打开peid,界面如下:
直接把exe文件拖到里面即可。例如:
(相关资料图)
这个是暗组2008 vstart软件的信息。从上面我们可以看到软件加的UPX的壳,版本是0.89.6。
我们最常用到的功能有:
1、查看入口点。即程序的入口地址。查入口点的软件有很多,几乎所有的PE编辑软件都可以查看入口点。
2、查看软件加的什么壳。这个软件加的是UPX 0.89.6
插件应用。最常用的插件就是脱壳。Peid的插件里面有个通用脱壳器,能脱大部分的壳,如果脱壳后import表损害,还可以自动调用ImportREC修复improt表。
点击“=>”打开插件列表。如图:
还可以专门针对一些壳进行脱壳,效果要比通用脱壳器好。
此例子中,我们使用unpacker for upx插件进行脱壳。默认的脱壳后的文件放置位置在peid的根目录下。文件名为原文件名前加un字样。
脱壳后我们再查看壳:
发现壳已经脱掉,程序为VB编写。如果程序可以运行,则说明脱壳成功。如果不能运行,可以修改import table等方式解决。
相关软件下载地址 http://www./softs/32610.html