雷火电竞官网-中国知名电竞赛事平台

　　peid是一款功能強大的查殼軟件，可以幫助用戶快速的檢測出大多數PE文件封包器、加密器和編譯器的加殼類型以及使用何編程語言編寫。軟件支持400多種殼的種類，還有強大的病毒掃描功能，用戶還能夠自定義各種特征碼，讓軟件的殼查詢更加方便快捷。

【軟件功能】

　　正常掃描模式：可在PE文檔的入口點掃描所有記錄的簽名；

　　深度掃描模式：可深入掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣、更深入；

　　核心掃描模式：可完整地掃描整個PE文檔，建議將此模式作為最后的選擇。PEiD內置有差錯控制的技術，所以一般能確保掃描結果的準確性。前兩種掃描模式幾乎在瞬間就可得到結果，最后一種有點慢，原因顯而易見。

【軟件特色】

　　1、普通掃描：只掃描入口處，忽略擴展簽名庫中簽名的ep_only=選項

　　2、深度掃描：比普通掃描更廣，更深入，但如果擴展簽名庫中簽名的ep_only = true的話會忽略此條簽名

　　3、核心掃描：整個文件掃描，速度可能會慢，但同樣會忽略擴展簽名庫中簽名選項中ep_only = true的簽名

　　4、外部時掃描：使用外部簽名庫，但是使用以上三種掃描中的那一種取絕于選項中的選擇，如果選擇普通掃描，同樣只有外部簽名庫掃描文件入口處，深度掃描則用普通掃描和深度掃描都掃一遍，如果是核心掃描，那么將先普通，再深度，后核心的掃描順序進行掃描

　　5、最后對PEID簽名庫中的簽名所下解釋（以下是兩條獨立的簽名庫，我們只對第一條作解釋）

　　注釋如下：

　　1、殼的名稱可以隨變寫，不影響查殼，但也不能亂寫，最起碼自已要知道能看懂吧！！ !

　　2、紅色圈出的簽名部分"signature= "之后的部分才是簽名，答名的提取是有講究的，其中"??"是不確定的值，也就是說這種殼此處的值可以每次都會有變化，比如對兩個文件同時加殼，此處的值可能會有兩個，所以此處就用雙問號表示（也就是一個字節），其化處當然是提取到是什么就添什么了。

　　3、藍色圈出部分中"ep_only= "是不變的，其后面可以取兩個值，true和false。當采用true的時候，任何掃描都只掃描程序入口，如果為false的時候，普通掃描同樣只掃入口，深度和核心掃描將根據各自的掃描深度對文件內部代碼進行對比掃描

【常見問題】

　　PEiD打不開就停止工作的解決辦法

　　方法一、特征碼定位法刪除問題插件

　　1、我這里以win10系統下的peid0.94版本為例。運行后提示已停止

　　2、所謂特征碼定位法，類似于早期遠程控制軟件的免殺操作，逐個的刪除插件文件，定位出有問題的插件，將有問題插件刪除后保證peid的正常運行 。具體來說，首先用戶可以將peid下的plugins文件夾刪除，看是否能正常運行。

　　3、刪除plugins文件夾，正常運行peid0.94，說明問題出在plugins目錄。但是plugins目錄是很有用的，你不可能全部將其刪除，所以需要定位有問題的DLL插件。

　　4、具體來說將plugins目錄下的插件分成5個或者10個1組，刪除看能否正常運行peid。正常說明有問題的dll插件文件就在刪除的5個DLL文件中，然后再1個1個的恢復到plugins文件夾，直到找到問題dll文件。

　　5、我這里以5個DLL插件文件為一組進行刪除，刪除后發現peid正常運行，說明導致錯誤的插件就在刪除的這個5DLL文件中。

　　6、然后一個一個的恢復到plugins目錄，看是否正常運行peid，如果出現錯誤就可以定位出有問題的DLL。結合上面的圖，我將xinfo.dll的文件復制到plugins目錄下，peid就不可以正常運行了，說明xinfo.dll這個插件有問題。

　　7、刪除xinfo.dll后就可以正常使用peid。

　　方法二、使用虛擬機安裝可使用系統

　　基本上現在老的逆向工程類的工具，都可以正常的運行于windows xp的系統，所以如果實在不能解決，則考慮在虛擬機安裝windows xp系統 。