查壳工具2016

Ⅰ 用查壳软件查不到壳，事实上有是壳的，这种情况怎么解决

侦测工具peid
是根据一定特征的修改入口点特征或加密后或加二个壳，或伪装壳，都不能正解查到用的是什么壳！用万能脱壳机试下！或用OD载入！手动脱壳！1.PUSHAD （压栈） 代表程序的入口点,
2.POPAD （出栈）代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。

方法一：单步跟踪法
1.用OD载入，点“不分析代码！”
2.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4）
3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP
6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
7.一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

Btw:在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键-->“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP！

方法二：ESP定律法
ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）
2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！
3.选中下断的地址，断点--->硬件访--->word断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。

方法三：内存镜像法
1：用OD打开软件！
2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！
3：按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE（也就是00401000处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！

方法四：一步到达OEP
1.开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处
2.来到大跳转处，点下F8，到达OEP！

方法五：最后一次异常法
1：用OD打开软件
2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序
3：一开始程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数m！
4：CTRL+F2重载程序，按SHIFT+F9（这次按的次数为程序运行的次数m-1次）
5：在OD的右下角我们看见有一个"SE 句柄"，这时我们按CTRL+G，输入SE 句柄前的地址！
6：按F2下断点！然后按SHIFT+F9来到断点处！
7：去掉断点，按F8慢慢向下走！
8：到达程序的OEP！

方法六：模拟跟踪法
1：先试运行，跟踪一下程序，看有没有SEH暗桩之类
2：ALT+M打开内存镜像，找到（包含=SFX,imports,relocations）

内存镜像，项目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check 00400000
区段=.aspack
包含=SFX,imports,relocations
类型=Imag 01001002
访问=R
初始访问=RWE

3：地址为0054B000，如是我们在命令行输入tc eip<0054B000,回车，正在跟踪ing。。

Btw:大家在使用这个方法的时候，要理解他是要在怎么样的情况下才可以使用

方法七：“SFX”法
1：设置OD，忽略所有异常，也就是说异常选项卡里面都打上勾
2：切换到SFX选项卡，选择“字节模式跟踪实际入口（速度非常慢）”，确定。
3：重载程序（如果跳出是否“压缩代码？”选择“否”，OD直接到达OEP）
如何分辨加密壳和压缩壳，通用特点，Od载入时有入口警告或询问是压缩程序吗？普通压缩壳Od调试时候没有异常，加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常。
找OEP的一般思路如下：
先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常。
外壳解压代码起始点如果是

pushfd
pushad

跟踪时如果有发现

popad
popfd

对应
有些壳只有

pushad

和

popad

相对应
附近还有

retn
jmp

等指令，发生跨断跳跃一般就到了OEP处。
当然也有其他的，如 je OEP等等，一般都是段之间的大跳转，OD的反汇编窗口里都是同一个段的内容，所以更好区别是否是段间跳转。

找Oep时注意两点。
1、单步往前走，不要回头。
2、观察。注意poshad、poshfd,popad、popfd等，和外壳代码处对应，注意地址发生大的变化。单步跟踪什么时候F8走，F7,F4步过？

这里我说说关于F8(Step Over)和F7(Step in)的一般方法，粗跟的时候一般都是常用F8走，但是有些call是变形的Jmp，此时就需要F7代过，区别是否是变形Jmp的一个简单方法是比较call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了，用F7走。对于Call的距离很远，可以放心用F8步过，如果你再用F7步过，只是浪费时间而已。F8步过对压缩壳用的很多，F7步过加密壳用的很多，如果用F8一不小心就跑飞（程序运行），跟踪失败。

加密壳找Oep
对于加密壳，我的方法一般是用OD载入，钩掉所有异常（不忽略任何异常，除了忽略在KERNEL32 中的内存访问异常打勾。有时由于异常过多可以适当忽略一些异常），运行，数着用了多少次Shift+F9程序运行，显然最后一次异常后，程序会从壳跳到OEP开始执行，这就是我们寻找OEP的一个关键，如果程序 Shift+F9后直接退出，很明显加密壳检测调试器，最简单的应付方法就是用OD插件隐藏OD

