PEID

软件介绍

PEiD是一款广受好评的外壳检查工具，可以快速判断一个软件是否有外壳，识别软件使用的编程语言。目前，软件数据库记录了470多种PE文件的类型和签名，并在不断更新和添加。

软件特色

1.正常扫描模式：PEiD可以扫描PE文档。。点的所有记录签名；

2.深度扫描模式：可以对所有记录的签名进行深度扫描，比之前的扫描模式更宽更深；

3.核心扫描模式：PEiD可以完整扫描整个PE文档，建议将此模式作为最后的选择。

使用方法

1.PEiD最常用的插件是脱壳。PEiD的插件里有一个通用脱壳器，可以脱绝大部分壳。如果脱壳后导入表损坏，还可以自动调用ImportREC修复导入表，点击'='打开插件列表，如图：

2.根据插件列表，还可以专门剥一些壳，效果会比一般的剥壳机好。

3.单击EP展开区段阻止列表：

4.再次右键单击截面块表，查看以下菜单选项：

5.点击搜索全零会搜索出所有块中的全零，这样我们就可以把我们想要添加的代码添加到这些代码中，非常方便：

6.直接用WinHex改就行了。

常见问题

如果PEiD打不开就停止工作的解决方案

方法一：特征码定位法删除问题插件。

1.我以win10系统下的peid0.94版本为例。运行后，提示已经停止，如下图所示。

2.所谓特征码定位法，类似于早期远程控制软件的免杀操作，逐个删除插件文件，定位问题插件，删除问题插件后保证peid的正常运行。具体来说，首先用户可以删除peid下的plugins文件夹，看看是否可以正常运行。

3.删除plugins文件夹，正常运行peid0.94，说明问题出在plugins目录。但是plugins目录很有用，不能全删，需要定位有问题的DLL插件。

010-350006

4.具体来说，就是把插件目录里的插件分成5组或者10组，删除掉，看看peid能不能正常运行。正常情况下，有问题的dll插件文件在五个被删除的dll文件中，然后逐一恢复到plugins文件夹中，直到找到有问题的DLL文件。

5.我一组删除了五个DLL插件文件。删除后发现peid运行正常，说明导致错误的插件在被删除的5DLL文件中。

6.然后逐个还原到插件目录，看看peid是否运行正常。如果有错误，您可以找到有问题的DLL。结合上图，我把xinfo.dll的文件复制到plugins目录下，peid无法正常运行，说明xinfo.dll的插件有问题。

7.删除xinfo.dll后可以正常使用peid。

方法2:使用虚拟机安装可用的系统。

基本上老的逆向工程工具都能在windows xp系统上正常运行，如果不能解决，可以考虑在虚拟机中安装windows xp系统。

命令选项

Peid -time:显示信息

Peid -r:扫描子目录

Peid -nr:不扫描子目录。

Peid -hard:采用核心扫描模式。

Peid -deep:采用深度扫描模式。

Peid -norm:采用正常扫描模式。

安装方法

1.双击从该站点下载的PEiD本地化版本的安装包，点击【继续】。

2.安装前，请阅读以下重要信息，然后单击[继续]。

3.选择您要安装的位置，然后单击[继续]。

4.选择开始菜单的文件夹位置。单击[继续]

5.单击[安装],安装程序将继续.

6.在安装过程中…请耐心等待安装成功，然后才能立即运行PEiD！