查殼工具2016

Ⅰ 用查殼軟體查不到殼，事實上有是殼的，這種情況怎麼解決

偵測工具peid
是根據一定特徵的修改入口點特徵或加密後或加二個殼，或偽裝殼，都不能正解查到用的是什麼殼！用萬能脫殼機試下！或用OD載入！手動脫殼！1.PUSHAD （壓棧） 代表程序的入口點,
2.POPAD （出棧）代表程序的出口點，與PUSHAD想對應，一般找到這個OEP就在附近
3.OEP：程序的入口點，軟體加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。

方法一：單步跟蹤法
1.用OD載入，點「不分析代碼！」
2.單步向下跟蹤F8，實現向下的跳。也就是說向上的跳不讓其實現！（通過F4）
3.遇到程序往回跳的（包括循環），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點——>運行到所選）
4.綠色線條表示跳轉沒實現，不用理會，紅色線條表示跳轉已經實現！
5.如果剛載入程序，在附近就有一個CALL的，我們就F7跟進去，不然程序很容易跑飛，這樣很快就能到程序的OEP
6.在跟蹤的時候，如果運行到某個CALL程序就運行的，就在這個CALL中F7進入
7.一般有很大的跳轉（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會到程序的OEP。

Btw:在有些殼無法向下跟蹤的時候，我們可以在附近找到沒有實現的大跳轉，右鍵-->「跟隨」,然後F2下斷，Shift+F9運行停在「跟隨」的位置，再取消斷點，繼續F8單步跟蹤。一般情況下可以輕松到達OEP！

方法二：ESP定律法
ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬體訪問斷點，就會一下來到程序的OEP了！）
1.開始就點F8，注意觀察OD右上角的寄存器中ESP有沒突現（變成紅色）。（這只是一般情況下，更確切的說我們選擇的ESP值是關鍵句之後的第一個ESP值）
2.在命令行下：dd XXXXXXXX(指在當前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車！
3.選中下斷的地址，斷點--->硬體訪--->word斷點。
4.按一下F9運行程序，直接來到了跳轉處，按下F8，到達程序OEP。

方法三：內存鏡像法
1：用OD打開軟體！
2：點擊選項——調試選項——異常，把裡面的忽略全部√上！CTRL+F2重載下程序！
3：按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.按F2下斷點，然後按SHIFT+F9運行到斷點，接著再按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.上面的.CODE（也就是00401000處），按F2下斷點！然後按SHIFT+F9（或者是在沒異常情況下按F9），直接到達程序OEP！

方法四：一步到達OEP
1.開始按Ctrl+F,輸入：popad（只適合少數殼，包括UPX，ASPACK殼），然後按下F2，F9運行到此處
2.來到大跳轉處，點下F8，到達OEP！

方法五：最後一次異常法
1：用OD打開軟體
2：點擊選項——調試選項——異常，把裡面的√全部去掉！CTRL+F2重載下程序
3：一開始程序就是一個跳轉，在這里我們按SHIFT+F9，直到程序運行，記下從開始按SHIFT+F9到程序運行的次數m！
4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數為程序運行的次數m-1次）
5：在OD的右下角我們看見有一個"SE 句柄"，這時我們按CTRL+G，輸入SE 句柄前的地址！
6：按F2下斷點！然後按SHIFT+F9來到斷點處！
7：去掉斷點，按F8慢慢向下走！
8：到達程序的OEP！

方法六：模擬跟蹤法
1：先試運行，跟蹤一下程序，看有沒有SEH暗樁之類
2：ALT+M打開內存鏡像，找到（包含=SFX,imports,relocations）

內存鏡像，項目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check 00400000
區段=.aspack
包含=SFX,imports,relocations
類型=Imag 01001002
訪問=R
初始訪問=RWE

