应用简介
PEiD是一款功能强大的查壳工具,它可以探测大多数的PE文件封包器、加密器和编译器,可以探测600多个不同签名,还可识别出exe文件是用什么语言编写的,只需要拖入即可。
【软件功能】
1、正常扫描模式:PEiD可在PE文档的入口点扫描所有记录的签名;
2、深度扫描模式:可深入扫描所有记录的签名,这种模式要比上一种的扫描范围更广、更深入;
3、核心扫描模式:PEiD可完整地扫描整个PE文档,建议将此模式作为最后的选择。
PEiD内置有差错控制的技术,所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果,最后一种有点慢,原因显而易见。
【如何使用】
1、PEiD最常用的插件就是脱壳,PEiD的插件里有个通用脱壳器,能脱大部分的壳,如果脱壳后import表损害,还可以自动调用ImportREC修复import表,点击"=>"打开插件列表
2、根据插件列表,还可以专门针对一些壳脱壳,效果比通用脱壳器会好
3、点击EP后的>可以展开Section块列表:
4、再在Section块表上右击鼠标,可以看到以下菜单选项:
5、点击搜索全0处,会把所有块中全0的区块搜出来,这样我们可以在这些代码上加自己想加的code,非常方便:
6、直接用WinHex改就行了
【命令行参数】
PEiD now fully supports commandline parameters.
peid -time// Show statistics before quitting 显示信息
peid -r// Recurse through subdirectories 扫描子目录
peid -nr// Don't scan subdirectories even if its set 不扫描子目录
peid -hard// Scan files in Hardcore Mode 采用核心扫描模式
peid -deep// Scan files in Deep Mode 采用深度扫描模式
peid -norm// Scan files in Normal Mode 采用正常扫描模式
peid <file1> <file2> <dir1> <dir2>
You can combine one or more of the parameters.
For example.
peid -hard -time -r c:\windows\system32
peid -time -deep c:\windows\system32\*.dll
【常见问题】
PEiD打不开就停止工作的解决办法
方法一、特征码定位法删除问题插件
1、我这里以win10系统下的peid0.94版本为例。运行后提示已停止,如下图所示:
2、所谓特征码定位法,类似于早期远程控制软件的免杀操作,逐个的删除插件文件,定位出有问题的插件,将有问题插件删除后保证peid的正常运行 。具体来说,首先用户可以将peid下的plugins文件夹删除,看是否能正常运行。
3、删除plugins文件夹,正常运行peid0.94,说明问题出在plugins目录。但是plugins目录是很有用的,你不可能全部将其删除,所以需要定位有问题的DLL插件。
4、具体来说将plugins目录下的插件分成5个或者10个1组,删除看能否正常运行peid。正常说明有问题的dll插件文件就在删除的5个DLL文件中,然后再1个1个的恢复到plugins文件夹,直到找到问题dll文件。
5、我这里以5个DLL插件文件为一组进行删除,删除后发现peid正常运行,说明导致错误的插件就在删除的这个5DLL文件中。
6、然后一个一个的恢复到plugins目录,看是否正常运行peid,如果出现错误就可以定位出有问题的DLL。结合上面的图,我将xinfo.dll的文件复制到plugins目录下,peid就不可以正常运行了,说明xinfo.dll这个插件有问题。
7、删除xinfo.dll后就可以正常使用peid。
方法二、使用虚拟机安装可使用系统
基本上现在老的逆向工程类的工具,都可以正常的运行于windows xp的系统,所以如果实在不能解决,则考虑在虚拟机安装windows xp系统 。
