Peid 0.95 下载及使用详解

Peid 0.95 下载及使用详解
Peid 是一款专业的侦壳工具，可以侦测多种壳及程序所使用的编程语言，另外此工具还可以使用插件(如脱壳插件，可直接把侦测到的壳脱之)，其外观如下：
PEID 0.94
PEID 0.95
软件详解：
一.以0.94版为例说明主要构成文件
├─external.txt --- 扩展签名库
├─PEiD 0.94.exe --- 原英文程序
├─PEiD_ch.exe --- 汉化后的程序
├─readme.txt --- 帮助说明文件
├─userdb.txt --- 扩展签名库
├─plugins ------------- 插件目录
│AddSig.DLL
│AddSig.HTML
│advanced_scan.dll
│CRC32.DLL
│EPScan.dll
│ExtOverlay.dll
│FileInfo.dll
│FixCRC.dll
│GenOEP.dll
│ImpREC.dll
│kanal.dll
│kanal.htm
│pluzina1.dll
│pluzina2.dll
│pluzina3.dll
│pluzina4.dll
│RebuildPE.dll
│SmartOVR.dll
│StringViewer.dll
│undef.dll
│unfsg_v133.dll
│UnUPolyX.dll
│UNUPX.DLL
│UnUPXShit.dll
│VerA.dll
│xInfo.DLL
│ZDRx.dll
│------------以上为插件
├─pluginsdk ------------------- 插件的空工程示例目录│defs.h
│null.c
│NULL.dll
│
└─tools ------------------------工具目录
├─PEiD Signature Organizer
│PEIDSO.exe
│userdb.BAK
│userdb.txt
│
└─PEid_db_Manager_1.01
PEid db Manager.exe
userdb.txt
userdb2.txt
userdbopt.txt
二、软件相关功能讲解
1.程序主界面功能如下图所示
2.选择多文件扫描后出现如下界面
3.选择查看进程后如下图所示
4.选择选项菜单后出现如下图所示界面
注:四种扫描模式的说明
1.普通扫描：只扫描入口处，忽略扩展签名库中签名的ep_only = 选项
2.深度扫描：比普通扫描更广，更深入，但如果扩展签名库中签名的ep_only = true 的话会忽略此条签名
3.核心扫描：整个文件扫描，速度可能会慢，但同样会忽略扩展签名库中签名选项中ep_only = true 的签名
4.外部扫描：使用外部签名库，但是使用以上三种扫描中的那一种取绝于选项中的选择，如果选择普通扫描，同样只有外部签名库扫描文件入口处，深度扫描则用普通扫描和深度扫描都扫一遍，如果是核心扫描，那么将先普通，再深度，后核心的扫描顺序进行扫描
5.选择如右下角的扩展信息后如下图所示
6.选对右下角的箭头标志后如下图所示
7.最后对PEID 签名库中的签名所下解释（以下是两条独立的签名库，我们只对第一条作解释）
注释如下：
1.壳的名称可以随变写，不影响查壳，但也不能乱写，最起码自已要知道能看懂吧！！！
2.红色圈出的签名部分“signature = ”之后的部分才是签名，答名的提取是有讲究的，其中"??" 是不确定的值，也就是说这种壳此处的值可以每次都会有变化，比如对两个文件同时加壳，此处的值可能会有两个，所以此处就用双问号表示(也就是一个字节)，其化处当然是提取到是什么就添什么了。

3.蓝色圈出部分中"ep_only = " 是不变的，其后面可以取两个值，true 和false。

当采用true 的时候，任何扫描都只扫描程序入口，如果为false 的时候，普通扫描同样只扫入口，深度和核心扫描将根据各自的扫描深度对文件内部代码进行对比扫描。