PEiD查壳软件_安卓查壳工具

UPX壳

①经过UPX压缩的win32/pe文件，包含三个区段：UPX0, UPX1, .rsrc或UPX0, UPX1, UPX2(原文件本身无资源时)。
UPX0：在文件中没有内容，它的”Virtual size”加上UPX1的构成了原文件全部区段需要的内存空间，相当于区段合并。
②UPX1：起始位置为需解压缩的源数据，目标地址为UPX0基址。紧接着源数据块是”UPX stub”，即壳代码。一个典型的pushad/popad结构，所以人们常用”ESP定律”来脱UPX。
③.rsrc/UPX2：在原文件有资源时，含有原资源段的完整头部和极少部分资源数据(类型为ICON、GROUP_ICON、VERSION和MANIFEST)，以保证explorer.exe能正常显示图标、版本信息。还有就是UPX自己的Imports内容，导出表的库名和函数名(如果有的话)。

就是因为UPX是一个典型的pushad/popad结构，又要遵守堆栈平衡，即pushad之前的ESP需要跟popad之后的ESP相同，所以当我们看到UPX壳进入pushad后，对堆栈添加访问断点，当壳即将及执行结束即执行到popad要去还原堆栈时，必然会触发断点暂停下来，然后单步调试往下走，原始OEP就在附近了。

PEiD查壳软件介绍：

PEiD 可以探测大多数的 PE 文件封包器、加密器和编译器。当前可以探测 600 多个不同签名。

PEiD 是最强大的一个查壳工具。 下载地址：https://www.jb51.net/softs/32610.html

汉化包中包含了绝大多数插件，并添加了某些插件必须的库文件(mfc70.dll、msvcr70.dll、rtl70.bpl、vcl70.bpl)。

查壳目标：SWF to MP3 Converter英文版

查壳工具：PEiD

首先：您要下载SWF to MP3 Converter英文版的软件和PEiD软件。

然后。运行PEiD主程序。如下图：

图1：

看到了吗?这个就是PEiD主程序界面。

图2：

如上图所说的。点几个小数点的。那几点小数点。就是(浏览)的意思。找到您要汉化的英文版软件的主程序。看下面图3：

您找到英文版的主程序以后。点(打开)后。就会出现如下图4：

上面的图4看到了没有。说明这个软件是没有加壳的。是用Microsoft Visual C++ 6.0软件编写的。如果您查到了是aspack的。那就说明是加了aspack的壳。您可以用专门脱aspack脱壳机来脱壳。不过。用自动的脱壳机。本人觉得不理想。对于新版本。根本就无法脱壳。很多高手都是用OllyDBG V1.10 手工来脱壳的。这里我就不多说了。

如果有出现未知的壳。或别的。可以用下面的方法来看看有没有加壳。如图5：

图5：看到了吗?可以点击此处。查看有没有加壳。有些软件没有加壳。但。却无法显示出来。所以呢?我们就要再看一下。如图6：

看到上面的图6吗?按图中的说法做。点击各个按钮来查看有没有加壳。如果都没有加壳。那就可以汉化了。如果有一个加了壳。那就无法汉化。必须要脱掉。才能汉化。

象：Microsoft Visual C++ 6.0编写的软件。我们可以用：PE Explorer V1.98 R2汉化工具来汉化。也可以用：Passolo V7.0.01.1汉化工具来汉化。这里我就不多说了。

Passolo V7.0.01.1汉化工具是目前最好的汉化工具。

说明：由于现在很多软件编写用的软件。都不一样。所以呢?要看是用什么软件编写的。我们就用对应的汉化工具来汉化。如：Visual Basic 编写的软件。我们就要用VBLocalize V1.0 来汉化。现在这个软件有汉化版了。我以前有发过下载地址了。 作者:鳳舞九天

今天的文章PEiD查壳软件_安卓查壳工具分享到此就结束了，感谢您的阅读，如果确实帮到您，您可以动动手指转发给其他人。