PEiD 0.95(查殼脫殼工具)

peid是一款強(qiáng)大的查殼脫殼工具，不要看其軟件體積小巧，不到5MB，但是完美的詮釋了麻雀雖小，五臟俱全，其中可是內(nèi)置了超多相關(guān)的插件可供用戶隨意的使用，界面簡(jiǎn)潔明了，毫無(wú)廣告，讓人眼前一亮。同時(shí)在使用的時(shí)候其操作也是非常簡(jiǎn)單的，只需要將待處理的文件直接拖到軟件中即可直接為你提供入口點(diǎn)、ep段、文件偏移、首字節(jié)、子系統(tǒng)、鏈接器版本、擴(kuò)展信息等全方面的詳細(xì)信息。畢竟像現(xiàn)在有很多軟件都是加了殼的，如果你需要對(duì)其進(jìn)行破解或是漢化處理那么就是否不便，都是利用該軟件即可輕輕松松的偵測(cè)出所有的殼。peid不僅可檢測(cè)出幾百中pe文件的加殼類型和簽名，還可以檢測(cè)出任意exe文件用的是VB、VC++、Delphi、Delphi等什么語(yǔ)言編寫的，可謂功能非常的全面強(qiáng)大。

ps：本次小編帶來(lái)的是peid0.95漢化版，這是由吾愛(ài)用戶進(jìn)行漢化處理制作的一個(gè)優(yōu)化完整版本，有需要的用戶們可免費(fèi)下載體驗(yàn)。

版本說(shuō)明

1、以官方0.95版本為藍(lán)本進(jìn)行漢化調(diào)整，前期搶鮮版出現(xiàn)不少BUG，現(xiàn)在修正啦

2、絕對(duì)無(wú)捆綁任何病毒、木馬、后門等程序?？ò蛨?bào)病毒，是誤報(bào)在加殼上，本身并無(wú)毒

3、MSVCR70.DLL、rtl70.bpl、vcl70.bpl、mfc70.dll是某些插件的必須的運(yùn)行庫(kù)，你可以拷貝到系統(tǒng)目錄里

4、收集了最新幾乎所有的插件

5、界面進(jìn)行了調(diào)整美化，讓我們?nèi)粘２闅ぱ矍懊髁烈恍?

6、簽名庫(kù)收集于網(wǎng)絡(luò)[1.2M大小]，并不是本人原創(chuàng)

7、接近百分之60插件屬于漢化插件！

相關(guān)插件

peid 0.95漢化版為全插件版，小編只列舉部分插件，更多插件用戶可進(jìn)入plugins文件夾查看

1、advanced_scan.dll AntiSPack.dll

2、crc32.dll Easy Screen 1.3.0.dll

3、eCrap.dll eCrapOepVerify.dll

4、EPScan.dll ExtOverlay.dll

5、ExtractOverlay.dll FC.DLL

6、FileInfo.dll FixCRC.DLL

7、FNE.dll frant.dll

8、FSG v1.33脫殼.dll GenOEP.dll

9、GUID.dll hh.dll

10、HideCapt.dll HideCapt2.dll

peid0.95使用教程：

一、安裝使用：

1、下載并進(jìn)行解壓即可獲得peid0.95漢化版；

2、雙擊“PEID V0.95.EXE”即可直接運(yùn)行啟動(dòng)，無(wú)需安裝，接著即可根據(jù)自己的需求來(lái)進(jìn)行使用。

二、peid怎么查殼？詳細(xì)的查殼教程：

1、打開(kāi)軟件后我們可以單擊右上角的三個(gè)點(diǎn)的按鈕；

2、會(huì)彈出一個(gè)選擇文件的窗口，我們單擊我們需要查殼的文件，再點(diǎn)擊右下角的 打開(kāi) 按鈕

3、我們也可以直接把需要查殼的軟件拖到PEiD的界面里，同樣能載入到PEiD里

（在需要查殼的軟件上面按住鼠標(biāo)左鍵，再拖動(dòng)你的鼠標(biāo)的PEiD的窗口里，最后松開(kāi)你的鼠標(biāo)左鍵）

4、然后我們就可以看到十分詳細(xì)的信息，比如殼的信息，入口點(diǎn)的位置，區(qū)段……這里我們查殼出來(lái)顯示是UPX的殼，也是十分準(zhǔn)確的

