PEiD能检测大多数编译语言.、病毒和加密的壳,它主要利用查特征串搜索来完成识别工作的,各种开发语言都有固定的启动代码部分,利用这点可识别是何种语言编译的,被加壳程序处理过的程序,在壳里会留下相关加壳软件的信息,利用这点就可识别是保种壳所加密的,
它提供了一个扩展接口文件userdb.txt ,用启可以自定义一些特征码,这样可以识别出新的文件类型,签名的制作可以用插件Add Signature来完成
PEID的扫描模式
正常扫描模式:可在PE文档的入口点扫描所有记录的签名
深度扫描模式:可深度扫描所有记录的签名,这种模式要比上一种的扫描范围更广,更深入
核心扫描模式:可完整的扫描整个PE文档,但相对有点慢
PEiD最常用的插件就是脱壳,PEiD的插件里有个通用脱壳器,能脱大部分的壳,如果脱壳后import表损害,还可以自动调用ImportREC修复import表,点击"=>"打开插件列表,如图:
根据插件列表,还可以专门针对一些壳脱壳,效果比通用脱壳器会好
点击EP后的>可以展开Section块列表:
再在Section块表上右击鼠标,可以看到以下菜单选项:
点击搜索全0处,会把所有块中全0的区块搜出来,这样我们可以在这些代码上加自己想加的code,非常方便:
直接用WinHex改就行了,