Ⅱ 病毒分析所需要的工具

1.Regfix 这里面收集了金山IE修复和瑞星注册表修复工具。
2.IceSword (冰刃) 这版本有点老了(1.04的)不过新版本应用有危险所以放稳定的.内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。使用了大量新颖的内核技术，使得这些后门躲无所躲。
3.HijackThis 能够扫描注册表和硬盘上的特定文件，找到一些恶意程序“劫持”浏览器，各代码作用可参照帮助。压缩包中放了汉化版和原版.
4.ResScope 一个类似 eXeScope 的软件资源分析和编辑工具，功能已超过 eXeScope。
5.PEID 是最强大的一个查壳工具。增加WinNT平台下的自动脱壳器插件,可以应对现在大部分的软件脱壳.
6.ServiWin 程序可以显示已安装在您的系统中的服务和驱动程序列表。允许您方便地控制服务和驱动程序的状态，更改服务和驱动程序的启动类型，以不同的颜色区分不同的状态和启动类型，并可以将列表保存为文件或网页报告。
7.SrvInstw 可将任何程序加为Win系统服务的软件,也可以卸载系统服务或驱动! 手动清理病毒要用到.
8.SniffPass可以捕捉本机和局域网中POP3, IMAP4, SMTP, FTP, 和 HTTP等协议的密码。打开后按F9捕捉方式选择winpcap...下面是你的网卡。可以用来捕捉木马发送的密码.
9.WSockExpert 嗅探工具.自己学怎么用吧....
10.CapExpert 抓包工具。比上面的WSockExpert厉害，分析可疑数据，只要是马，一定会向外或向内发送或接收数据的.可以检查，跟踪灰鸽子等后门效果特好，能查到对方IP...

上面是网上查来的 不知道专业查毒用什么工具 但对非专业查毒这些工具已经够全面了
另外我再推荐四个软件
1.Ashampoo UnInstaller Platinum Suite(小巧而强大的系统监视及完美清理工具)
2.RegSnap(注册表监控对比工具)
3.Iris(嗅探工具)
4.C32Asm( 反编译)
一般你开上上面3个工具 运行病毒 就基本能知道病毒的行为了 知道它做了什么 当然也就知道你该怎么清除它 这应该属于查到毒之后的杀毒范畴

然后就是怎么定义病毒 （定义病毒的特征码）
这个不是很了解 不同杀毒软件定义不同 习惯也不同 比如诺顿喜欢在PE文件头部定义 有些杀毒软件在病毒中间定义 但特征码不会很长
可能要用到下面的工具
PEID 查壳的 病毒98%都是加了壳的 当然要脱了才能分析
怎么脱壳就是可以开一门课了
然后C32Asm 反编译一下 然后就要用汇编知识来分析了 （我不会汇编。。。）

差不多这样吧,希望对你有帮助

Ⅲ 如何查看软件是否还有壳

一般出现像Microsoft Visual Basic 5.0 / 6.0、Microsoft Visual C++ 7.0 [Debug]这种明文编译工具的就属于没加壳的，而出现者轿一些常见壳名或什么也没发现的就属于已经加壳了的脱信谈壳后首坦肆的不能运行 去查看入口是否改动

Ⅳ 大神.NET查壳工具都有哪些

Reflector 这个我开发中都用到,.net反编译工具,基本都是它。

Ⅳ 万能脱壳工具如何使用

问题一：软件破解有没有通用万能的脱壳的好工具？asprotect壳有什么工具可以脱掉？ （一）.壳的概念
作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要举逗岩用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能,这些软件称为加壳软件。
（二）.加壳软件最常见的加壳软件ASPACK ,UPX,PEpact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE
（三）.侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版（专门检测加壳类型） 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)
（四）脱壳软件。 软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱壳和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。
加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。
常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、mp工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编指吵辑工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脱壳专用工具：Caspr(ASPr V1.1-V1.2有效)，Rad(只对......>>

问题二：软件如何脱壳，用什么软件脱壳 首先你要检查一下加的什么壳，要是你检测时候发现是VC++写的，那就说明没加壳，自然就不需要脱壳。用什么加的壳，先PEid查看一下，然后再去找专门的脱壳工具,一旦检测出壳的种类，就可以脱壳了。

问题三：万能脱壳工具QuickUnpack怎么脱壳 (QuickUnpack)使用方法
1、点击【打开文件】选择要脱壳的文件
2、点击【连接进程】选择要连接的进程和模板
3、点击【完全脱壳】开始脱壳

