展开
展开
系统:WinXP, win7, WinAll 大小:4.4M
类型:编程软件 更新:2014-11-14
PEiD查壳工具安装以后,会在右键有个peid工具,直接对程序,右键查壳,然后peid会启动,
会在主界面的框中,出现加壳种类。peid也可以脱壳,
如果不能脱掉,就用od,单步跟入,od是一个非常好的工具
1、查看入口点。即程序的入口地址。查入口点的软件有很多,几乎所有的PE编辑软件都可以查看入口点。
2、查看软件加的什么壳。这个软件加的是UPX 0.89.6
插件应用。最常用的插件就是脱壳。Peid的插件里面有个通用脱壳器,能脱大部分的壳,如果脱壳后import表损害,还可以自动调用ImportREC修复improt表。
用PEID查壳时,如果在扩展信息-》快速检测》里面显示压缩(或是未压缩,可能压缩),说明软件已经加壳了,但是要了解加的是说什么壳,另外,VB是一种编写程序的语言,不是壳。
PEiD怎么用?
PEiD最常用的插件就是脱壳,PEiD的插件里有个通用脱壳器,能脱大部分的壳,如果脱壳后import表损害,还可以自动调用ImportREC修复import表,点击"=>"打开插件列表,如图:
根据插件列表,还可以专门针对一些壳脱壳,效果比通用脱壳器会好
点击EP后的>可以展开Section块列表:
再在Section块表上右击鼠标,可以看到以下菜单选项:
点击搜索全0处,会把所有块中全0的区块搜出来,这样我们可以在这些代码上加自己想加的code,非常方便:
直接用winhex改就行了,
PEiD now fully supports commandline parameters.
peid -time// Show statistics before quitting 显示信息
peid -r// Recurse through subdirectories 扫描子目录
peid -nr// Don't scan subdirectories even if its set 不扫描子目录
peid -hard// Scan files in Hardcore Mode 采用核心扫描模式
peid -deep// Scan files in Deep Mode 采用深度扫描模式
peid -norm// Scan files in Normal Mode 采用正常扫描模式
peid <file1> <file2> <dir1> <dir2>
You can combine one or more of the parameters.
For example.
peid -hard -time -r c:\windows\system32
peid -time -deep c:\windows\system32\*.dll
