PEiD检测 不是有效的PE文件

已于 2022-12-09 17:32:18 修改
阅读量4.7k 收藏 5
点赞数 6
文章标签: 学习 安全 安全威胁分析
于 2022-12-09 11:17:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56705273/article/details/128249601
版权

在做逆向分析题目的时候用了好几次PEiD检测是否加壳,都显示不是有效的PE文件,在此记录一下原因

在这里插入图片描述
其实很简单,就是PEiD只支持检测32位的可执行文件,如果显示不是有效的PE文件,说明你的可执行文件为64位,不能用PEiD检测

下面使用Exeinfo PE查看,Exeinfo相当于PEiD的升级版,可查看64位的可执行文件

下载地址见评论(审核不通过,说我打广告QAQ)

下载后想使用中文,从右侧按钮的设置中,选择语言为中文即可
在这里插入图片描述
在这里插入图片描述

直接把64位可执行文件拖入即可查看信息,这里显示Not packed,即没有加壳,就可以直接用IDA进行调试分析啦~

哼哼唧唧007
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
使用程序判断一个文件是否是有效PE文件
bcbobo21cn的专栏
03-20 1082
判断一个文件是否为有效PE文件,判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是一个有效PE文件; VC6,单文档工程; void CIspeView::OnDraw(CDC* pDC) { CIspeDoc* pDoc = GetDocument(); ASSERT_VALID(pDoc); // TODO: add draw code for native data here...
PE文件-检验PE文件有效性--转自iczelion,附vc示范
jiangtongcn的专栏
07-16 1235
同样我首先附上Iczelion的PE文档:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们
PEiD 0.95 PE文件检测
10-16
最新版本功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名
PEID检测不出来的壳的脱法详解
12-23
PEID检测不出来的壳的脱法详解. 文件
bugku的ctf逆向入门练习(逆向入门)
song_10的博客
11-07 7254
bugku逆向第五题:逆向入门 下载文件后发现是一个exe的可执行文件,双击出现如下界面: 还是先查壳: 发现不是有效pe文件,用notpad打开试试: 发现是“image/png;base64”,猜测是经过base64加密的图片,将整段内容复制下来,base64转图片: 或者使用HTML的img标签的src属性(格式为:<img src "url"/>)...
bugku-逆向-6、逆向入门
Onlyone_1314的博客
09-26 6881
首先下载admin.exe文件,先用PEiD查壳 发现竟然不是有效PE文件,用010Editor打开: 发现前面有提示信息:data:image/png;base64,是base64转码的PNG图片,且其格式是HTML中引用Base64图片的格式,我们只要给它在最前面加上 闭合: 之后就可以把它作为HTML文件中引用的Base64图片打开: 扫描二维码: 得到flag:bugku{inde_9882ihsd8-0} 也可以直接在线Base64编码转图片https://tool.jisuapi.c
手写PE结构,提示不是有效的win32程序
05-21
自己模仿别人的写的,不知道哪里出错了,希望可以帮下
判断是不是PE文件
十年磨一剑,霜刃未曾试!
06-10 2545
判断是不是一个PE文件有很多种方法,我们用的方法是:先读取Dos头,判断e_magic是否等于"MZ",然后再读取PE文件头的头字节,判断是不是 "PE00"。这样就能确定是不是一个有效PE文件。代码如下://选择文件void CPEDlg::OnButton1() { // TODO: Add your control notification handler code here TCHAR tzFilter[] = _T("可执行文件(*.exe)|*.exe|所有文件(*.*)|*.*||"); C
PE文件有效性判断
zcgzdhxm的专栏
09-28 1079
  PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。
pescan3.31cn PEID Exeinfope petools
12-24
PEID是另一个著名的PE文件分析工具,它的主要功能是识别PE文件中的病毒签名和保护壳。PEID拥有一个庞大的特征库,可以识别出众多已知的加壳技术,如UPX、MzE、Themida等,这对于逆向工程师来说是脱壳过程中的关键...
peid0.95_en支持64位_peid_
10-03
功能说明peid0.95_en支持64位免费
目前最全插件最好的PEID查壳工具(汉化版)
05-04