问题四：软件破解脱壳法 什么是脱壳技术？正御
在一些电脑软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像电脑病毒和自然界的病毒一样，其实都是命名上的方法罢了。从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。
（一）壳的概念：作者编好软件后，编译成exe可执行文件。
1.有一些版权信息需要保护起来，不想让别人随便改动如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。
2.需要把程序搞的小一点，从而方便使用。于是需要用到一些软件，它们能将exe可执行文件压缩。
3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。
（二）加壳软件最常见的加壳软件ASPACK ，UPX，PEpact 不常用的加壳软件WWPACK32；PE-PACK；PETITE NEOLITE
（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。
1.侦测壳的软件 fileinfo.exe 简称 fi.exe (侦测壳的能力极强)。
2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体，很棒)推荐。language2000中文版(专门检测加壳类型)。
3.软件常用编写语言Delphi；VisualBasic (VB)最难破；VisualC (VC)。
（四）脱壳软件。
软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。
=======================================================================
加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，例如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进......>>

问题五：有没有万能的中文版脱壳机！怎么使用！ 小生我怕怕工具包有你所要的，至于怎么用望自学成才。

问题六：软件脱壳工具有哪些 10分 常见的脱壳工具有两种：
1。OD自带脱壳插件
鼠标右键菜单,选择Dump debugged process->设置Entry Point->点击Dump
2.LordPE
LordPE进程列表中选择目标进程->鼠标右键菜单,选择完整脱壳;
脱壳步骤
查壳
使用PEID, PE-SCAN等查壳工具查壳
查找OEP
使用OllyDbg跟踪调试找到OEP
脱壳
右键使用OLLYDBG自带的脱壳插件
修复
脱下的程序如果不能执行,使用Import ReConstructor工具修复

问题七：万能脱壳工具QuickUnpack怎么脱壳 万能脱壳工具(QuickUnpack)使用方法
1、点击【打开文件】选择要脱壳的文件
2、点击【连接进程】选择要连接的进程和模板
3、点击【完全脱壳】开始脱壳

问题八：软件如何脱壳 步骤1 检测壳
壳的概念：
所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。
壳的作用：
1.保护程序不被非法修改和反编译。
2.对程序专门进行压缩，以减小文件大小，方便传播和储存。
壳和压缩软件的压缩的区别是
压缩软件只能够压缩程序
而经过壳压缩后的exe、和dll等程序文件可以跟正常的程序一样运行
下面来介绍一个检测壳的软件
PEID v0.92
这个软件可以检测出 450种壳
新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。
支持文件夹批量扫描
我们用PEID对easymail.exe进行扫描
找到壳的类型了
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
说明是UPX的壳
下面进行
步骤2 脱壳
对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。
脱壳成功的标志
脱壳后的文件正常运行，功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。
关于脱壳有手动脱壳和自动脱壳
自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了
手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了
UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到
UPX本身程序就可以通过
UPX 文件名 －d
来解压缩 不过这些需要的 命令符中输入
优点方便快捷 缺点DOS界面
为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外壳软件
UPX SHELL v3.09
UPX 外壳程序！
目的让UPX的脱壳加壳傻瓜化
注：如果程序没有加壳 那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。
脱完后 我们进行
步骤3
运行程序
尝试注册
获取注册相关信息
通过尝试注册 我们发现一个关键的字符串
“序列号输入错误”
步骤4
反汇编
反汇编一般用到的软件 都是 W32Da ***
W32da *** 对于新手 易于上手 操作简单
W32Da *** 有很多版本 这里我推荐使用 W32Da *** 无极版
我们现在反汇编WebEasyMail的程序文件easymail.exe
然后看看能不能找到刚才的字符串
步骤5
通过eXeScope这个软件来查看未能在w32da *** 中正确显示的字符串信息
eXeScope v6.50
更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用 VC++ 及 DELPHI 编制的程序的资源，包括菜单、对话框、字符串表等
新版可以直接查看 加壳文件的资源
我们打开eXeScope
找到如下字串符
122,序列号输入错误
123,恭喜......>>

问题九：将一个软件脱壳之后该怎么能做呢、 脱壳后要修复 如果脱壳后 能正常使用 就不用修复了没有壳后 可以修改程序里面的标签、标题、文本等....可以用 c32 这个软件修改 查看原帖>>
求采纳

