脱壳软件Peid使用方法

新手入门学习——脱壳破解练习第一期新手入门学习——脱壳破解练习第一期拿到一个软件，先看看是加的什么壳。

用PEiD查得【Upack V0.37-V0.39 -> Dwing *】接着拿出破解第一要物OD进行脱壳（注意选好点的版本，由于Upack壳做了变形，有些版本的OD打开时会出错，最好是用英文版的）OD载入……我使用简单一点的ESP定律。

00401018 > BE B0114000 MOV ESI,脱壳破解.004011B00040101D AD LODS DWORD PTR DS:[ESI]0040101E 50 PUSH EAX0040101F FF76 34 PUSH DWORD PTR DS:[ESI+34]00401022 EB 7C JMP SHORT 脱壳破解.004010A0F8前进到【0040101F】，在寄存器窗口ESP处点右键，在数据窗口跟随【0012FFC0】如下图：//数据窗口点右键，下硬件断点。

shift+F9运行0012FFC0 004011B8 脱壳破解.004011B80012FFC4 7C82F23B 返回到 kernel32.7C82F23B0012FFC8 00000000//来到OEP，通过观察可以发现，这是一个典型的VB入口。

这里记得要删除硬件断点！004011B8 68 24184000 PUSH 脱壳破解.00401824 //OEP004011BD E8 EEFFFFFF CALL 脱壳破解.004011B0004011C2 0000 ADD BYTE PTR DS:[EAX],AL004011C4 0000 ADD BYTE PTR DS:[EAX],AL 004011C6 0000 ADD BYTE PTR DS:[EAX],AL 004011C8 3000 XOR BYTE PTR DS:[EAX],AL记录新入口地址【11B8】接着打开LoadPE进行脱壳然后使用Import Fix 1.6 进行修复修复完成后即得到脱壳后的文件，用PeiD查询，果然是VB。

Peid 0.95 下载及使用详解Peid 是一款专业的侦壳工具，可以侦测多种壳及程序所使用的编程语言，另外此工具还可以使用插件(如脱壳插件，可直接把侦测到的壳脱之)，其外观如下：PEID 0.94PEID 0.95软件详解：一.以0.94版为例说明主要构成文件├─external.txt --- 扩展签名库├─PEiD 0.94.exe --- 原英文程序├─PEiD_ch.exe --- 汉化后的程序├─readme.txt --- 帮助说明文件├─userdb.txt --- 扩展签名库├─plugins ------------- 插件目录│AddSig.DLL│AddSig.HTML│advanced_scan.dll│CRC32.DLL│EPScan.dll│ExtOverlay.dll│FileInfo.dll│FixCRC.dll│GenOEP.dll│ImpREC.dll│kanal.dll│kanal.htm│pluzina1.dll│pluzina2.dll│pluzina3.dll│pluzina4.dll│RebuildPE.dll│SmartOVR.dll│StringViewer.dll│undef.dll│unfsg_v133.dll│UnUPolyX.dll│UNUPX.DLL│UnUPXShit.dll│VerA.dll│xInfo.DLL│ZDRx.dll│------------以上为插件├─pluginsdk ------------------- 插件的空工程示例目录│defs.h│null.c│NULL.dll│└─tools ------------------------工具目录├─PEiD Signature Organizer│PEIDSO.exe│userdb.BAK│userdb.txt│└─PEid_db_Manager_1.01PEid db Manager.exeuserdb.txtuserdb2.txtuserdbopt.txt二、软件相关功能讲解1.程序主界面功能如下图所示2.选择多文件扫描后出现如下界面3.选择查看进程后如下图所示4.选择选项菜单后出现如下图所示界面注:四种扫描模式的说明1.普通扫描：只扫描入口处，忽略扩展签名库中签名的ep_only = 选项2.深度扫描：比普通扫描更广，更深入，但如果扩展签名库中签名的ep_only = true 的话会忽略此条签名3.核心扫描：整个文件扫描，速度可能会慢，但同样会忽略扩展签名库中签名选项中ep_only = true 的签名4.外部扫描：使用外部签名库，但是使用以上三种扫描中的那一种取绝于选项中的选择，如果选择普通扫描，同样只有外部签名库扫描文件入口处，深度扫描则用普通扫描和深度扫描都扫一遍，如果是核心扫描，那么将先普通，再深度，后核心的扫描顺序进行扫描5.选择如右下角的扩展信息后如下图所示6.选对右下角的箭头标志后如下图所示7.最后对PEID 签名库中的签名所下解释（以下是两条独立的签名库，我们只对第一条作解释）注释如下：1.壳的名称可以随变写，不影响查壳，但也不能乱写，最起码自已要知道能看懂吧！！！2.红色圈出的签名部分“signature = ”之后的部分才是签名，答名的提取是有讲究的，其中"??" 是不确定的值，也就是说这种壳此处的值可以每次都会有变化，比如对两个文件同时加壳，此处的值可能会有两个，所以此处就用双问号表示(也就是一个字节)，其化处当然是提取到是什么就添什么了。

