查壳是解密的第一步,介绍几个工具,一个不好用,就换一个试试,其实我只知道PEiD,其他几个我只是看别人有介绍,就先翻译了。不过PEiD确实已经好几年没有更新过了,大家酌情使用。
1. PEiD
这是最著名的查壳工具了吧,至少我觉得挺有名。可以查找超过600种不同壳子的签名,可惜。。不更新了。
软件界面小巧简单,最省事的办法就是直接吧EXE或者DLL文件拖到软件界面里面去,即可完成默认查壳动作,软件界面上可以显示壳子的名称、入口点地址(entry point)、文件偏移量(file offset)、链接信息(linker information)、EP区域(这是什么意思,我目前还不知道)(EP section)、第一个字节(first bytes),以及选定文件的子系统信息(subsystem information)。
PEiD有三种不同的扫描模式:
- 正常模式(Normal Mode):通过文档签名扫描PE文件的入口地址。
- 深度模式(Deep Mode):通过文档签名扫描入口地址通常存在的区域。
- 硬汉模式(Hardcore Mode):通过文档签名遍历遍历文件以找到PE文件的入口地址。 软件也支持命令行模式,拖放操作,甚至可以将程序置于桌面顶部。
下载地址: PEiD
2. Exeinfo PE
Exeinfo PE相比PEiD来说更加强大,光从维护上这一点来说,就甩PEiD几条街啊,起码人家2015年11月还在维护更新。就算功能上没有前者好,但是。人家也可以改进啊。好了,废话太多了,Exeinfo PE不单可以显示壳子信息,并且可以显示入口点,文件便宜地址,链接信息,文件大小,EP区域,第一个字节位置,子系统,以及EXE文件的覆盖信息(overlay),并且其他选项更为丰富。
同样Exeinfo PE也支持选择文件,或者直接拖进去查壳。在程序的界面中,你可以让Exeinfo PE进行快速查壳,或者忽略EXE执行错误,程序也支持命令融合壳模式(integrate into the shell),和PEiD一样,程序可以置顶,打开登录模式,或者改变皮肤和默认使用的语言。
下载地址: Exeinfo PE
3. Language 2000
Language 2000是一个比较简单的查壳工具,可以显示编译器的名称,语言,作者,还有作者的地址。这也许有助于你确定壳子的类型,但是也就那样了。
这个程序可以探测 EXE DLL以及OCX类型文件的编译器/加密器/壳子。
下载地址:暂无。
参考资料
http://sumtips.com/2012/05/detect-identify-exe-compiler-packer.html