3：地址為0054B000，如是我們在命令行輸入tc eip<0054B000,回車，正在跟蹤ing。。

Btw:大家在使用這個方法的時候，要理解他是要在怎麼樣的情況下才可以使用

方法七：「SFX」法
1：設置OD，忽略所有異常，也就是說異常選項卡裡面都打上勾
2：切換到SFX選項卡，選擇「位元組模式跟蹤實際入口（速度非常慢）」，確定。
3：重載程序（如果跳出是否「壓縮代碼？」選擇「否」，OD直接到達OEP）
如何分辨加密殼和壓縮殼，通用特點，Od載入時有入口警告或詢問是壓縮程序嗎？普通壓縮殼Od調試時候沒有異常，加密殼全部有反跟蹤代碼，會有許多SEH陷阱使OD調試時產生異常。
找OEP的一般思路如下：
先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常。
外殼解壓代碼起始點如果是

pushfd
pushad

跟蹤時如果有發現

popad
popfd

對應
有些殼只有

pushad

和

popad

相對應
附近還有

retn
jmp

等指令，發生跨斷跳躍一般就到了OEP處。
當然也有其他的，如 je OEP等等，一般都是段之間的大跳轉，OD的反匯編窗口裡都是同一個段的內容，所以更好區別是否是段間跳轉。

找Oep時注意兩點。
1、單步往前走，不要回頭。
2、觀察。注意poshad、poshfd,popad、popfd等，和外殼代碼處對應，注意地址發生大的變化。單步跟蹤什麼時候F8走，F7,F4步過？

這里我說說關於F8(Step Over)和F7(Step in)的一般方法，粗跟的時候一般都是常用F8走，但是有些call是變形的Jmp，此時就需要F7代過，區別是否是變形Jmp的一個簡單方法是比較call的目標地址和當前地址，如果兩者離的很近，一般就是變形Jmp了，用F7走。對於Call的距離很遠，可以放心用F8步過，如果你再用F7步過，只是浪費時間而已。F8步過對壓縮殼用的很多，F7步過加密殼用的很多，如果用F8一不小心就跑飛（程序運行），跟蹤失敗。

加密殼找Oep
對於加密殼，我的方法一般是用OD載入，鉤掉所有異常（不忽略任何異常，除了忽略在KERNEL32 中的內存訪問異常打勾。有時由於異常過多可以適當忽略一些異常），運行，數著用了多少次Shift+F9程序運行，顯然最後一次異常後，程序會從殼跳到OEP開始執行，這就是我們尋找OEP的一個關鍵，如果程序 Shift+F9後直接退出，很明顯加密殼檢測調試器，最簡單的應付方法就是用OD插件隱藏OD

Ⅱ 病毒分析所需要的工具

1.Regfix 這裡面收集了金山IE修復和瑞星注冊表修復工具。
2.IceSword (冰刃) 這版本有點老了(1.04的)不過新版本應用有危險所以放穩定的.內部功能是十分強大，用於查探系統中的幕後黑手-木馬後門，並作出處理。使用了大量新穎的內核技術，使得這些後門躲無所躲。
3.HijackThis 能夠掃描注冊表和硬碟上的特定文件，找到一些惡意程序「劫持」瀏覽器，各代碼作用可參照幫助。壓縮包中放了漢化版和原版.
4.ResScope 一個類似 eXeScope 的軟體資源分析和編輯工具，功能已超過 eXeScope。
5.PEID 是最強大的一個查殼工具。增加WinNT平台下的自動脫殼器插件,可以應對現在大部分的軟體脫殼.
6.ServiWin 程序可以顯示已安裝在您的系統中的服務和驅動程序列表。允許您方便地控制服務和驅動程序的狀態，更改服務和驅動程序的啟動類型，以不同的顏色區分不同的狀態和啟動類型，並可以將列表保存為文件或網頁報告。
7.SrvInstw 可將任何程序加為Win系統服務的軟體,也可以卸載系統服務或驅動! 手動清理病毒要用到.
8.SniffPass可以捕捉本機和區域網中POP3, IMAP4, SMTP, FTP, 和 HTTP等協議的密碼。打開後按F9捕捉方式選擇winpcap...下面是你的網卡。可以用來捕捉木馬發送的密碼.
9.WSockExpert 嗅探工具.自己學怎麼用吧....
10.CapExpert 抓包工具。比上面的WSockExpert厲害，分析可疑數據，只要是馬，一定會向外或向內發送或接收數據的.可以檢查，跟蹤灰鴿子等後門效果特好，能查到對方IP...

