peid(查壳工具) 0.95中文版 附脱壳教程

PEiD汉化版是专为编程工程师开发的一款程序查壳脱壳小工具，采用独有的反编译技术制作的脱壳器，可以检测目前大部分语言程序的pe文件分包器、加密器和编译器。提供了三种查壳扫描模式，普通、深度和核心扫描模式，其中普通扫描模式，可在pe文档的入口点扫描所有的记录签名，深度扫描可扫描所有的记录签名，此模式比普通扫描模式扫描范围更广，更深入，如果前两者无法成功查壳，可以使用核心扫描模式，完整的扫描整个pe文件。peid还增加了病毒扫描功能，peid可以说是目前性能最强的查壳软件了。本站此次为您带来了peid汉化版软件，吾爱大神以官方0.95版本汉化优化制作，并收集了最新几乎所有的插件，并且大部分插件都完成了汉化，peid代码使用Visual C++ 7. 1编写，没有使用第三方软件，需要的就请快到本站下载吧。

版本亮点

1、以官方0.95版本为蓝本进行汉化调整，前期抢鲜版出现不少BUG，现在修正啦

2、绝对无捆绑任何病毒、木马、后门等程序。卡巴报病毒，是误报在加壳上，本身并无毒

3、MSVCR70.DLL、rtl70.bpl、vcl70.bpl、mfc70.dll是某些插件的必须的运行库，你可以拷贝到系统目录里

4、收集了最新几乎所有的插件

5、界面进行了调整美化，让我们日常查壳眼前明亮一些

6、签名库收集于网络[1.2M大小]，并不是本人原创

7、接近百分之60插件属于汉化插件!

PEiD相关插件

peid 0.95汉化版为全插件版，小编只列举部分插件，更多插件用户可进入plugins文件夹查看

1、advanced_scan.dll AntiSPack.dll

2、crc32.dll Easy Screen 1.3.0.dll

3、eCrap.dll eCrapOepVerify.dll

4、EPScan.dll ExtOverlay.dll

5、ExtractOverlay.dll FC.DLL

6、FileInfo.dll FixCRC.DLL

7、FNE.dll frant.dll

8、FSG v1.33脱壳.dll GenOEP.dll

9、GUID.dll hh.dll

10、HideCapt.dll HideCapt2.dll

PEiD基本功能

一、PEID查壳工具的扫描模式

1、普通扫描模式：可在PE文档的入口点扫描所有记录的签名

2、深度扫描模式：可深度扫描所有记录的签名，这种模式要比上一种的扫描范围更广，更深入

3、核心扫描模式：PEiD可完整地扫描整个PE文档，建议将此模式作为最后的选择。

二、主要模块

1、任务查看模块:可以扫描并查看当前正在运行的所有任务和模块，并可终止其运2、多文件扫描模块:可同时扫描多个文档。选择"只显示PE文件"可以过滤非PE文档;选择"递归扫描"可扫描所有文档，包括子目录。

3、Hex十六进制查看模块:可以以十六进制快速查看文档。

PEiD命令选项

1、PEiD -time〓 显示信息

2、PEiD -r〓 扫描子目录

3、PEiD -nr〓 不扫描子目录

4、PEiD -hard〓 采用核心扫描模式

5、PEiD -deep〓 采用深度扫描模式

6、PEiD -norm〓 采用正常扫描模式

PEiD使用教程

使用教程

安装说明

1、下载本站为您带来的peid汉化版软件压缩包，解压即可获得peid0.95汉化版主程序

2、双击目录下的“PEID.EXE”即可直接运行启动，无需安装，接着即可根据自己的需求来进行使用。

二、peid怎么查壳?详细的查壳教程：

1、打开软件后我们可以单击右上角的三个点的按钮;

2、会弹出一个选择文件的窗口，我们单击我们需要查壳的文件，再点击右下角的 打开 按钮

3、我们也可以直接把需要查壳的软件拖到PEiD的界面里，同样能载入到PEiD里

(在需要查壳的软件上面按住鼠标左键，再拖动你的鼠标的PEiD的窗口里，最后松开你的鼠标左键)

4、然后我们就可以看到十分详细的信息，比如壳的信息，入口点的位置，区段……这里我们查壳出来显示是UPX的壳，也是十分准确的

三、peid0.95如何脱壳?