【脱壳一般流程】查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)【工具介绍】1、查壳PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样）工作原理：核心是userdb.txt（大家看看就完全明白了）[通过壳的入口特征码进行辨认]使用方法：可以拖放、也可以把PEID添加到右键菜单里面去FI--功能强大的侦壳工具，DOS界面。

使用方法：可以拖放、可以使用DO S命令行2、寻找OEPollydbg的四个区域左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值.右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Ef lag的值,对于寄存器,指令执行后发生改变的寄存器会用红色突出显示.cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态.左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息.右下角的是当前堆栈情况,还有注释啊.几个经常使用的快捷键F2：在需要的地方下断点（INT3型断点）F3：选择打开程序F4：运行到所选择的那一行F7：单步进入F8：单步跟踪F9：执行程序（运行程序）其中要特别讲一下3个F9的区别和作用：根据Ollydbg.hlp的中文翻译Shif t+F9 -与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。

Ctrl+F9 - 执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新CPU数据。

因为程序是一条一条命令执行的，所以速度可能会慢一些。

按Esc键，可以停止跟踪。

Alt+F9 - 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新CPU 数据。

破解之多种方法脱ASP壳工具：PEID-经典查壳工具OD -动态调试工具理论知识：所谓壳即软件作者为防止软件被调试破解所用的一种的保护方法，分为压缩壳和加密壳，就安全性和破解 复杂性来说，加密壳要比压缩壳厉害的多。

OD界面：左上角为CPU窗口，分别为地址，机器码，汇编代码，注释右上角为寄存器窗口左下角为内存窗口右下角为当前堆栈情况和注释经常使用的快捷键：F2：在需要的地方下断点（INT3型断点） F3：选择打开程序F4：运行到所选择的那一行F7：单步进入F8：单步跟踪F9：执行程序（运行程序）USHAD （压栈） 代表程序的入口点,OPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真 正的OEP，就可以立刻脱壳。