问题十：软件脱壳后用什么软件来修改 第一步，用fi243确定壳的类型，有自动脱壳工具的，用工具脱。否则第二步。
第二步，用bw2k确定程序的真正入口点OEP，不妨记为xxxx；若找不到，请试一试Softice + icemp： 使用Icemp 的/tracex 命令可能找到OEP 的地址；若还找不到，只能手动跟踪，看你的功力和运气了。
第三步，用trw装入（load）程序，下bpx xxxx，g。中断后用pemp命令脱壳，格式是
pemp c: est est.exe。不能中断时运行superbpm，选中erase，重复第三步操作。若脱出来的test.exe可以运行，则脱壳完毕，否则第四步。
第四步， 用peditor 修正test.exe，用Import REConstructor v1.2 beta2修复输入表，参照以下这篇文章
若还是不行，建议你用内存补丁或放弃暴破，去算注册号吧。
以下以S-Spline 2.04为例，讲一讲手动脱壳和修复import表的具体操作步骤。S-Spline 2.04
第一步，用fi243确定壳的类型。fi243没有GUI界面，是命令行程序，用法是这样：
c:fi243fi s-spline.exe。
Fi已经检测不出新版asprotect了，所以如果遇到检测不出的类型，就有可能是asprotect。接着往下做吧。
第二步，用bw2k确定程序的真正入口点OEP，
运行bw2k，面板上的entry point显示为00000000。按track钮，再运行s-spline.exe，程序界面出来之后，bw2k的面板上entry point显示为7e910，这就是入口点了。退出s-spline，我们又迈出了可喜的第二步。
第三步，运行SuperBPM，选中erase（默认为不选中），确保trw能够中断。
第四步，运行trw2k，按browse找到并选中s-spline.exe，按loader装入。下bpx 47e910，g。trw弹出时输入pemp c: est est.exe，退出trw（不退也行），但不要退出s-spline。在c: est下会找到test.exe。这个程序目前还不能运行，因为它的import表是被加密的。
第五步，用peditor修正test.exe。运行peditor，按browse找到test.exe，确定。再按sections，弹出一个窗口，显示每个section的信息。在窗口中点右键，在弹出菜单中选mpfixer(RS=VS & RO=VO)，提示'DONE'，这时可以关闭peditor了。
第六步，运行ImportREC1.2beta2，在Attach to an Active Process下拉框中选中s-spline.exe，然后在左下方OEP中输入7e910(就是EP-image base=47e910-400000)，按IAT AutoSearch。出现对话框Found Something!=》

Ⅵ Exeinfo PE怎么使用

第一步，打开ExeinfoPE程序，选择设置（Options）；
第二步，选择shellintegration(外壳整合)。
ExEinfoPE是一款免费的Win32可执行程序检查器，它可以检查程序的打包方式，exe保护等，可以帮助开发人员对程序进行破解。
一种类PEiD查壳程序.它至今依然被更新.使它拥有鉴定相当多文件类别的能力.其整合丰富了PEiD的签名库. 官网下载 https://exeinfo-pe32.en.softonic.com/
使用方法 将需要获取信息的文件拖到exeinfo pe上去 或者点击“文件”图标，进行浏览，找到那个文件. 在这里插入图片描述
下面以buuctf-Reverse-esayre为例子，进行举例： 将下载的easyre.exe直接拖入其中 在这里插入图片描述 点击扳手一样的图标，进行操作 在这里插入图片描述 勾选Shell integration，外壳整合，再点击0k 为了方便，可将语言选为Chinese Gb 点击Rip这个按钮，进行选择，这里这么多按钮，最后All in One是全部提取。
拓展资料
一、软件简介 Exeinfo PE是一款专业的程序查壳工具，主要用户帮助用户查看EXE DLL文件的编译器信息、是否加壳、入口点地址、输出表 输入表等等PE信息，这款查壳工具还支持提取PE文件中的相关资源，Exeinfo PE无需安装是一款不错的查壳工具。
二、界面预览图 Exeinfo PE 查壳工具中文版 Exeinfo PE汉化版 如果您要某个软件，或者想反汇编程序的话就需先查壳，exeinfo PE查壳软件就是用来查壳的。 本次发布的这个Exeinfo PE汉化版，不需要安装，是一个非常不错的查壳工具。 Exeinfo PE可以分析可执行文件与动态链接库的编程语言、与加密保护方式，可以让开发者快速了解程序的相关信息。
三、Exeinfo PE支持查看PE信息、编译信息、是否加壳、输入输出表、入口地址等，还可以提取PE文件中的相关资源、 Exeinfo PE0.0.4.4汉化版界面截图 软件简介： exeinfo PE汉化版软件的用户界面是基于一个小的，标准的窗口中，你可以插入一个EXE或DLL文件用文件浏览器或拖放的方法 因此，你可以查看入口点，文件偏移、链接信息、文件大小、EP段，第一个字节，子系统与覆盖。但你还可以输入十六进制数据查看本信息 此外，你可以打开一部分观众，你可以查看每个虚拟偏移与大小、原始数据的偏移量与大小，标志，名称，第一个字节(在十六进制模式)与部分状态(可执行文件，可读，可写) 此外，您可以查看头信息，围绕T：表、安全例外、资源、调试，对目录结构等参数，与表头大小、数量的目录，图像库，库代码，与更多 在选项，你可以使exeinfo PE EXE执行快速扫描，忽略错误，融入壳，总是上有一个大的界面。此外，你可以选择皮肤、日志文件与语言
四、功能介绍： 1、Exeinfo PE汉化版软件支持提取图片、EXE、压缩包、MSI、SWF等等资源 2、Exeinfo PE软件支持试程序的打包方式，exe保护等 3、这款查壳工具支持分析可执行文件与动态链接库的编程语言、与加密保护方式
五、Exeinfo PE汉化版安装方法： 1、在游侠下载下载Exeinfo PE软件压缩包解压。 2、双击exe程序文件即可打开使用。
六、Exeinfo PE汉化版使用教程： 1、打开Exeinfo PE软件，载入需要查壳的程序或者应用，下面的诊断位置就会显示加壳信息了。 2、选择Options设置选项，这里是高级选项。 Exeinfo PE的用户界面是基于一个小的标准窗口，在其中可以使用文件浏览器或拖放方法插入EXE或DLL文件。从而，您可以查看入口点、文件偏移量、链接器信息、文件大小、EP段、开头的字节、子系统与覆盖。 此外，还可以输入HEX数据来查看二进制信息，还可以打开一个节查看器，其中可以查看每个虚拟偏移量与大小、原始数据偏移量与大小、标志、名称、开头的字节(以十六进制模式)与节状态(可执行、可读、可写)。您还可以查看头信息，与对于TLS表、安全、异常、资源、调试、体系结构与其他参数的目录信息，与头大小、目录的数量、图像库、映像基地址等等。