上面是網上查來的 不知道專業查毒用什麼工具 但對非專業查毒這些工具已經夠全面了
另外我再推薦四個軟體
1.Ashampoo UnInstaller Platinum Suite(小巧而強大的系統監視及完美清理工具)
2.RegSnap(注冊表監控對比工具)
3.Iris(嗅探工具)
4.C32Asm( 反編譯)
一般你開上上面3個工具 運行病毒 就基本能知道病毒的行為了 知道它做了什麼 當然也就知道你該怎麼清除它 這應該屬於查到毒之後的殺毒范疇

然後就是怎麼定義病毒 （定義病毒的特徵碼）
這個不是很了解 不同殺毒軟體定義不同 習慣也不同 比如諾頓喜歡在PE文件頭部定義 有些殺毒軟體在病毒中間定義 但特徵碼不會很長
可能要用到下面的工具
PEID 查殼的 病毒98%都是加了殼的 當然要脫了才能分析
怎麼脫殼就是可以開一門課了
然後C32Asm 反編譯一下 然後就要用匯編知識來分析了 （我不會匯編。。。）

差不多這樣吧,希望對你有幫助

Ⅲ 如何查看軟體是否還有殼

一般出現像Microsoft Visual Basic 5.0 / 6.0、Microsoft Visual C++ 7.0 [Debug]這種明文編譯工具的就屬於沒加殼的，而出現者轎一些常見殼名或什麼也沒發現的就屬於已經加殼了的脫信談殼後首坦肆的不能運行 去查看入口是否改動

Ⅳ 大神.NET查殼工具都有哪些

Reflector 這個我開發中都用到,.net反編譯工具,基本都是它。

Ⅳ 萬能脫殼工具如何使用

問題一：軟體破解有沒有通用萬能的脫殼的好工具？asprotect殼有什麼工具可以脫掉？ （一）.殼的概念
作者編好軟體後,編譯成exe可執行文件。 1.有一些版權信息需要保護起來,不想讓別人隨便改動,如作者的姓名等，即為了保護軟體不被破解，通常都是採用加殼來進行保護。 2.需要把程序搞的小一點,從而方便使用。於是,需要舉逗岩用到一些軟體,它們能將exe可執行文件壓縮, 3.在黑客界給木馬等軟體加殼脫殼以躲避殺毒軟體。
實現上述功能,這些軟體稱為加殼軟體。
（二）.加殼軟體最常見的加殼軟體ASPACK ,UPX,PEpact 不常用的加殼軟體WWPACK32；PE-PACK ；PETITE ；NEOLITE
（三）.偵測殼和軟體所用編寫語言的軟體，因為脫殼之前要查他的殼的類型。 1.偵測殼的軟體fileinfo.exe 簡稱fi.exe(偵測殼的能力極強) 2.偵測殼和軟體所用編寫語言的軟體language.exe(兩個功能合為一體,很棒) 推薦language2000中文版（專門檢測加殼類型） 3.軟體常用編寫語言Delphi,VisualBasic(VB)---最難破,VisualC(VC)
（四）脫殼軟體。 軟體加殼是作者寫完軟體後，為了保護自己的代碼或維護軟體產權等利益所常用到的手段。目前有很多加殼工具，當然有盾，自然就有矛，只要我們收集全常用脫殼工具，那就不怕他加殼了。軟體脫殼有手動脫殼和自動脫殼之分，下面我們先介紹自動脫殼，因為手動脫殼需要運用匯編語言，要跟蹤斷點等，不適合初學者，但我們在後邊將稍作介紹。
加殼一般屬於軟體加密，現在越來越多的軟體經過壓縮處理，給漢化帶來許多不便，軟體漢化愛好者也不得不學習掌握這種技能。現在脫殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有一定水平要求，涉及到很多匯編語言和軟體調試方面的知識。而自動就是用專門的脫殼工具來脫，最常用某種壓縮軟體都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付，最流行的是PROCDUMP v1.62 ，可對付目前各種壓縮軟體的壓縮檔。在這里介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施，供大家參考： 脫殼的基本原則就是單步跟蹤，只能往前，不能往後。脫殼的一般流程是:查殼->尋找OEP->Dump->修復 找OEP的一般思路如下： 先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常，找到對應的popad後就能到入口，跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟體加密，下一步我們就要分析加密軟體的名稱、版本。因為不同軟體甚至不同版本加的殼，脫殼處理的方法都不相同。
常用脫殼工具： 1、文件分析工具（偵測殼的類型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、mp工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件編指吵輯工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脫殼專用工具：Caspr(ASPr V1.1-V1.2有效)，Rad(只對......>>