三、peid0.95如何脫殼？

直接把exe文件拖到里面即可。例如：

這個(gè)是暗組2008 vstart軟件的信息。從上面我們可以看到軟件加的UPX的殼，版本是0.89.6。

我們最常用到的功能有：

1、 查看入口點(diǎn)。即程序的入口地址。查入口點(diǎn)的軟件有很多，幾乎所有的PE編輯軟件都可以查看入口點(diǎn)。

2、 查看軟件加的什么殼。這個(gè)軟件加的是UPX 0.89.6

插件應(yīng)用。最常用的插件就是脫殼。Peid的插件里面有個(gè)通用脫殼器，能脫大部分的殼，如果脫殼后import表?yè)p害，還可以自動(dòng)調(diào)用ImportREC修復(fù)improt表。

點(diǎn)擊“=>”打開(kāi)插件列表。如圖：

還可以專門針對(duì)一些殼進(jìn)行脫殼，效果要比通用脫殼器好。

此例子中，我們使用unpacker for upx插件進(jìn)行脫殼。默認(rèn)的脫殼后的文件放置位置在peid的根目錄下。文件名為原文件名前加un字樣。

脫殼后我們?cè)俨榭礆ぃ?

發(fā)現(xiàn)殼已經(jīng)脫掉，程序?yàn)閂B編寫。如果程序可以運(yùn)行，則說(shuō)明脫殼成功。如果不能運(yùn)行，可以修改import table等方式解決。

軟件特色

一、PEID查殼工具的掃描模式

1、普通掃描模式：可在PE文檔的入口點(diǎn)掃描所有記錄的簽名

2、深度掃描模式：可深度掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣，更深入

3、核心掃描模式：PEiD可完整地掃描整個(gè)PE文檔，建議將此模式作為最后的選擇。

二、主要模塊

1、任務(wù)查看模塊:可以掃描并查看當(dāng)前正在運(yùn)行的所有任務(wù)和模塊，并可終止其運(yùn)2、多文件掃描模塊:可同時(shí)掃描多個(gè)文檔。選擇"只顯示PE文件"可以過(guò)濾非PE文檔;選擇"遞歸掃描"可掃描所有文檔，包括子目錄。

3、Hex十六進(jìn)制查看模塊:可以以十六進(jìn)制快速查看文檔。

PEiD命令選項(xiàng)

1、PEiD -time〓 顯示信息

2、PEiD -r〓 掃描子目錄

3、PEiD -nr〓 不掃描子目錄

4、PEiD -hard〓 采用核心掃描模式

5、PEiD -deep〓 采用深度掃描模式

6、PEiD -norm〓 采用正常掃描模式

常見(jiàn)問(wèn)題

1、軟件怎么加載特征？

特征庫(kù)安裝完成之后，直接放到軟件的安裝目錄即可

2、軟件出現(xiàn)已停止工作，怎么處理？

軟件的所有插件都是放在根目錄下的plugins文件夾下面的，我們只需要把plugins目錄給改個(gè)名，然后就可以正常運(yùn)行了

命令行參數(shù)

now fully supports commandline parameters

time// Show statistics before quitting 顯示信息

r// Recurse through subdirectories 掃描子目錄

nr// Don't scan subdirectories even if its set 不掃描子目錄

hard// Scan files in Hardcore Mode 采用核心掃描模式

deep// Scan files in Deep Mode 采用深度掃描模式

norm// Scan files in Normal Mode 采用正常掃描模式

peid

You can combine one or more of the parameters.

For example.

peid -hard -time -r c:\windows\system32

peid -time -deep c:\windows\system32\*.dll