直接把exe文件拖到里面即可。例如：

这个是暗组2008 vstart软件的信息。从上面我们可以看到软件加的UPX的壳，版本是0.89.6。

我们最常用到的功能有：

1、 查看入口点。即程序的入口地址。查入口点的软件有很多，几乎所有的PE编辑软件都可以查看入口点。

2、 查看软件加的什么壳。这个软件加的是UPX 0.89.6

插件应用。最常用的插件就是脱壳。Peid的插件里面有个通用脱壳器，能脱大部分的壳，如果脱壳后import表损害，还可以自动调用ImportREC修复improt表。

点击“=>”打开插件列表。如图：

还可以专门针对一些壳进行脱壳，效果要比通用脱壳器好。

此例子中，我们使用unpacker for upx插件进行脱壳。默认的脱壳后的文件放置位置在peid的根目录下。文件名为原文件名前加un字样。

脱壳后我们再查看壳：

发现壳已经脱掉，程序为VB编写。如果程序可以运行，则说明脱壳成功。如果不能运行，可以修改import table等方式解决。

PEiD常见问题

PEiD打不开就停止工作的解决办法

方法一、特征码定位法删除问题插件

1、我这里以win10系统下的peid0.94版本为例。运行后提示已停止，如下图所示：

2、所谓特征码定位法，类似于早期远程控制软件的免杀操作，逐个的删除插件文件，定位出有问题的插件，将有问题插件删除后保证peid的正常运行 。具体来说，首先用户可以将peid下的plugins文件夹删除，看是否能正常运行。

3、删除plugins文件夹，正常运行peid0.94，说明问题出在plugins目录。但是plugins目录是很有用的，你不可能全部将其删除，所以需要定位有问题的DLL插件。

4、具体来说将plugins目录下的插件分成5个或者10个1组，删除看能否正常运行peid。正常说明有问题的dll插件文件就在删除的5个DLL文件中，然后再1个1个的恢复到plugins文件夹，直到找到问题dll文件。

5、我这里以5个DLL插件文件为一组进行删除，删除后发现peid正常运行，说明导致错误的插件就在删除的这个5DLL文件中。

6、然后一个一个的恢复到plugins目录，看是否正常运行peid，如果出现错误就可以定位出有问题的DLL。结合上面的图，我将xinfo.dll的文件复制到plugins目录下，peid就不可以正常运行了，说明xinfo.dll这个插件有问题。

7、删除xinfo.dll后就可以正常使用peid。

方法二、使用虚拟机安装可使用系统

基本上现在老的逆向工程类的工具，都可以正常的运行于windows xp的系统，所以如果实在不能解决，则考虑在虚拟机安装windows xp系统 。

命令行参数

now fully supports commandline parameters

time// Show statistics before quitting 显示信息

r// Recurse through subdirectories 扫描子目录

nr// Don't scan subdirectories even if its set 不扫描子目录

hard// Scan files in Hardcore Mode 采用核心扫描模式

deep// Scan files in Deep Mode 采用深度扫描模式

norm// Scan files in Normal Mode 采用正常扫描模式

peid

You can combine one or more of the parameters.

For example.

peid -hard -time -r c:\windows\system32

peid -time -deep c:\windows\system32\*.dll

更新日志

v0.95版本

1、加入PEID皮肤，美化界面

2、更新签名库【签名大杂烩】

3、加入PESniffer,查看更精确

4、去除不适合新手与英文的插件

5、加入适合新手的插件

6、中文界面