PEiD全插件版

PEiD全插件版（PEIdentifier）作为一款经典的查壳工具，凭借其强大的壳特征库和灵活的插件生态，成为安全研究人员和逆向工程师的必备工具。该版本集成了超过80个功能插件，不仅能精准识别470余种主流加壳类型（如UPX、ASPack、FSG等），还能快速判断程序的开发语言（如C++、Delphi、VB等），为后续脱壳和代码分析提供关键线索，欢迎有需要的用户前来下载体验！

详细介绍

1、程序主界面功能；

2、选择多文件扫描；

3、选择查看进程；

4、选择选项菜单后出现；

注：四种扫描模式的说明

1、普通扫描：只扫描入口处，忽略扩展签名库中签名的ep_only=选项

2、深度扫描：比普通扫描更广，更深入，但如果扩展签名库中签名的ep_only = true的话会忽略此条签名

3、核心扫描：整个文件扫描，速度可能会慢，但同样会忽略扩展签名库中签名选项中ep_only = true的签名

4、外部时扫描：使用外部签名库，但是使用以上三种扫描中的那一种取绝于选项中的选择，如果选择普通扫描，同样只有外部签名库扫描文件入口处，深度扫描则用普通扫描和深度扫描都扫一遍，如果是核心扫描，那么将先普通，再深度，后核心的扫描顺序进行扫描

5、选择如右下角的扩展信息后如下图所示

6、选对右下角的箭头标志

7、最后对PEID签名库中的签名所下解释（以下是两条独立的签名库，我们只对第一条作解释）

注释如下：

1、壳的名称可以随变写，不影响查壳，但也不能乱写，最起码自已要知道能看懂吧！！ !

2、红色圈出的签名部分"signature= "之后的部分才是签名，答名的提取是有讲究的，其中"??"是不确定的值，也就是说这种壳此处的值可以每次都会有变化，比如对两个文件同时加壳，此处的值可能会有两个，所以此处就用双问号表示（也就是一个字节），其化处当然是提取到是什么就添什么了。

3、蓝色圈出部分中"ep_only= "是不变的，其后面可以取两个值，true和false。当采用true的时候，任何扫描都只扫描程序入口，如果为false的时候，普通扫描同样只扫入口，深度和核心扫描将根据各自的扫描深度对文件内部代码进行对比扫描

PEiD全插件版功能

1.多级扫描模式
PEiD提供三种扫描策略：
正常扫描：快速检测入口点附近的壳特征，适合日常快速筛查；
深度扫描：扩展至整个PE文件，覆盖更多隐藏特征；
核心扫描：全面遍历文件所有数据，确保零遗漏，适合复杂场景。
2.智能脱壳与修复
内置通用脱壳器可处理大多数常见壳，若脱壳导致导入表损坏，系统会自动调用ImportREC工具进行修复，显著提升脱壳成功率。
3.多文件批量处理
支持文件夹递归扫描，可过滤非PE文件，并导出扫描结果，便于批量分析。
4.实时任务监控
任务查看模块可显示当前运行的进程和模块，支持强制终止可疑程序，增强操作安全性。
5.十六进制编辑器
集成Hex查看功能，允许用户直接编辑二进制数据，为注入代码或修改特征提供便利。
6.命令行增强
通过参数（如`hard`、`deep`）可灵活控制扫描模式，适合脚本化操作和自动化流程。

PEiD全插件版特色

1.插件生态系统
集成80余个插件，涵盖脱壳（如UnUPX、FSG脱壳器）、特征扩展（AddSignature）、OEP查找等功能，用户可根据需求自由组合。
2.跨平台兼容性
支持64位系统，但部分旧插件可能存在兼容性问题，建议在32位环境下进行高级操作。
3.自定义特征库
通过`userdb.txt`文件，用户可添加自定义壳特征或编程语言签名，持续扩展工具的检测能力。
4.多语言界面支持
提供简体中文等多语言版本，降低非英语用户的使用门槛。
5.深度算法优化
采用差错控制技术，确保扫描结果的准确性，避免误报或漏报。
6.脱壳自动化流程
部分插件可实现“一键脱壳+修复”的全流程操作，显著提升工作效率。

常见问题

1.插件冲突导致程序崩溃
原因：部分插件与系统或其他插件不兼容。
解决：通过分组删除插件（如5个一组）定位冲突文件，或尝试更新插件版本。
2.64位系统下插件失效
原因：部分旧插件未适配64位环境。
解决：改用32位系统运行，或重命名`plugins`目录以禁用冲突插件。
3.壳类型误判
原因：壳特征库未及时更新或壳经过变形处理。
解决：手动更新`userdb.txt`文件，或结合其他工具（如IDAPro）交叉验证。
4.脱壳后程序无法运行
原因：脱壳过程中破坏了程序关键结构。
解决：尝试使用专用脱壳插件，或手动修复导入表和重定位信息。
5.核心扫描速度过慢
原因：全面遍历文件导致资源消耗大。
解决：优先使用深度或正常扫描，仅在必要时启用核心模式。