問題二：軟體如何脫殼，用什麼軟體脫殼 首先你要檢查一下加的什麼殼，要是你檢測時候發現是VC++寫的，那就說明沒加殼，自然就不需要脫殼。用什麼加的殼，先PEid查看一下，然後再去找專門的脫殼工具,一旦檢測出殼的種類，就可以脫殼了。

問題三：萬能脫殼工具QuickUnpack怎麼脫殼 (QuickUnpack)使用方法
1、點擊【打開文件】選擇要脫殼的文件
2、點擊【連接進程】選擇要連接的進程和模板
3、點擊【完全脫殼】開始脫殼

問題四：軟體破解脫殼法 什麼是脫殼技術？正御
在一些電腦軟體里有一段專門負責保護軟體不被非法修改或反編譯的程序。它們一般都是先於程序運行拿到控制權，然後完成它們保護軟體的任務。就像動植物的殼一般都是在身體外面一樣理所當然（但後來也出現了所謂的「殼中帶籽」的殼）。由於這段程序和自然界的殼在功能上有很多相同的地方，基於命名的規則，大家就把這樣的程序稱為「殼」了。就像電腦病毒和自然界的病毒一樣，其實都是命名上的方法罷了。從功能上抽象，軟體的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發，殼是一段執行於原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……。當加殼後的文件執行時，殼這段代碼先於原始程序運行，他把壓縮、加密後的代碼還原成原始程序代碼，然後再把執行權交還給原始代碼。 軟體的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程序真正的OEP（入口點，防止被破解）。關於「殼」以及相關軟體的發展歷史請參閱吳先生的《一切從「殼」開始》。
（一）殼的概念：作者編好軟體後，編譯成exe可執行文件。
1.有一些版權信息需要保護起來，不想讓別人隨便改動如作者的姓名，即為了保護軟體不被破解，通常都是採用加殼來進行保護。
2.需要把程序搞的小一點，從而方便使用。於是需要用到一些軟體，它們能將exe可執行文件壓縮。
3.在黑客界給木馬等軟體加殼脫殼以躲避殺毒軟體。實現上述功能，這些軟體稱為加殼軟體。
（二）加殼軟體最常見的加殼軟體ASPACK ，UPX，PEpact 不常用的加殼軟體WWPACK32；PE-PACK；PETITE NEOLITE
（三）偵測殼和軟體所用編寫語言的軟體，因為脫殼之前要查他的殼的類型。
1.偵測殼的軟體 fileinfo.exe 簡稱 fi.exe (偵測殼的能力極強)。
2.偵測殼和軟體所用編寫語言的軟體language.exe(兩個功能合為一體，很棒)推薦。language2000中文版(專門檢測加殼類型)。
3.軟體常用編寫語言Delphi；VisualBasic (VB)最難破；VisualC (VC)。
（四）脫殼軟體。
軟體加殼是作者寫完軟體後，為了保護自己的代碼或維護軟體產權等利益所常用到的手段。目前有很多加殼工具，當然有盾，自然就有矛，只要我們收集全常用脫殼工具，那就不怕他加殼了。軟體脫殼有手動脫和自動脫殼之分，下面我們先介紹自動脫殼，因為手動脫殼需要運用匯編語言，要跟蹤斷點等，不適合初學者，但我們在後邊將稍作介紹。
=======================================================================
加殼一般屬於軟體加密，現在越來越多的軟體經過壓縮處理，給漢化帶來許多不便，軟體漢化愛好者也不得不學習掌握這種技能。現在脫殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有一定水平要求，涉及到很多匯編語言和軟體調試方面的知識。而自動就是用專門的脫殼工具來脫，最常用某種壓縮軟體都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，例如：ASPACK，就需要UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付，最流行的是PROCDUMP v1.62，可對付目前各種壓縮軟體的壓縮檔。在這里介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進......>>