二。

开始破解1。

单步跟踪法破解（最基本）载入PEID，显示：ASPack 2.12 -> Alexey Solodovnikov显然是ASPpack2.12版本的壳，今天我们的目标就是它了OD载入程序停在0040D001 > 60 pushad0040D002 E8 03000000 call NotePad_.0040D00A0040D007 - E9 EB045D45 jmp 459DD4F70040D00C 55 push ebp0040D00D C3 retn0040D00E E8 01000000 call NotePad_.0040D0140040D013 EB 5D jmp short NotePad_.0040D072pushad：程序入口点call ：为调用即调用NotePad_.0040D00A这里用先用F8步进，F7进入call，继续F8步进，会遇到向下的箭头0040D008 /EB 04 jmp short NotePad_.0040D00E 0040D00A |5D pop ebp0040D00B |45 inc ebp0040D00C |55 push ebp0040D00D |C3 retn0040D00E \E8 01000000 call NotePad_.0040D014不用管它，我们破解断点只断向上的跳转到这里注意一下0040D008 /EB 04 jmp short NotePad_.0040D00E 0040D00A |5D pop ebp0040D00B |45 inc ebp0040D00C |55 push ebp0040D00D |C3 retn0040D00E \E8 01000000 call NotePad_.0040D0140040D013 EB 5D jmp short NotePad_.0040D0720040D015 BB EDFFFFFF mov ebx,-13注意这个call，要用F7进入，不然就要跑飞（程序运行起来） 继续F8步进，直到0040D12F /74 2E je short NotePad_.0040D15F0040D131 |78 2C js short NotePad_.0040D15F0040D133 |AC lods byte ptr ds:[esi]0040D134 |3C E8 cmp al,0E80040D136 |74 0A je short NotePad_.0040D1420040D138 |EB 00 jmp short NotePad_.0040D13A 0040D13A |3C E9 cmp al,0E90040D13C |74 04 je short NotePad_.0040D1420040D13E |43 inc ebx0040D13F |49 dec ecx0040D140 ^|EB EB jmp short NotePad_.0040D12D0040D142 |8B06 mov eax,dword ptr ds:[esi]向上的跳转，在向上箭头的下一行下断点，具体这么做：0040D142 8B06 mov eax,dword ptr ds:[esi]在这一行上点右键——断点——运行到选定位置F8继续步进以下还会遇到几处向上的跳转，仿照上述设置断点即可一直调试到这里0040D3A9 8985 A8030000 mov dword ptr ss:[ebp+3A8],eax 0040D3AF 61 popad0040D3B0 75 08 jnz short NotePad_.0040D3BA0040D3B2 B8 01000000 mov eax,10040D3B7 C2 0C00 retn 0C0040D3BA 68 CC104000 push NotePad_.004010CC0040D3BF C3 retn0040D3C0 8B85 26040000 mov eax,dword ptr ss:[ebp+426]注意：0040D3BA 68 CC104000 push NotePad_.004010CC程序的OEP原因：一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

PEiD 查壳使用过程（教程）很多新手想要学汉化软件。

不知道从何学。

今天我就发个最基本的查壳教程。

当然咯。

此教程只对新手。

老鸟请飞过。

下面我就简单的介绍一下：新手想要学汉化。

第1步。

就是要查壳。

看看软件加的是什么壳。

什么是壳。

壳呢？就象我们人穿的外表的衣服。

穿了衣服。

我们也就看不到里面的。

下面我就用PEID 查壳软件来查壳：PEiD查壳软件介绍：PEiD 可以探测大多数的 PE 文件封包器、加密器和编译器。

当前可以探测 600 多个不同签名。

PEiD 是最强大的一个查壳工具。

汉化包中包含了绝大多数插件，并添加了某些插件必须的库文件（mfc70.dll、msvcr70.dll、rtl70.bpl、vcl70.bpl）。

查壳目标：SWF to MP3 Converter英文版查壳工具：PEiD首先：您要下载SWF to MP3 Converter英文版的软件和PEiD软件。

然后。

运行PEiD主程序。

如下图：看到了吗？这个就是PEiD主程序界面，（点击）那几个小数点的。

那几点小数点。

就是（浏览）的意思。

找到您要汉化的英文版软件的主程序。

如图：您找到英文版的主程序以后。

点（打开），如图：您找到英文版的主程序以后。

点（打开）后。

就会出现如下图4：上面的图，看到了没有。

说明这个软件是没有加壳的。

是用Microsoft Visual C++ 6.0软件编写的。

如果您查到了是aspack的。

那就说明是加了aspack的壳。

您可以用专门脱aspack脱壳机来脱壳。

不过。

用自动的脱壳机。

本人觉得不理想。

对于新版本。

根本就无法脱壳。

很多高手都是用OllyDBG V1.10 手工来脱壳的。

这里我就不多说了。

如果有出现未知的壳。

或别的。

可以用下面的方法来看看有没有加壳。

如图：看到上图了吗？可以点击红色线条处。

查看有没有加壳。

有些软件没有加壳。

但。

却无法显示出来。

所以呢？我们就要再看一下。

如图看到上面的图6吗？按图中的说法做。

peid 原理PEID（Portable Executable Identifier）是一种用于识别可执行文件格式的工具，它可以帮助分析人员确定一个可执行文件的属性和特征。