Ⅶ 软件脱壳工具有哪些

常见的脱壳工具有两种：

1。OD自带脱壳插件

鼠标右键菜单,选择"Dump debugged process"->设置Entry Point->点击"Dump"

2.LordPE
LordPE进程列表中选择目标进程->鼠标右键菜单,选择"完整脱壳";

脱壳步骤

查壳
使用PEID, PE-SCAN等查壳工具查壳

查找OEP
使用OllyDbg跟踪调试找到OEP

脱壳
右键使用OLLYDBG自带的脱壳插件

修复
脱下的程序如果不能执行,使用Import ReConstructor工具修复

Ⅷ 怎么判断一个程序使用什么语言写的

使用查壳工具PEID 。

PEiD是很好用的查壳工具，可以很简单的知道软件是不是加了壳，有了这个PEiD ，几乎可以侦测出软件所有的壳，其数量已超过470 种PE文档 的加壳类型和签名，另外PEiD还可识别出exe文件是用什么语言编写的，比如：VC++、Delphi、VB或Delphi等。

peid功能介绍

1、正常扫描模式：PEiD可在PE文档的入口点扫描所有记录的签名。

2、深度扫描模式：可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入。

3、核心扫描模式：PEiD可完整地扫描整个PE文档，建议将此模式作为最后的选择。

(8)查壳工具2016扩展阅读

PEID的主要模块：

1、任务查看模块：可以扫描并查看当前正在运行的所有任务和模块，并可终止其运行；

2、多文件扫描模块：可同时扫描多个文档。选择“只显示PE文件”可以过滤非PE文档；选择“递归扫描”可扫描所有文档，包括子目录。

3、Hex十六进制查看模块：可以以十六进制快速查看文档。

Ⅸ 哪种查壳工具最好推荐一下！

PEiD 0.94 汉化版

PEiD可以探测大多数的PE文件封包器孙则、加密器和编译器。当前可以探测600多种不同签名。喊轮它是最强大的查壳工具。

汉化包中包含了绝大多数插件，并添加了某些插件必须的库文件（mfc70.dll、msvcr70.dll、rtl70.bpl、vcl70.bpl）郑凯信。

下载地址：
http://www.onlinedown.net/soft/24062.htm

Ⅹ 查壳工具是什么意思

有的软件为了保护自己的隐私，通常会尘派加上一个壳，也就是通常所说的压缩或加密困烂壳。
查壳工具就是检查派尺贺软件是检查这个软件用什么加密或什么压缩软件进行加壳的。