解压到没用中文的文件夹下就可以实现PEID的汉化 目前来说这个是最全插件最新数据的版本了
PEID PE查看工具
03-11
PEID(Portable Executable Identifier)是一款著名的PE文件分析工具,主要用来识别Windows操作系统下的可执行文件(.exe、.dll等)的保护壳、加密方式、编译器信息等。这款工具对于逆向工程和恶意软件分析至关重要...
我写的PE格式查看软件 仿PEiD.zip
01-23
描述中的“我写的PE查看软件 仿PEiD.zip”进一步证实了这是一个个人开发的PE文件分析工具,它可能包含了PEiD的一些核心功能,比如头信息检查、节区分析、导入导出函数检测等,帮助用户了解PE文件的结构和内容。...
PEiD_0.95(PE工具)
01-09
在IT领域,对PE文件的理解和分析至关重要,因为它涉及到程序的运行、安全性和恶意软件检测等多个方面。 首先,我们要理解什么是PE文件格式。PE(Portable Executable)是Microsoft为Windows操作系统设计的一种可...
确定PE文件有效
gzfqh的专栏 →底层代码研究
04-16 2038
1 检查IMAGE_DOS_HEADER结构的e_magic成员的值是否等于“MZ”,也就是检查文件头第一个字的值是否等于IMAGE_DOS_SIGNATURE。为什么这样呢?用MC_ASCII转换工具进行转换,M->77(d)->4d(h) ,Z->90(d)->5A(h),合起来就是ZM->5A4D(h),而通过查看windows.inc的等值定义IMAGE_DOS_SIGNATURE equ
OllyDbg提示Not a valid PE file,****.exe‘ is probably not a 32-bit Portable Executable.
梦秋音
11-22 3563
Not a valid PE file File 'c:\******\Hello.exe' is probably not a 32-bit Portable Executable.Try to load it anyway? 第一次接触OllyDbg,用Code Block 写了一个控制台程序,编译后得到Hello.exe,用官网下载的OllyDbg打开该文件显示上面图片里的内容。 后来发现原来Hello.exe是64位文件????,而OllyDbg只能打开32位的文件。 想过下载64位
如何用程序判定一个PE文件是否加壳
p312011150的博客
06-27 6417
如何用程序判定一个PE文件是否加壳 Lenus2010-6-22 10:41 29100 由于工作原因,时间比较少上论坛来泡泡了。最近由于某些原因时间变得稍微宽裕了些,有空整理整理这几年的一些资料和文档。 感觉这个方向论坛上讨论得并不多,是这个方向没有什么使用价值呢,还是说太简单了大家都不愿意研究?总而言之,我个人感觉这个方向还是一个挺有趣的,所以发上来共享一下。 这篇
逆向-C++判定PE文件
写代码的小阿帆的博客
05-21 566
思路分析 经过前面的介绍,我们对PE文件结构已经有了大致了解,与其他文件的不同是DOS部首和PE文件头的内容,我们可以检测DOS_HEADER中的e_magic魔术字字段是否为“MZ”来判断是否为PE文件,但这还不够,如果有其他文件的起始字符也是“MZ”不就造成误判了么,所以我们还需验证PE文件头中的SINGATURE是否为“PE00",两者都满足,我们才认为该文件PE文件。 大致思路就是解析PE文件,根据其中的关键字来判断是否是PE文件,如果需要,我们还可以通过PE文件头中IMAGE_FILE_HEAD
分析peid,stud_pe,lordpe,peview不同工具软件的异同
最新发布
08-02
PEiD、Stud_PE、LordPEPEview都是用于分析与处理Windows可执行文件PE文件)的工具软件。它们具有一些共同点,也存在着一些不同之处。 首先,它们的共同点是都可以用于静态分析和提取PE文件的信息。通过这些工具,可以获取PE文件文件头信息、节表信息、导入导出表信息、资源信息以及其他相关信息。这些信息可以帮助分析人员了解PE文件的结构、功能以及可能存在的安全问题。 其次,它们都对文件的编码进行了逆向工程,以便识别和获得其中包含的一系列隐藏的关键信息。这些信息有助于判断文件是否包含有害代码,或者文件的编写者、编译器以及其他技术细节等。 然而,它们也存在一些不同之处。PEiD是一个签名识别工具,用于分析和识别可执行文件的加壳特征,以及是否被加密或使用了特定的压缩算法。它通过与内置的数据库进行匹配,从而确定文件的加壳类型。Stud_PE是一个功能强大的PE编辑器,它可以对PE文件进行修改、调试和查看。它可以进行反汇编、脱壳等操作,功能较为全面。LordPE是一款专门用于PE文件的调试和反汇编工具,它具有较强的动态分析功能,可以在运行时跟踪文件的行为和调用关系。PEview是一个基本的PE文件查看器,主要用于查看PE文件的头部信息、导入导出表、资源以及节表等。 综上所述,尽管PEiD、Stud_PE、LordPEPEview都是用于PE文件分析工具,但它们在功能和用途上存在着一定的差异。用户可以根据自己的需求选择适合的工具来进行相应的PE文件分析工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值