問題五：有沒有萬能的中文版脫殼機！怎麼使用！ 小生我怕怕工具包有你所要的，至於怎麼用望自學成才。

問題六：軟體脫殼工具有哪些 10分 常見的脫殼工具有兩種：
1。OD自帶脫殼插件
滑鼠右鍵菜單,選擇Dump debugged process->設置Entry Point->點擊Dump
2.LordPE
LordPE進程列表中選擇目標進程->滑鼠右鍵菜單,選擇完整脫殼;
脫殼步驟
查殼
使用PEID, PE-SCAN等查殼工具查殼
查找OEP
使用OllyDbg跟蹤調試找到OEP
脫殼
右鍵使用OLLYDBG自帶的脫殼插件
修復
脫下的程序如果不能執行,使用Import ReConstructor工具修復

問題七：萬能脫殼工具QuickUnpack怎麼脫殼 萬能脫殼工具(QuickUnpack)使用方法
1、點擊【打開文件】選擇要脫殼的文件
2、點擊【連接進程】選擇要連接的進程和模板
3、點擊【完全脫殼】開始脫殼

問題八：軟體如何脫殼 步驟1 檢測殼
殼的概念：
所謂「殼」就是專門壓縮的工具。
這里的壓縮並不是我們平時使用的RAR、ZIP這些工具的壓縮，殼的壓縮指的是針對exe、、和dll等程序文件進行壓縮，在程序中加入一段如同保護層的代碼，使原程序文件代碼失去本來面目，從而保護程序不被非法修改和反編譯，這段如同保護層的代碼，與自然界動植物的殼在功能上有很多相似的地方，所以我們就形象地稱之為程序的殼。
殼的作用：
1.保護程序不被非法修改和反編譯。
2.對程序專門進行壓縮，以減小文件大小，方便傳播和儲存。
殼和壓縮軟體的壓縮的區別是
壓縮軟體只能夠壓縮程序
而經過殼壓縮後的exe、和dll等程序文件可以跟正常的程序一樣運行
下面來介紹一個檢測殼的軟體
PEID v0.92
這個軟體可以檢測出 450種殼
新版中增加病毒掃描功能，是目前各類查殼工具中，性能最強的。
另外還可識別出EXE文件是用什麼語言編寫的VC++、Delphi、VB或Delphi等。
支持文件夾批量掃描
我們用PEID對easymail.exe進行掃描
找到殼的類型了
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
說明是UPX的殼
下面進行
步驟2 脫殼
對一個加了殼的程序，去除其中無關的干擾信息和保護限制，把他的殼脫去，解除偽裝，還原軟體本來的面目。這個過程就叫做脫殼。
脫殼成功的標志
脫殼後的文件正常運行，功能沒有損耗。
還有一般脫殼後的文件長度都會大於原文件的長度。
即使同一個文件，採用不同的脫殼軟體進行脫殼，由於脫殼軟體的機理不通，脫出來的文件大小也不盡相同。
關於脫殼有手動脫殼和自動脫殼
自動脫殼就是用專門的脫殼機脫 很簡單 按幾下就 OK了
手動脫殼相對自動脫殼 需要的技術含量微高 這里不多說了
UPX是一種很老而且強大的殼 不過它的脫殼機隨處就能找到
UPX本身程序就可以通過
UPX 文件名 －d
來解壓縮 不過這些需要的 命令符中輸入
優點方便快捷 缺點DOS界面
為了讓大家省去麻煩的操作 就產生了一種叫 UPX SHELL的外殼軟體
UPX SHELL v3.09
UPX 外殼程序！
目的讓UPX的脫殼加殼傻瓜化
註：如果程序沒有加殼 那麼我們就可以省去第二步的脫殼了，直接對軟體進行分析了。
脫完後 我們進行
步驟3
運行程序
嘗試注冊
獲取注冊相關信息
通過嘗試注冊 我們發現一個關鍵的字元串
「序列號輸入錯誤」
步驟4
反匯編
反匯編一般用到的軟體 都是 W32Da ***
W32da *** 對於新手 易於上手 操作簡單
W32Da *** 有很多版本 這里我推薦使用 W32Da *** 無極版
我們現在反匯編WebEasyMail的程序文件easymail.exe
然後看看能不能找到剛才的字元串
步驟5
通過eXeScope這個軟體來查看未能在w32da *** 中正確顯示的字元串信息
eXeScope v6.50
更改字體，更改菜單，更改對話框的排列，重寫可執行文件的資源，包括(EXE，DLL，OCX）等。是方便強大的漢化工具，可以直接修改用 VC++ 及 DELPHI 編制的程序的資源，包括菜單、對話框、字元串表等
新版可以直接查看 加殼文件的資源
我們打開eXeScope
找到如下字串符
122,序列號輸入錯誤
123,恭喜......>>

