Detect it Easy(DIE)与ExeinfoPe两款查壳神器！

Hayden. · 发表于 2018-3-17 15:01

本帖最后由 Hayden. 于 2018-3-17 19:53 编辑

本人小白，最先接触的查壳工具就是这款耳熟能详的PEiD 0.95了，不过实验了一下有很多时候不能准确查出壳。
所以上下求索，找到了两款查壳神器，当前最新版分别是DIE 1.01和ExeinfoPe 0.0.4.9这两个版本，值得一提的是他们都支持多语言，包括简体中文。
PS:以下测试均在Windows10 64位中进行。
首先看一下ExeinfoPe 0.0.4.9这款查壳神器：
原始地址-----------------http://exeinfo.atwebpages.com/
软件功能强大，作者还提供了很多插件，软件背景可以自定义。
初始界面
QQ截图20180317143811.png

加载目标文件后

注意：更改语言后需重启才能生效。

软件历史》》
01.03.2018 - 带有1008/64签名的ver.0.0.4.9 +带有477签名的Ext_detector.dll v.0.4.7.7
16.10.2017 - ver.0.0.4.8（II）带有999/64签名+ Ext_detector.dll v.0.4.5.2带有452个签名
30.07.2017 - ver.0.0.4.7（III）与992/60签名+ Ext_detector.dll v.0.4.5.0与450签名
01.02.2017 - 带有977/57签名的ver.0.0.4.6（II）+带有420个签名的Ext_detector.dll v.0.4.2.0
04.11.2016-ver.0.0.4.4（4）与966/54签名+ Ext_detector.dll v.0.3.9.9共399签名
11.08.2016 - ver.0.0.4.3带有960/49签名，添加了Base64 exe Ripper，RSDS Ripper
25.05.2016 - ver.0.0.4.2带有941/46特征，添加了.pdb搜索，...
15.12.2015 - ver.0.0.4.1和902/35签名，主GUI已更改
10.10.2015 - ver.0.0.3.9带有883/28签名，增加了x64文件检测，Virustotal发送者，SHA256计算...
21.06.2015 - 带有860符号的ver.0.0.3.8，添加了.NET PE：保存到文件元数据流，许多修补程序

第二款软件Detect it Easy 1.01(简称DIE 1.01)：

这是一款开源软件，有兴趣的同学可以根据源代码自己DIY属于自己的查壳神器》》》https://github.com/horsicq/Detect-It-Easy
“DIE”是一个跨平台的应用程序，除Windows版本外，还有适用于Linux和Mac OS的可用版本。
许多此类程序（PEID，PE工具）允许使用第三方签名。不幸的是，这些签名只能通过预设掩码扫描字节，并且无法指定其他参数。结果，经常发生错误的触发。程序本身通常严格设置更复杂的算法。因此，要添加新的复杂检测，需要重新编译整个项目。除作者自己外，没有人可以改变检测算法。随着时间的推移，如果没有持续的支持，这些计划就会失去意义

Detect It Easy完全开放签名架构。您可以轻松添加自己的算法来检测或修改已存在的算法。这是通过使用脚本来实现的。脚本语言与JavaScript非常相似，任何了解编程基础知识的人都会很容易理解它的工作原理。可能有人可能会决定脚本工作非常缓慢。事实上，脚本运行速度比编译代码慢，但是，由于脚本引擎的良好优化，这不会造成任何特别的不便。开放式架构的可能性弥补了这些限制。

DIE存在三种版本。基本版本（“DIE”），Lite版本（“DIEL”）和控制台版本（“DIEC”）。所有这三个使用相同的签名，它们位于文件夹“db”中。如果你打开这个文件夹，将会找到嵌套的子文件夹（“二进制”，“PE”等）。子文件夹的名称对应于文件的类型。首先，DIE确定文件的类型，然后依次加载位于相应文件夹中的所有签名。目前该程序定义了以下类型：

MSDOS可执行文件MS-DOS
PE可执行文件Windows
ELF可执行文件Linux
MACH可执行文件Mac OS
文本文件
二进制文件

软件美观精致，初始界面
QQ截图20180317145054.png

加载目标文件后

从两款软件对我使用的这个目标文件的查壳情况壳可以看出，查到的情况基本相同，又可互补。
可以说是软件在手天下我有！
第一次发帖，大家多多关照，希望对大家有所帮助，不喜勿喷！

pzq · 发表于 2018-3-17 15:28

谢谢楼主谢谢

zjls9933 · 发表于 2018-3-17 15:32

那个比较厉害

610100 · 发表于 2018-3-17 15:36

有时候，peid也不错

Hayden. · 发表于 2018-3-17 15:44

610100 发表于 2018-3-17 15:36
有时候，peid也不错

PEID好久都没更新了！ExeinfoPE经常更新，签名也在不断增加中，DIE又是开源，三款软件各有优点，互补使用非常好！

610100 · 发表于 2018-3-17 16:41

Hayden. 发表于 2018-3-17 15:44
PEID好久都没更新了！ExeinfoPE经常更新，签名也在不断增加中，DIE又是开源，三款软件各有优点，互补使用 ...

互补用挺不错的

studyggm · 发表于 2018-3-17 16:46

标记一下，用时试一试

foxfire881 · 发表于 2018-3-17 17:13

确实是神器啊！

糊涂鬼 · 发表于 2018-3-17 18:20

谢谢楼主谢谢

wuailaomao · 发表于 2018-3-17 19:34

怎么说明上面是32位系统的

帐号		自动登录	找回密码
密码			注册[Register]

[PEtools] Detect it Easy(DIE)与ExeinfoPe两款查壳神器！

免费评分

个人中心