识别出新的文件类型，签名的制作可以用插件AddSignature来完成！

所有插件：

本汉化版为全插件版，是目前网络中最完美的版本，插件是特别全面的，又为广大的脱壳爱好者提供了好工具啦！

advanced_scan.dllAntiSPack.dllcrc32.dllEasyScreen1.3.0.dlleCrap.dlleCrapOepVerify.dllEPScan.dllExtOverlay.dllExtractOverlay.dllFC.DLLFileInfo.dllFixCRC.DLLFNE.dllfrant.dllFSGv1.33脱壳.dllGenOEP.dllGUID.dllhh.dllHideCapt.dllHideCapt2.dllIDToText.DLLImploder.DLLImpREC.dllkanal.dllMorphine.DLLoepscan.dllohfixer_v01.dllOverlay1.0.dllOverlay1.0汉化.dllOversaver.dllPackUPX.DLLPatch_Maker_0.5.0.dllPE2HTML.dllPE2HTML.exePEExtract.DLLPEiDBundle.DLLPESniffer4PEiD.ASMPESniffer4PEiD.DLLPlgLdr.dllPluginEx.dllpluzina.dllpluzina1.dllpluzina4.dllpluziny.nfoQuickChSum.dllRebuildPE.dllRelocRebuilder.dlls.bats.txtSecFix.dllSecTool.DLLSendspy.dllStringViewer.dllunbero.dllUnCDS_SS.DLLundef.dllUnFakeNinja.DLLunfsg.dllUnitsBrowser.dllUnPPP.DLLUnRCrypt.DLLUnRPolyCrypt.DLLUnUPolyX.dllUNUPX.DLLunupx2.dllUnUPXShit.dllUPXI.dllUPXScramb.dlluupx.dllVerA.dllVerA.txtxInfo.DLLXNResourceEditor_Plugin.DLLXP.dllYPP.DLLypp.iniZDRx.dll[[-=AboutPEiD=-]]

PEiD怎么用？

PEiD最常用的插件就是脱壳，PEiD的插件里有个通用脱壳器，能脱大部分的壳，如果脱壳后import表损害，还可以自动调用ImportREC修复import表，点击"="打开插件列表，如图：

根据插件列表，还可以专门针对一些壳脱壳，效果比通用脱壳器会好

点击EP后的可以展开Section块列表:

再在Section块表上右击鼠标，可以看到以下菜单选项：

点击搜索全0处，会把所有块中全0的区块搜出来，这样我们可以在这些代码上加自己想加的code，非常方便:

直接用WinHex改就行了,

命令行参数

PEiDnowfullysupportscommandlineparameters.

peid-time//Showstatisticsbeforequitting显示信息

peid-r//Recursethroughsubdirectories扫描子目录

peid-nr//Don'tscansubdirectoriesevenifitsset不扫描子目录

peid-hard//ScanfilesinHardcoreMode?采用核心扫描模式

peid-deep//ScanfilesinDeepMode??采用深度扫描模式

peid-norm//ScanfilesinNormalMode?采用正常扫描模式

peid<file1<file2<dir1<dir2

Youcancombineoneormoreoftheparameters.

Forexample.

peid-hard-time-rc:\windows\system32

peid-time-deepc:\windows\system32\*.dll

PEID的扫描模式：

正常扫描模式：可在PE文档的入口点扫描所有记录的签名

深度扫描模式：可深度扫描所有记录的签名，这种模式要比上一种的扫描范围更广，更深入

核心扫描模式：可完整的扫描整个PE文档，但相对有点慢

版本更新说明

0.95凤凰-修正了一些崩溃的错误。

次要核心更新。

Securom检测中的崩溃修复。

0.94Flux-太多值得记住。

MFS，TaskViewer和Disassembler窗口可以最大化。

新的更小更轻的拆卸器核心CADT。

新的KANAL2.90具有更多的检测和输出功能。

添加了新签名的负载。感谢所有在线外部签名收藏。

字符串引用集成到反汇编程序中。

修复了记录和未记录的崩溃。

修正了一些常见的错误。

Tags:PEiD,加壳,脱壳.