問題九：將一個軟體脫殼之後該怎麼能做呢、 脫殼後要修復 如果脫殼後 能正常使用 就不用修復了沒有殼後 可以修改程序裡面的標簽、標題、文本等....可以用 c32 這個軟體修改 查看原帖>>
求採納

問題十：軟體脫殼後用什麼軟體來修改 第一步，用fi243確定殼的類型，有自動脫殼工具的，用工具脫。否則第二步。
第二步，用bw2k確定程序的真正入口點OEP，不妨記為xxxx；若找不到，請試一試Softice + icemp： 使用Icemp 的/tracex 命令可能找到OEP 的地址；若還找不到，只能手動跟蹤，看你的功力和運氣了。
第三步，用trw裝入（load）程序，下bpx xxxx，g。中斷後用pemp命令脫殼，格式是
pemp c: est est.exe。不能中斷時運行superbpm，選中erase，重復第三步操作。若脫出來的test.exe可以運行，則脫殼完畢，否則第四步。
第四步， 用peditor 修正test.exe，用Import REConstructor v1.2 beta2修復輸入表，參照以下這篇文章
若還是不行，建議你用內存補丁或放棄暴破，去算注冊號吧。
以下以S-Spline 2.04為例，講一講手動脫殼和修復import表的具體操作步驟。S-Spline 2.04
第一步，用fi243確定殼的類型。fi243沒有GUI界面，是命令行程序，用法是這樣：
c:fi243fi s-spline.exe。
Fi已經檢測不出新版asprotect了，所以如果遇到檢測不出的類型，就有可能是asprotect。接著往下做吧。
第二步，用bw2k確定程序的真正入口點OEP，
運行bw2k，面板上的entry point顯示為00000000。按track鈕，再運行s-spline.exe，程序界面出來之後，bw2k的面板上entry point顯示為7e910，這就是入口點了。退出s-spline，我們又邁出了可喜的第二步。
第三步，運行SuperBPM，選中erase（默認為不選中），確保trw能夠中斷。
第四步，運行trw2k，按browse找到並選中s-spline.exe，按loader裝入。下bpx 47e910，g。trw彈出時輸入pemp c: est est.exe，退出trw（不退也行），但不要退出s-spline。在c: est下會找到test.exe。這個程序目前還不能運行，因為它的import表是被加密的。
第五步，用peditor修正test.exe。運行peditor，按browse找到test.exe，確定。再按sections，彈出一個窗口，顯示每個section的信息。在窗口中點右鍵，在彈出菜單中選mpfixer(RS=VS & RO=VO)，提示'DONE'，這時可以關閉peditor了。
第六步，運行ImportREC1.2beta2，在Attach to an Active Process下拉框中選中s-spline.exe，然後在左下方OEP中輸入7e910(就是EP-image base=47e910-400000)，按IAT AutoSearch。出現對話框Found Something!=》

