PEiD

　　PEiD怎么用?

　　PEiD查壳工具最常用的插件就是脱壳，PEiD的插件里有个通用脱壳器，能脱大部分的壳，如果脱壳后import表损害，还可以自动调用ImportREC修复import表，点击"=>"打开插件列表，如图：

　　根据插件列表，还可以专门针对一些壳脱壳，效果比通用脱壳器会好

　　点击EP后的>可以展开Section块列表:

　　再在Section块表上右击鼠标，可以看到以下菜单选项：

　　点击搜索全0处，会把所有块中全0的区块搜出来，这样我们可以在这些代码上加自己想加的code，非常方便:

　　直接用WinHex改就行了

　　PEiD打不开就停止工作？

　　一、特征码定位法删除问题插件

　　1.以win10系统下的peid为例。运行后提示已停止，如下图所示。

　　2.所谓特征码定位法，类似于早期远程控制软件的免杀操作，逐个的删除插件文件，定位出有问题的插件，将有问题插件删除后保证peid的正常运行 。具体来说，首先用户可以将peid下的plugins文件夹删除，看是否能正常运行。

　　3.删除plugins文件夹，正常运行peid0.94，说明问题出在plugins目录。但是plugins目录是很有用的，你不可能全部将其删除，所以需要定位有问题的DLL插件。

　　4.具体来说将plugins目录下的插件分成5个或者10个1组，删除看能否正常运行peid。正常说明有问题的dll插件文件就在删除的5个DLL文件中，然后再1个1个的恢复到plugins文件夹，直到找到问题dll文件。

　　5.我这里以5个DLL插件文件为一组进行删除，删除后发现peid正常运行，说明导致错误的插件就在删除的这个5DLL文件中。

　　6.然后一个一个的恢复到plugins目录，看是否正常运行peid，如果出现错误就可以定位出有问题的DLL。结合上面的图，我将xinfo.dll的文件复制到plugins目录下，peid就不可以正常运行了，说明xinfo.dll这个插件有问题。

　　7.删除xinfo.dll后就可以正常使用peid。

　　二、使用虚拟机安装可使用系统

　　基本上现在老的逆向工程类的工具，都可以正常的运行于windows xp的系统，所以如果实在不能解决，则考虑在虚拟机安装windows xp系统。