雷火电竞官网-中国知名电竞赛事平台

　　PEiD是一款功能強(qiáng)大的查殼工具，它可以探測(cè)大多數(shù)的PE文件封包器、加密器和編譯器，可以探測(cè)600多個(gè)不同簽名，還可識(shí)別出exe文件是用什么語(yǔ)言編寫的，只需要拖入即可。

【軟件功能】

　　1、正常掃描模式：PEiD可在PE文檔的入口點(diǎn)掃描所有記錄的簽名；

　　2、深度掃描模式：可深入掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣、更深入；

　　3、核心掃描模式：PEiD可完整地掃描整個(gè)PE文檔，建議將此模式作為最后的選擇。

　　PEiD內(nèi)置有差錯(cuò)控制的技術(shù)，所以一般能確保掃描結(jié)果的準(zhǔn)確性。前兩種掃描模式幾乎在瞬間就可得到結(jié)果，最后一種有點(diǎn)慢，原因顯而易見。

【如何使用】

　　1、PEiD最常用的插件就是脫殼，PEiD的插件里有個(gè)通用脫殼器，能脫大部分的殼，如果脫殼后import表?yè)p害，還可以自動(dòng)調(diào)用ImportREC修復(fù)import表，點(diǎn)擊"=>"打開插件列表

　　2、根據(jù)插件列表，還可以專門針對(duì)一些殼脫殼，效果比通用脫殼器會(huì)好

　　3、點(diǎn)擊EP后的>可以展開Section塊列表:

　　4、再在Section塊表上右擊鼠標(biāo)，可以看到以下菜單選項(xiàng)：

　　5、點(diǎn)擊搜索全0處，會(huì)把所有塊中全0的區(qū)塊搜出來(lái)，這樣我們可以在這些代碼上加自己想加的code，非常方便:

　　6、直接用WinHex改就行了

【命令行參數(shù)】

　　PEiD now fully supports commandline parameters.

　　peid -time// Show statistics before quitting 顯示信息

　　peid -r// Recurse through subdirectories  掃描子目錄

　　peid -nr// Don't scan subdirectories even if its set 不掃描子目錄

　　peid -hard// Scan files in Hardcore Mode 采用核心掃描模式

　　peid -deep// Scan files in Deep Mode  采用深度掃描模式

　　peid -norm// Scan files in Normal Mode 采用正常掃描模式

　　peid <file1> <file2> <dir1> <dir2>

　　You can combine one or more of the parameters.

　　For example.

　　peid -hard -time -r c:\windows\system32

　　peid -time -deep c:\windows\system32\*.dll

【常見問(wèn)題】

　　PEiD打不開就停止工作的解決辦法

　　方法一、特征碼定位法刪除問(wèn)題插件

　　1、我這里以win10系統(tǒng)下的peid0.94版本為例。運(yùn)行后提示已停止，如下圖所示：

　　2、所謂特征碼定位法，類似于早期遠(yuǎn)程控制軟件的免殺操作，逐個(gè)的刪除插件文件，定位出有問(wèn)題的插件，將有問(wèn)題插件刪除后保證peid的正常運(yùn)行 。具體來(lái)說(shuō)，首先用戶可以將peid下的plugins文件夾刪除，看是否能正常運(yùn)行。

　　3、刪除plugins文件夾，正常運(yùn)行peid0.94，說(shuō)明問(wèn)題出在plugins目錄。但是plugins目錄是很有用的，你不可能全部將其刪除，所以需要定位有問(wèn)題的DLL插件。

　　4、具體來(lái)說(shuō)將plugins目錄下的插件分成5個(gè)或者10個(gè)1組，刪除看能否正常運(yùn)行peid。正常說(shuō)明有問(wèn)題的dll插件文件就在刪除的5個(gè)DLL文件中，然后再1個(gè)1個(gè)的恢復(fù)到plugins文件夾，直到找到問(wèn)題dll文件。

　　5、我這里以5個(gè)DLL插件文件為一組進(jìn)行刪除，刪除后發(fā)現(xiàn)peid正常運(yùn)行，說(shuō)明導(dǎo)致錯(cuò)誤的插件就在刪除的這個(gè)5DLL文件中。

　　6、然后一個(gè)一個(gè)的恢復(fù)到plugins目錄，看是否正常運(yùn)行peid，如果出現(xiàn)錯(cuò)誤就可以定位出有問(wèn)題的DLL。結(jié)合上面的圖，我將xinfo.dll的文件復(fù)制到plugins目錄下，peid就不可以正常運(yùn)行了，說(shuō)明xinfo.dll這個(gè)插件有問(wèn)題。

　　7、刪除xinfo.dll后就可以正常使用peid。

　　方法二、使用虛擬機(jī)安裝可使用系統(tǒng)

　　基本上現(xiàn)在老的逆向工程類的工具，都可以正常的運(yùn)行于windows xp的系統(tǒng)，所以如果實(shí)在不能解決，則考慮在虛擬機(jī)安裝windows xp系統(tǒng) 。