PEiD(查殼工具)

PEiD專業(yè)的查殼軟件哦！ 幾乎可以偵測(cè)出所有的殼，其數(shù)量已超過(guò)470 種PE 文檔 的加殼類型和簽名。PEiD能檢測(cè)大多數(shù)編譯語(yǔ)言.、病毒和加密的殼，它主要利用查特征串搜索來(lái)完成識(shí)別工作的，各種開(kāi)發(fā)語(yǔ)言都有固定的啟動(dòng)代碼部分，利用這點(diǎn)可識(shí)別是何種語(yǔ)言編譯的，被加殼程序處理過(guò)的程序，在殼里會(huì)留下相關(guān)加殼軟件的信息，利用這點(diǎn)就可識(shí)別是保種殼所加密的，它提供了一個(gè)擴(kuò)展接口文件userdb.txt ，用啟可以自定義一些特征碼，這樣可以識(shí)別出新的文件類型，簽名的制作可以用插件Add Signature來(lái)完成！

所有插件：

本漢化版為全插件版，是目前網(wǎng)絡(luò)中最完美的版本，插件是特別全面的，又為廣大的脫殼愛(ài)好者提供了好工具啦！

advanced_scan.dll AntiSPack.dll
crc32.dll Easy Screen 1.3.0.dll
eCrap.dll eCrapOepVerify.dll
EPScan.dll ExtOverlay.dll
ExtractOverlay.dll FC.DLL
FileInfo.dll FixCRC.DLL
FNE.dll frant.dll
FSG v1.33脫殼.dll GenOEP.dll
GUID.dll hh.dll
HideCapt.dll HideCapt2.dll
IDToText.DLL Imploder.DLL
ImpREC.dll kanal.dll
Morphine.DLL oepscan.dll
ohfixer_v01.dll Overlay1.0.dll
Overlay1.0漢化.dll Oversaver.dll
PackUPX.DLL Patch_Maker_0.5.0.dll
PE2HTML.dll PE2HTML.exe
PEExtract.DLL PEiDBundle.DLL
PESniffer4PEiD.ASM PESniffer4PEiD.DLL
PlgLdr.dll PluginEx.dll
pluzina.dll pluzina1.dll
pluzina4.dll pluziny.nfo
QuickChSum.dll RebuildPE.dll
RelocRebuilder.dll s.bat
s.txt SecFix.dll
SecTool.DLL Sendspy.dll
StringViewer.dll unbero.dll
UnCDS_SS.DLL undef.dll
UnFakeNinja.DLL unfsg.dll
UnitsBrowser.dll UnPPP.DLL
UnRCrypt.DLL UnRPolyCrypt.DLL
UnUPolyX.dll UNUPX.DLL
unupx2.dll UnUPXShit.dll
UPXI.dll UPXScramb.dll
uupx.dll VerA.dll
VerA.txt xInfo.DLL
XNResourceEditor_Plugin.DLL XP.dll
YPP.DLL ypp.ini
ZDRx.dll [[-=About PEiD =-]]

PEiD怎么用？

PEiD最常用的插件就是脫殼，PEiD的插件里有個(gè)通用脫殼器，能脫大部分的殼，如果脫殼后import表?yè)p害，還可以自動(dòng)調(diào)用ImportREC修復(fù)import表，點(diǎn)擊"=>"打開(kāi)插件列表，如圖：

根據(jù)插件列表，還可以專門(mén)針對(duì)一些殼脫殼，效果比通用脫殼器會(huì)好

點(diǎn)擊EP后的>可以展開(kāi)Section塊列表:

再在Section塊表上右擊鼠標(biāo)，可以看到以下菜單選項(xiàng)：

點(diǎn)擊搜索全0處，會(huì)把所有塊中全0的區(qū)塊搜出來(lái)，這樣我們可以在這些代碼上加自己想加的code，非常方便:

直接用WinHex改就行了,

命令行參數(shù)

PEiD now fully supports commandline parameters.

peid -time// Show statistics before quitting 顯示信息

peid -r// Recurse through subdirectories  掃描子目錄

peid -nr// Don't scan subdirectories even if its set 不掃描子目錄

peid -hard// Scan files in Hardcore Mode 采用核心掃描模式

peid -deep// Scan files in Deep Mode  采用深度掃描模式

peid -norm// Scan files in Normal Mode 采用正常掃描模式

peid <file1> <file2> <dir1> <dir2>

You can combine one or more of the parameters.

For example.

peid -hard -time -r c:\windows\system32

peid -time -deep c:\windows\system32\*.dll

PEID的掃描模式：

正常掃描模式：可在PE文檔的入口點(diǎn)掃描所有記錄的簽名

深度掃描模式：可深度掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣，更深入

核心掃描模式：可完整的掃描整個(gè)PE文檔，但相對(duì)有點(diǎn)慢

版本更新說(shuō)明

0.95鳳凰 - >修正了一些崩潰的錯(cuò)誤。

次要核心更新。

Securom檢測(cè)中的崩潰修復(fù)。

0.94 Flux->太多值得記住。

MFS，Task Viewer和Disassembler窗口可以最大化。

新的更小更輕的拆卸器核心CADT。

新的KANAL 2.90具有更多的檢測(cè)和輸出功能。

添加了新簽名的負(fù)載。 感謝所有在線外部簽名收藏。

字符串引用集成到反匯編程序中。

修復(fù)了記錄和未記錄的崩潰。

修正了一些常見(jiàn)的錯(cuò)誤。