怎么分析壳的类型

　　想要把一款软件里的壳脱掉，就必须先剖析该软件的壳是什么壳。这也是脱壳的第一步，那么要如何剖析壳？其实很简单，只要用相关东西剖析一下是什么壳，然后就可心中有数地跟踪剖析。小编在这儿引荐一款文件剖析东西有PEID。

　　2014-11-06peid 0.95

　　PEiD的GUI界面操作十分方便直观。它的原理是使用查特征串查找来完结辨认作业的。各种开发言语都有固定的发动代码部分，使用这点就可辨认出是何种言语编编译的。相同，不同的壳也有其特征码，使用这点就可辨认是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt ，用户可以自定义一些特征码，这样就可辨认出新的文件类型。

　　有些外壳程序为了诈骗PEiD等文件辨认软件，会假造发动代码部分，例如将入口代码改成与Visual C++ 6.0所编程程序入口处类似代码，即可到达诈骗目的。所以，文件辨认东西所给出的成果只是个参阅，文件是否被加壳处理过，还得跟踪剖析程序代码才可得知。目前Hying的壳PE-Armor假装才能是最强的：

PEiD分析不出类型的文件就报告是“Nothing found *”，如出现这情况一般都是未知壳或新版的壳。

下面PEiD识别出这个软件是用Asprotect 1.2x加的壳。

结语：有时，PEID会报“PE Win GUI”，Win GUI就是Windows图形用户界面程序统称，表明程序可能没加壳。但不排除也有加壳的可能性。

Tags：