本文将介绍PEID的原理及其在软件分析领域的应用。

PEID的原理基于对可执行文件的结构和特征进行分析和识别。

可执行文件是计算机程序或软件的载体，如Windows操作系统中的程序文件（.exe）或动态链接库（.dll）。

PEID通过解析文件的头部信息，查找特定的标志和标识符，来确定文件是否符合PE文件格式。

PE文件格式是Windows操作系统中常见的可执行文件格式，它具有一定的结构和规范。

PEID会检查文件的文件头、节表、导入导出表等部分，用于判断文件是否遵循PE文件格式，并提取文件的属性和特征。

PEID的应用范围广泛。

对于安全研究人员和反病毒工程师来说，PEID可以帮助他们识别和分析未知的恶意软件样本。

通过比对已知的PE文件特征库，他们可以判断一个文件是否是恶意文件，并深入分析其行为和特征，从而改进安全防护策略。

此外，PEID还可用于软件开发中的调试和逆向工程。

开发人员可以使用PEID 来验证生成的可执行文件是否遵循PE文件格式，并确保文件的正确性和兼容性。

逆向工程师可以利用PEID来识别和解析未知的可执行文件，了解其中的执行逻辑和功能实现，以便进行进一步的逆向分析。

总结而言，PEID作为一种可执行文件识别工具，在软件分析领域中发挥着重要作用。

通过解析文件的结构和特征，PEID可以帮助人们识别和分析各种类型的可执行文件，包括恶意软件和正常的应用程序。

无论是安全研究、反病毒工程还是软件开发和逆向工程，PEID都是一个不可或缺的工具。

怎样使用脱壳软件使用脱壳软件是指将一个已经加壳和加密的程序进行去壳操作，以便分析其内部机制和功能。

脱壳操作可以帮助安全研究人员和逆向工程师了解加壳程序的运行方式，分析其潜在的恶意行为和风险，并可能发现潜在的漏洞和安全问题。

下面将介绍一般的脱壳过程和常用的脱壳软件。

一、脱壳软件使用的一般过程：2. 选择适合的脱壳软件：根据目标程序的特征和加壳方式选择合适的脱壳工具。

常见的脱壳软件有OllyDbg、x64dbg、IDA Pro等。

3.加载加壳程序到脱壳软件中：将获取到的加壳程序文件加载到所选的脱壳软件中，通常通过点击软件的“打开”或“载入”按钮来实现。

4.设置断点：在脱壳软件中设置断点，断点可以是程序入口点、解密函数等位置，以便在程序执行过程中暂停执行，并进行相应的分析。

5.运行加壳程序：运行被加载的加壳程序，让其开始执行。

通常，加壳程序在运行时会进行解密、反调试等处理，因此需要在适当的时机暂停执行。

6.分析解密过程：当加壳程序暂停时，可以通过逆向工程和调试工具分析解密过程。

可以查看内存中解密后的内容以及解密算法的具体实现，并将其保存下来。

7.脱壳并验证：经过分析和调试，获取到解密后的内容后，可以将其保存并进行验证。

验证过程可以是检查解密后的内容和原程序的差异、运行解密后的程序以验证其功能等。

8.分析被脱壳程序：对脱壳的程序进行进一步分析，可能需要使用其他反汇编工具、动态分析工具和调试工具等进行代码阅读、数据流分析、函数调用跟踪等操作。

9.编写报告和总结：根据脱壳过程和分析结果，编写报告和总结，记录分析过程中发现的问题、风险和建议。

二、常用的脱壳软件：1. OllyDbg：这是一款非常流行的反汇编和调试工具，适用于Windows系统，可用于脱壳加壳的程序、病毒、逆向等操作。

2. x64dbg：这是一款免费的32位和64位反汇编和调试工具，提供了易于使用的界面和强大的功能，适用于Windows系统。

3. IDA Pro：这是一款高级的静态反汇编工具，可用于对加密代码进行分析和逆向工程，支持多种CPU架构和文件格式。

脱Armadillo壳（两种脱法）标题:【原创】脱Armadillo壳（两种脱法）发帖人:Anwil时间: 2005-06-25 20:43原文链接:详细信息:【破解作者】 Anwil【作者邮箱】略【作者主页】略【使用工具】 Ollydbg、PEiD、LordPE、ImportREC 1.6、ResScope 1.94【破解平台】 WinXP【软件名称】图像格式转换专家 V2.3 Build 20050621【下载地址】【软件简介】批量图像格式转换的专门工具，对不同目录下的多个文件同时进行格式转换，支持所有网络常见图像格式间的相互转换，并专门对图像质量进行了优化，转换后的图像质量明显优于其他同类型软件，绝对保持您珍贵图像的质量。

