20145233计算机病毒实践1之静态工具介绍

20145233计算机病毒实践1之静态工具介绍

PEiD

• PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档 的加壳类型和签名。
• 扫描模式
  • 正常扫描模式：可在PE文档的入口点扫描所有记录的签名；
  • 深度扫描模式：可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入；
  • 核心扫描模式：可完整地扫描整个PE文档，建议将此模式作为最后的选择。PEiD内置有差错控制的技术，所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果，最后一种有点慢，原因显而易见。

*

PE Explorer

• PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。
• 功能极为强大的可视化汉化集成工具，可直接浏览、修改软件资源，包括菜单、对话框、字符串表等； 另外，还具备有 W32DASM 软件的反编译能力和PEditor 软件的 PE 文件头编辑功能，可以更容易的分析源代码，修复损坏了的资源，可以处理 PE 格式的文件如：EXE、DLL、DRV、BPL、DPL、SYS、CPL、OCX、SCR 等 32 位可执行程序。该软件支持插件，你可以通过增加插件加强该软件的功能， 原公司在该工具中捆绑了 UPX 的脱壳插件、扫描器和反汇编器.，非常好用。
  

Resource Hacker

• 一个实用的免费软件，用于查看，修改，添加和删除 Win32 可执行文件的资源。
• 其中内置了一个内部资源编译器和反编译器。
  

PEview

• PEview查看32位可移植可执行（PE）和组件对象文件格式（COFF）文件的结构和内容，提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题，章节，目录，导入表，导出表，内部信息和资源的EXE，DLL，OBJ，LIB，DBG，和其他文件类型。
  

PEBrowsePro

• 强大的PE文件静态分析工具，可以查看exe/dll文件的各种新戏，并反汇编。
  

Dependency Walker

• Dependency Walker是一款Microsoft Visual C++ 中提供的非常有用的PE模块依赖性分析工具
• 主要功能如下:查看 PE 模块的导入模块.查看 PE 模块的导入和导出函数.动态剖析 PE 模块的模块依赖性.解析 C++ 函数名称