PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
peid_PEID -扫描模式
●正常扫描模式:可在PE文档的入口点扫描所有记录的签名;
●:可深入扫描所有记录的签名,这种模式要比上一种的扫描范围更广、更深入;
PEID
●核心扫描模式:可完整地扫描整个PE文档,建议将此模式作为最后的选择。
PEiD内置有差错控制的技术,所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果,最后一种有点慢,原因显而易见。
peid_PEID -PEID的命令行选项
●peid -time 〓 显示信息
●peid -r 〓 扫描子目录
●peid -nr 〓 不扫描子目录
●peid -hard 〓 采用核心扫描模式
●peid -deep 〓 采用深度扫描模式
●peid -norm 〓 采用正常扫描模式
peid_PEID -主要模块
●任务查看模块:可以扫描并查看当前正在运行的所有任务和模块,并可终止其运行;
●多文件扫描模块:可同时扫描多个文档。选择“只显示PE文件”可以过滤非PE文档;选择“递归扫描”可扫描所有文档,包括子目录。
●:可以以十六进制快速查看文档。
peid_PEID -插件
●Krypto ANALyzer
●PEID通用脱壳器
●通用OEP查找器
●Add Signature
●Advanced Scan
●Crc32
插件总数共84个(不包含重复插件)。实际插件总数88个,其中有4个插件有不同版本(有些是汉化版)。