Ⅵ Exeinfo PE怎麼使用

第一步，打開ExeinfoPE程序，選擇設置（Options）；
第二步，選擇shellintegration(外殼整合)。
ExEinfoPE是一款免費的Win32可執行程序檢查器，它可以檢查程序的打包方式，exe保護等，可以幫助開發人員對程序進行破解。
一種類PEiD查殼程序.它至今依然被更新.使它擁有鑒定相當多文件類別的能力.其整合豐富了PEiD的簽名庫. 官網下載 https://exeinfo-pe32.en.softonic.com/
使用方法 將需要獲取信息的文件拖到exeinfo pe上去 或者點擊「文件」圖標，進行瀏覽，找到那個文件. 在這里插入圖片描述
下面以buuctf-Reverse-esayre為例子，進行舉例： 將下載的easyre.exe直接拖入其中 在這里插入圖片描述 點擊扳手一樣的圖標，進行操作 在這里插入圖片描述 勾選Shell integration，外殼整合，再點擊0k 為了方便，可將語言選為Chinese Gb 點擊Rip這個按鈕，進行選擇，這里這么多按鈕，最後All in One是全部提取。
拓展資料
一、軟體簡介 Exeinfo PE是一款專業的程序查殼工具，主要用戶幫助用戶查看EXE DLL文件的編譯器信息、是否加殼、入口點地址、輸出表 輸入表等等PE信息，這款查殼工具還支持提取PE文件中的相關資源，Exeinfo PE無需安裝是一款不錯的查殼工具。
二、界面預覽圖 Exeinfo PE 查殼工具中文版 Exeinfo PE漢化版 如果您要某個軟體，或者想反匯編程序的話就需先查殼，exeinfo PE查殼軟體就是用來查殼的。 本次發布的這個Exeinfo PE漢化版，不需要安裝，是一個非常不錯的查殼工具。 Exeinfo PE可以分析可執行文件與動態鏈接庫的編程語言、與加密保護方式，可以讓開發者快速了解程序的相關信息。
三、Exeinfo PE支持查看PE信息、編譯信息、是否加殼、輸入輸出表、入口地址等，還可以提取PE文件中的相關資源、 Exeinfo PE0.0.4.4漢化版界面截圖 軟體簡介： exeinfo PE漢化版軟體的用戶界面是基於一個小的，標準的窗口中，你可以插入一個EXE或DLL文件用文件瀏覽器或拖放的方法 因此，你可以查看入口點，文件偏移、鏈接信息、文件大小、EP段，第一個位元組，子系統與覆蓋。但你還可以輸入十六進制數據查看本信息 此外，你可以打開一部分觀眾，你可以查看每個虛擬偏移與大小、原始數據的偏移量與大小，標志，名稱，第一個位元組(在十六進制模式)與部分狀態(可執行文件，可讀，可寫) 此外，您可以查看頭信息，圍繞T：表、安全例外、資源、調試，對目錄結構等參數，與表頭大小、數量的目錄，圖像庫，庫代碼，與更多 在選項，你可以使exeinfo PE EXE執行快速掃描，忽略錯誤，融入殼，總是上有一個大的界面。此外，你可以選擇皮膚、日誌文件與語言
四、功能介紹： 1、Exeinfo PE漢化版軟體支持提取圖片、EXE、壓縮包、MSI、SWF等等資源 2、Exeinfo PE軟體支持試程序的打包方式，exe保護等 3、這款查殼工具支持分析可執行文件與動態鏈接庫的編程語言、與加密保護方式
五、Exeinfo PE漢化版安裝方法： 1、在游俠下載下載Exeinfo PE軟體壓縮包解壓。 2、雙擊exe程序文件即可打開使用。
六、Exeinfo PE漢化版使用教程： 1、打開Exeinfo PE軟體，載入需要查殼的程序或者應用，下面的診斷位置就會顯示加殼信息了。 2、選擇Options設置選項，這里是高級選項。 Exeinfo PE的用戶界面是基於一個小的標准窗口，在其中可以使用文件瀏覽器或拖放方法插入EXE或DLL文件。從而，您可以查看入口點、文件偏移量、鏈接器信息、文件大小、EP段、開頭的位元組、子系統與覆蓋。 此外，還可以輸入HEX數據來查看二進制信息，還可以打開一個節查看器，其中可以查看每個虛擬偏移量與大小、原始數據偏移量與大小、標志、名稱、開頭的位元組(以十六進制模式)與節狀態(可執行、可讀、可寫)。您還可以查看頭信息，與對於TLS表、安全、異常、資源、調試、體系結構與其他參數的目錄信息，與頭大小、目錄的數量、圖像庫、映像基地址等等。

