peid

PEiD最新版是一款实用高效的查壳软件。PEiD官方版可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入。PEiD最新版内置有差错控制的技术，所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果，最后一种有点慢，原因显而易见。

基本简介

PEiD是很好用的查壳工具，可以很简单的知道软件是不是加了壳，有了这个PEiD 0.95，几乎可以侦测出软件所有的壳，其数量已超过470 种PE文档 的加壳类型和签名，另外PEiD还可识别出exe文件是用什么语言编写的，比如：VC++、Delphi、VB或Delphi等。

功能介绍

1、正常扫描模式：PEiD可在PE文档的入口点扫描所有记录的签名;

2、深度扫描模式：可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入;

3、核心扫描模式：PEiD可完整地扫描整个PE文档，建议将此模式作为最后的选择。

PEiD内置有差错控制的技术，所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果，最后一种有点慢，原因显而易见。

使用方法

1、PEiD最常用的插件就是脱壳，PEiD的插件里有个通用脱壳器，能脱大部分的壳，如果脱壳后import表损害，还可以自动调用ImportREC修复import表，点击"=>"打开插件列表

2、根据插件列表，还可以专门针对一些壳脱壳，效果比通用脱壳器会好

3、点击EP后的>可以展开Section块列表:

4、再在Section块表上右击鼠标，可以看到以下菜单选项：

5、点击搜索全0处，会把所有块中全0的区块搜出来，这样我们可以在这些代码上加自己想加的code，非常方便:

6、直接用WinHex改就行了

peid命令选项

●peid -time〓 显示信息

●peid -r〓 扫描子目录

●peid -nr〓 不扫描子目录

●peid -hard〓 采用核心扫描模式

●peid -deep〓 采用深度扫描模式

●peid -norm〓 采用正常扫描模式

PEiD打不开就停止工作的解决办法

方法一、特征码定位法删除问题插件

1、我这里以win10系统下的peid0.94版本为例。运行后提示已停止。

2、所谓特征码定位法，类似于早期远程控制软件的免杀操作，逐个的删除插件文件，定位出有问题的插件，将有问题插件删除后保证peid的正常运行 。具体来说，首先用户可以将peid下的plugins文件夹删除，看是否能正常运行。

3、删除plugins文件夹，正常运行peid0.94，说明问题出在plugins目录。但是plugins目录是很有用的，你不可能全部将其删除，所以需要定位有问题的DLL插件。

4、具体来说将plugins目录下的插件分成5个或者10个1组，删除看能否正常运行peid。正常说明有问题的dll插件文件就在删除的5个DLL文件中，然后再1个1个的恢复到plugins文件夹，直到找到问题dll文件。

5、我这里以5个DLL插件文件为一组进行删除，删除后发现peid正常运行，说明导致错误的插件就在删除的这个5DLL文件中。

6、然后一个一个的恢复到plugins目录，看是否正常运行peid，如果出现错误就可以定位出有问题的DLL。我将xinfo.dll的文件复制到plugins目录下，peid就不可以正常运行了，说明xinfo.dll这个插件有问题。

7、删除xinfo.dll后就可以正常使用peid。

方法二、使用虚拟机安装可使用系统