【软件大小】 1999 KB【加壳方式】 Armadillo+X壳【保护方式】 NAG+时间限制【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）--------------------------------------------------------------------------------【脱壳过程】脱了Armadillo壳也有一段时间了，今天终于忍不住也来“班门弄斧”，希望各位不让扔我鸡蛋，就当是抛砖引玉吧，技术不高，多多海涵！设置Ollydbg忽略所有的异常选项,用IsDebug 1.4插件去掉Ollydbg的调试器标志。

0065E000 b> 60 pushad ; 载入程序后停在这里0065E001 E8 00000000 call batchfor.0065E006 0065E006 5D pop ebp一、由于是单进程的，所以不用使程序把自己当成子进程运行，因此第一步跳过了二、避开IAT加密下断：He GetModuleHandleA，F9运行77E5AD86 k> 837C24 04 00 cmp dword ptr ss:[e sp+4],0 ; 断在这，注意看堆栈77E5AD8B 0F84 37010000 je kernel32.77E5AEC 877E5AD91 FF7424 04 push dword ptr ss:[esp +4]77E5AD95 E8 F8050000 call kernel32.77E5B392在这里中断八次，然后Alt+F9返回程序，判断的时机很容易把握，很多高手都点明了^_^★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★0012D264 00DA519B /CALL 到 GetModuleHandleA 来自 00DA51950012D268 0012D3A0 \pModule = "kernel32.dll"0012D264 00DA519B /CALL 到 GetModuleHandleA 来自 00DA51950012D268 0012D3A0 \pModule = "user32.dll"0012D264 00DA519B /CALL 到 GetModuleHandleA 来自 00DA51950012D268 0012D3A0 \pModule = "MSVBVM60.DLL"0012CB68 66001BC5 /CALL 到 GetModuleHandleA 来自 66001BBF0012CB6C 6600F4D0 \pModule = "kernel32.dll"0012CB5C 6600281E /CALL 到 GetModuleHandleA 来自 660028180012CB60 6600F4FC \pModule = "KERNEL32"0012CB54 660031CE /CALL 到 GetModuleHandleA 来自 660031C80012CB58 00000000 \pModule = NULL0012D264 00DA519B /CALL 到 GetModuleHandleA 来自 00DA51950012D268 0012D3A0 \pModule = "advapi32.dll"0012D3D4 00DA5895 /CALL 到 GetModuleHandleA 来自 00DA588F ; 别犹豫了，返回的好时机，GO！0012D3D8 00000000 \pModule = NULL★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★00DA588B 8B5D 0C mov ebx,dword ptr ss:[ ebp+C]00DA588E 57 push edi00DA588F FF15 A450DC00 call dword ptr ds:[D C50A4] ; kernel32.GetModuleHandleA00DA5895 3945 08 cmp dword ptr ss:[ebp+ 8],eax ; //返回这里00DA5898 75 07 jnz short 00DA58A100DA589A BE C073DC00 mov esi,0DC73C000DA589F EB 60 jmp short 00DA590100DA58A1 393D A879DC00 cmp dword ptr ds:[ DC79A8],edi00DA58A7 B9 A879DC00 mov ecx,0DC79A8 00DA58AC 74 3C je short 00DA58EA ; Magic Jump00DA58AE 8B35 80D7DC00 mov esi,dword ptr ds:[DCD780]00DA58B4 A1 8016DD00 mov eax,dword ptr d s:[DD1680]1、找到Magic Jump ，只要将je改为jmp,就能得到正确的输入表00DA58AC 74 3C je short 00DA58EA ; 原来的代码改为00DA58AC EB 3C jmp short 00DA58EA ; 修改的Magic Jump2、Ctrl+F在当前位置查找命令：salc，当看到jmp、salc、salc 代码连在一起时，OK，这就是IAT解密已经完成的地方。