Ⅶ 軟體脫殼工具有哪些

常見的脫殼工具有兩種：

1。OD自帶脫殼插件

滑鼠右鍵菜單,選擇"Dump debugged process"->設置Entry Point->點擊"Dump"

2.LordPE
LordPE進程列表中選擇目標進程->滑鼠右鍵菜單,選擇"完整脫殼";

脫殼步驟

查殼
使用PEID, PE-SCAN等查殼工具查殼

查找OEP
使用OllyDbg跟蹤調試找到OEP

脫殼
右鍵使用OLLYDBG自帶的脫殼插件

修復
脫下的程序如果不能執行,使用Import ReConstructor工具修復

Ⅷ 怎麼判斷一個程序使用什麼語言寫的

使用查殼工具PEID 。

PEiD是很好用的查殼工具，可以很簡單的知道軟體是不是加了殼，有了這個PEiD ，幾乎可以偵測出軟體所有的殼，其數量已超過470 種PE文檔 的加殼類型和簽名，另外PEiD還可識別出exe文件是用什麼語言編寫的，比如：VC++、Delphi、VB或Delphi等。

peid功能介紹

1、正常掃描模式：PEiD可在PE文檔的入口點掃描所有記錄的簽名。

2、深度掃描模式：可深入掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣、更深入。

3、核心掃描模式：PEiD可完整地掃描整個PE文檔，建議將此模式作為最後的選擇。

(8)查殼工具2016擴展閱讀

PEID的主要模塊：

1、任務查看模塊：可以掃描並查看當前正在運行的所有任務和模塊，並可終止其運行；

2、多文件掃描模塊：可同時掃描多個文檔。選擇「只顯示PE文件」可以過濾非PE文檔；選擇「遞歸掃描」可掃描所有文檔，包括子目錄。

3、Hex十六進制查看模塊：可以以十六進制快速查看文檔。

Ⅸ 哪種查殼工具最好推薦一下！

PEiD 0.94 漢化版

PEiD可以探測大多數的PE文件封包器孫則、加密器和編譯器。當前可以探測600多種不同簽名。喊輪它是最強大的查殼工具。

漢化包中包含了絕大多數插件，並添加了某些插件必須的庫文件（mfc70.dll、msvcr70.dll、rtl70.bpl、vcl70.bpl）鄭凱信。

下載地址：
http://www.onlinedown.net/soft/24062.htm

Ⅹ 查殼工具是什麼意思

有的軟體為了保護自己的隱私，通常會塵派加上一個殼，也就是通常所說的壓縮或加密困爛殼。
查殼工具就是檢查派尺賀軟體是檢查這個軟體用什麼加密或什麼壓縮軟體進行加殼的。