PEiD是一款强大的查壳脱壳工具,内置了超多相关的插件可供用户随意的使用,通过这款软件可以识别各种语言编译,该工具具备了界面简洁明了,毫无广告,同时在使用的时候其操作也是非常简单的,只需要将待处理的文件直接拖到软件中即可直接为你提供入口点、ep段、文件偏移、首字节、子系统、链接器版本、扩展信息等全方面的详细信息,为用户提供普通正常扫描、深度扫描、核心扫描三种模式。peid不仅可检测出几百中pe文件的加壳类型和签名,还可以检测出任意exe文件用的是VB、VC++、Delphi、Delphi等什么语言编写的。winwin7位大家分享的PEiD为绿色汉化版,喜欢的朋友不要错过了哦!
peid0.95使用教程
一、安装使用:
1、下载并进行解压即可获得peid0.95汉化版;
2、双击“PEID V0.95.EXE”即可直接运行启动,绿色版无需安装,如图:
二、peid查壳教程:
1、打开软件后我们可以单击右上角的三个点的按钮;
2、此时会跳出一个窗口,单击我们需要查壳的文件,再点击右下角的 打开 按钮
3、我们也可以直接把需要查壳的软件拖到PEiD的界面里,同样能载入到PEiD里
4、此时可以看到十分详细的信息,比如壳的信息,入口点的位置,区段……这里我们查壳出来显示是UPX的壳;
三、peid0.95脱壳方法
直接把exe文件拖到里面即可,如图:
最常用到的功能有
点击“=>”打开插件列表。如图:
效果要比通用脱壳器好。
此例子中,我们使用unpacker for upx插件进行脱壳。默认的脱壳后的文件放置位置在peid的根目录下。文件名为原文件名前加un字样。
脱壳后我们再查看壳:
发现壳已经脱掉,程序为VB编写。如果程序可以运行,则说明脱壳成功。如果不能运行,可以修改import table等方式解决。
PEiD特色
一、PEID查壳工具的扫描模式
1、普通扫描模式:可在PE文档的入口点扫描所有记录的签名
2、深度扫描模式:可深度扫描所有记录的签名,这种模式要比上一种的扫描范围更广,更深入
3、核心扫描模式:PEiD可完整地扫描整个PE文档,建议将此模式作为最后的选择。
二、主要模块
1、任务查看模块:可以扫描并查看当前正在运行的所有任务和模块,并可终止其运2、多文件扫描模块:可同时扫描多个文档。选择"只显示PE文件"可以过滤非PE文档;选择"递归扫描"可扫描所有文档,包括子目录。
3、Hex十六进制查看模块:可以以十六进制快速查看文档。
PEiD命令选项
1、PEiD -time〓 显示信息
2、PEiD -r〓 扫描子目录
3、PEiD -nr〓 不扫描子目录
4、PEiD -hard〓 采用核心扫描模式
5、PEiD -deep〓 采用深度扫描模式
6、PEiD -norm〓 采用正常扫描模式
PEiD常见问题
1、软件加载特征
特征库安装完成之后,直接放到软件的安装目录即可
2、软件出现已停止工作,怎么处理?
软件的所有插件都是放在根目录下的plugins文件夹下面的,我们只需要把plugins目录给改个名,然后就可以正常运行了
命令行参数www.winwin7.com
now fully supports commandline parameters
time// Show statistics before quitting 显示信息
r// Recurse through subdirectories 扫描子目录
nr// Don"t scan subdirectories even if its set 不扫描子目录
hard// Scan files in Hardcore Mode 采用核心扫描模式
deep// Scan files in Deep Mode 采用深度扫描模式
norm// Scan files in Normal Mode 采用正常扫描模式
peid
You can combine one or more of the parameters.
For example.
peid -hard -time -r c:\windows\system32
peid -time -deep c:\windows\system32\*.dll
PEiD说明
1、以官方0.95版本为蓝本进行汉化调整,前期抢鲜版出现不少BUG,现在修正啦
2、绝对无捆绑任何病毒、木马、后门等程序。卡巴报病毒,是误报在加壳上,本身并无毒
3、MSVCR70.DLL、rtl70.bpl、vcl70.bpl、mfc70.dll是某些插件的必须的运行库,你可以拷贝到系统目录里
4、收集了最新几乎所有的插件
5、界面进行了调整美化,让我们日常查壳眼前明亮一些
6、签名库收集于网络[1.2M大小],并不是本人原创
7、接近百分之60插件属于汉化插件!
更新日志
1、修复Bug
2、对部分功能进行全面优化