PEID学习笔记1

PEiD能检测大多数编译语言.、病毒和加密的壳，它主要利用查特征串搜索来完成识别工作的，各种开发语言都有固定的启动代码部分，利用这点可识别是何种语言编译的，被加壳程序处理过的程序，在壳里会留下相关加壳软件的信息，利用这点就可识别是保种壳所加密的，

它提供了一个扩展接口文件userdb.txt ，用启可以自定义一些特征码，这样可以识别出新的文件类型，签名的制作可以用插件Add Signature来完成

 PEID的扫描模式

正常扫描模式：可在PE文档的入口点扫描所有记录的签名

深度扫描模式：可深度扫描所有记录的签名，这种模式要比上一种的扫描范围更广，更深入

核心扫描模式：可完整的扫描整个PE文档，但相对有点慢

 

PEiD最常用的插件就是脱壳，PEiD的插件里有个通用脱壳器，能脱大部分的壳，如果脱壳后import表损害，还可以自动调用ImportREC修复import表，点击"=>"打开插件列表，如图：

根据插件列表，还可以专门针对一些壳脱壳，效果比通用脱壳器会好

点击EP后的>可以展开Section块列表:

再在Section块表上右击鼠标，可以看到以下菜单选项：

点击搜索全0处，会把所有块中全0的区块搜出来，这样我们可以在这些代码上加自己想加的code，非常方便:

直接用WinHex改就行了,