PEID(查壳工具)简介
PEID是一个查壳工具,能够帮助我们更加高效方便的进行查壳操作,该软件可以探测大多数的PE文件封包器、加密器和编译器,其PE文件数据库中包含超过600个的签名。
软件主要利用查特征串搜索来完成识别工作的,各种开发语言都有固定的启动代码部分,利用这点可识别是何种语言编译的,被加壳程序处理过的程序,在壳里会留下相关加壳软件的信息,利用这点就可识别是保种壳所加密的,它提供了一个扩展接口文件userdb.txt ,用启可以自定义一些特征码,这样可以识别出新的文件类型。
PEID(查壳工具)下载及使用教程
- 官网:https://www.aldeid.com/wiki/PEiD
- V0.95版本免费下载(提取码1002)
1、通过上面的下载链接下载该软件,该软件为绿色软件,无需安装,解压缩完成后直接运行“PEiD.exe”即可启动该软件;
2、启动软件后如上图所示,我们只需要点击第一栏File这一栏后面的三个点按钮来打开需要查壳的文件,该软件提供了有三种不同的扫描方法,每种方法都适用于不同的目的。
- 正常模式-扫描程序PE文件的入口点处,以查找其包含的所有签名。
- 深度模式-因扫描了文件的入口点包含部分,所以可以提高检测准确率。
- 硬核模式-扫描整个文件以获取所有记录的签名。
该软件内置错误控制方法,一般能确保扫描结果的准确性。我们可以选择适当的扫描模式,正常模式和深度模式扫描花费相当少的时间,如果前两种模式还无法满足你的需要,不妨试一下硬核模式,只是你需要等待久一点。
3、如上图所示,该软件不仅支持单个文件的扫描还可以进行文件的批量扫描,用户只需添加指定的文件夹即可。
4、此外该软件还可以通过任务浏览器管理正在运行的进程,如上图所示。
