Peid095使用详解与下载.docxVIP

Peid 0.95使用详解与下载 Peid是一款专业的侦壳工具， 可以侦测多种壳及程序所使用的编程语言, Peid是一款专业的侦壳工具， 可以侦测多种壳及程序所使用的编程语言, 使用插件（如脱壳插件，可直接把侦测到的壳脱之 ），其外观如下： 另外此工具还可以 强大查壳工具PEiD 0.95全插件汉化版： /blog/static/588464420123104442762/ 软件详解： 一.以0.94版为例说明主要构成文件 I—xternal.txt --- 扩展签名库 —PEiD 0.94.exe --- 原英文程序 —PEiD_ch.exe --- 汉化后的程序 I― adme.txt --- 帮助说明文件 I―serdb.txt --- 扩展签名库 Ilugi ns 插件目录 | AddSig.DLL | AddSig.HTML | adva nced_sca n. dll | CRC32.DLL | EPSca n.dll | ExtOverlay.dll | FileI nfo.dll | FixCRC.dll | GenOEP .dll | ImpREC.dll | kan al.dll | kan al.htm | pluzi na1.dll | pluz in a2.dll | pluzi na3.dll | pluzi na4.dll | RebuildPE.dll SmartOVR.dll Stri ngViewer .dll un def.dll un fsg_v133.dll Un UPolyX.dll UNUPX.DLL Un UPXShit.dll VerA.dll xI nfo.DLL ZDRx.dll 以上为插件 I―lugi nsdk 插件的空工程示例目录 defs.h n ull.c NULL.dll 1— ols 工具目录 I— EiD Sig nature Organi zer I PEIDSO.exe I userdb.BAK I userdb.txt 1— Eid_db_Ma nager_1.01 PEid db Man ager .exe userdb.txt userdb2.txt userdbopt.txt 二、软件相关功能讲解 程序主界面功能如下图所示 选择多文件扫描后出现如下界面 nt- rtiD tO.34 文件：B:\FEID 0 入口点： 000! 点击多文件扫00! 描以后出现右-. 侧对话框 Mi crbsoft Visua 多 扫描⑩I 17总在最前區） [=J WCRJ巴刀也 J- H 3. S 软盘 3：） 甲.一本地磁盘C ） 申〒本地盛盘0 ） * ■.： ] DllylCE 选釋好要扫描的 鑒亀BI司打亠! ■ . M 目录占确定闘可 !O plugins ? pl^Lgi risdk 厂4 文件 学点取消则放弃扫描 ■注.点击扫描目录肓 关闭Q 1 時只亀亍FE立件 巳耶件扫描 二岀现上侧对话框 是否对孑目录进行扫描 - 是否品示非FE交件扫 选择查看进程后如下图所示 选择选项菜单后出现如下图所示界面 注：四种扫描模式的说明 普通扫描：只扫描入口处，忽略扩展签名库中签名的 ep_only = 选项 深度扫描：比普通扫描更广，更深入，但如果扩展签名库中签名的 ep_only = true 的 话会忽略此条签名 核心扫描：整个文件扫描，速度可能会慢，但同样会忽略扩展签名库中签名选项中 ep_only =true 的签名 外部扫描：使用外部签名库，但是使用以上三种扫描中的那一种取绝于选项中的选择，如 果选择普通扫描，同样只有外部签名库扫描文件入口处，深度扫描则用普通扫描和深度扫描 都扫一遍，如果是核心扫描，那么将先普通，再深度，后核心的扫描顺序进行扫描 5.选择如右下角的扩展信息后如下图所示 5.选择如右下角的扩展信息后如下图所示 选对右下角的箭头标志后如下图所示 最后对PEID签名库中的签名所下解释（以下是两条独立的签名库，我们只对第一 条作解释） 注释如下： 壳的名称可以随变写，不影响查壳，但也不能乱写，最起码自已要知道能看懂吧！ !！ 红色圈出的签名部分 sig nature = ”之后的部分才是签名， 答名的提取是有讲究的， 其中 ”??”是不确定的值，也就是说这种壳此处的值可以每次都会有变化， 比如对两个文件同时加 壳，此处的值可能会有两个，所以此处就用双问号表示 （也就是一个字节），其化处当然是提 取到是什么就添什么了。 蓝色圈出部分中 ep_only =是不变的，其后面可以取两个值， true 和false。当采 用true的时候，任何扫描都只扫描程序入口，如果为 false的时候，普通扫描同样只扫入 口，深度和核心扫描将根