PEiD(侦壳工具)

PEiD是一款强大的查壳脱壳工具，内置了超多相关的插件可供用户随意的使用，通过这款软件可以识别各种语言编译，该工具具备了界面简洁明了，毫无广告，同时在使用的时候其操作也是非常简单的，只需要将待处理的文件直接拖到软件中即可直接为你提供入口点、ep段、文件偏移、首字节、子系统、链接器版本、扩展信息等全方面的详细信息，为用户提供普通正常扫描、深度扫描、核心扫描三种模式。peid不仅可检测出几百中pe文件的加壳类型和签名，还可以检测出任意exe文件用的是VB、VC++、Delphi、Delphi等什么语言编写的。winwin7位大家分享的PEiD为绿色汉化版，喜欢的朋友不要错过了哦！

peid0.95使用教程

一、安装使用：

1、下载并进行解压即可获得peid0.95汉化版；

2、双击“PEID V0.95.EXE”即可直接运行启动，绿色版无需安装，如图：

二、peid查壳教程：

1、打开软件后我们可以单击右上角的三个点的按钮；

2、此时会跳出一个窗口，单击我们需要查壳的文件，再点击右下角的 打开 按钮

3、我们也可以直接把需要查壳的软件拖到PEiD的界面里，同样能载入到PEiD里

4、此时可以看到十分详细的信息，比如壳的信息，入口点的位置，区段……这里我们查壳出来显示是UPX的壳；

三、peid0.95脱壳方法

直接把exe文件拖到里面即可，如图：

最常用到的功能有

点击“=>”打开插件列表。如图：

效果要比通用脱壳器好。

此例子中，我们使用unpacker for upx插件进行脱壳。默认的脱壳后的文件放置位置在peid的根目录下。文件名为原文件名前加un字样。

脱壳后我们再查看壳：

发现壳已经脱掉，程序为VB编写。如果程序可以运行，则说明脱壳成功。如果不能运行，可以修改import table等方式解决。

PEiD特色

一、PEID查壳工具的扫描模式

1、普通扫描模式：可在PE文档的入口点扫描所有记录的签名

2、深度扫描模式：可深度扫描所有记录的签名，这种模式要比上一种的扫描范围更广，更深入

3、核心扫描模式：PEiD可完整地扫描整个PE文档，建议将此模式作为最后的选择。

二、主要模块

1、任务查看模块:可以扫描并查看当前正在运行的所有任务和模块，并可终止其运2、多文件扫描模块:可同时扫描多个文档。选择"只显示PE文件"可以过滤非PE文档;选择"递归扫描"可扫描所有文档，包括子目录。

3、Hex十六进制查看模块:可以以十六进制快速查看文档。

PEiD命令选项

1、PEiD -time〓 显示信息

2、PEiD -r〓 扫描子目录

3、PEiD -nr〓 不扫描子目录

4、PEiD -hard〓 采用核心扫描模式

5、PEiD -deep〓 采用深度扫描模式

6、PEiD -norm〓 采用正常扫描模式

PEiD常见问题

1、软件加载特征

特征库安装完成之后，直接放到软件的安装目录即可

2、软件出现已停止工作，怎么处理？

软件的所有插件都是放在根目录下的plugins文件夹下面的，我们只需要把plugins目录给改个名，然后就可以正常运行了

命令行参数windows.gly188.com

now fully supports commandline parameters

time// Show statistics before quitting 显示信息

r// Recurse through subdirectories 扫描子目录

nr// Don"t scan subdirectories even if its set 不扫描子目录

hard// Scan files in Hardcore Mode 采用核心扫描模式

deep// Scan files in Deep Mode 采用深度扫描模式

norm// Scan files in Normal Mode 采用正常扫描模式

peid

You can combine one or more of the parameters.

For example.

peid -hard -time -r c:\windows\system32

peid -time -deep c:\windows\system32\*.dll

PEiD说明

1、以官方0.95版本为蓝本进行汉化调整，前期抢鲜版出现不少BUG，现在修正啦

2、绝对无捆绑任何病毒、木马、后门等程序。卡巴报病毒，是误报在加壳上，本身并无毒

3、MSVCR70.DLL、rtl70.bpl、vcl70.bpl、mfc70.dll是某些插件的必须的运行库，你可以拷贝到系统目录里

4、收集了最新几乎所有的插件

5、界面进行了调整美化，让我们日常查壳眼前明亮一些

6、签名库收集于网络[1.2M大小]，并不是本人原创

7、接近百分之60插件属于汉化插件！

更新日志

1、修复Bug

2、对部分功能进行全面优化