PEiD检测 不是有效的PE文件

已于 2022-12-09 17:32:18 修改
阅读量6.5k 收藏 5
点赞数 7
文章标签: 学习 安全 安全威胁分析
于 2022-12-09 11:17:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56705273/article/details/128249601
版权

在做逆向分析题目的时候用了好几次PEiD检测是否加壳,都显示不是有效的PE文件,在此记录一下原因

在这里插入图片描述
其实很简单,就是PEiD只支持检测32位的可执行文件,如果显示不是有效的PE文件,说明你的可执行文件为64位,不能用PEiD检测

下面使用Exeinfo PE查看,Exeinfo相当于PEiD的升级版,可查看64位的可执行文件

下载地址见评论(审核不通过,说我打广告QAQ)

下载后想使用中文,从右侧按钮的设置中,选择语言为中文即可
在这里插入图片描述
在这里插入图片描述

直接把64位可执行文件拖入即可查看信息,这里显示Not packed,即没有加壳,就可以直接用IDA进行调试分析啦~

使用程序判断一个文件是否是有效PE文件
bcbobo21cn的专栏
03-20 1155
判断一个文件是否为有效PE文件,判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是一个有效PE文件; VC6,单文档工程; void CIspeView::OnDraw(CDC* pDC) { CIspeDoc* pDoc = GetDocument(); ASSERT_VALID(pDoc); // TODO: add draw code for native data here...
PE文件-检验PE文件有效性--转自iczelion,附vc示范
jiangtongcn的专栏
07-16 1304
同样我首先附上Iczelion的PE文档:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们
peid0.95_en支持64位_peid_
10-03
功能说明peid0.95_en支持64位免费
bugku-逆向-6、逆向入门
Onlyone_1314的博客
09-26 7058
首先下载admin.exe文件,先用PEiD查壳 发现竟然不是有效PE文件,用010Editor打开: 发现前面有提示信息:data:image/png;base64,是base64转码的PNG图片,且其格式是HTML中引用Base64图片的格式,我们只要给它在最前面加上 闭合: 之后就可以把它作为HTML文件中引用的Base64图片打开: 扫描二维码: 得到flag:bugku{inde_9882ihsd8-0} 也可以直接在线Base64编码转图片https://tool.jisuapi.c
PEiD 0.95 PE文件检测
10-16
最新版本功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名
手写PE结构,提示不是有效的win32程序
05-21
自己模仿别人的写的,不知道哪里出错了,希望可以帮下
判断是不是PE文件
十年磨一剑,霜刃未曾试!
06-10 2608
判断是不是一个PE文件有很多种方法,我们用的方法是:先读取Dos头,判断e_magic是否等于"MZ",然后再读取PE文件头的头字节,判断是不是 "PE00"。这样就能确定是不是一个有效PE文件。代码如下://选择文件void CPEDlg::OnButton1() { // TODO: Add your control notification handler code here TCHAR tzFilter[] = _T("可执行文件(*.exe)|*.exe|所有文件(*.*)|*.*||"); C
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档
最新发布
01-15
PEiD的工作原理主要是通过对PE文件的头部信息、导入表、导出表等关键区域进行扫描,寻找特定的签名和模式,以判断文件是否被加壳以及使用的是哪种类型的壳。它支持多种常见的加壳技术,如UPX(Ultimate Packer for ...
PEiD: 深度分析PE文件外壳及编程语言工具
PEiD的一个核心功能是检测PE文件上是否加壳,以及壳的类型。外壳是一种程序,它在运行之前会首先加载并执行,用于保护或隐藏原始可执行文件的内容。常见的外壳类型包括UPX、ASPACK、PECompact等。通过外壳检测,...
PEiD工具:揭秘PE文件加密与编译签名
根据给定文件信息,我们可以...标签“找壳”强调了PEiD检测加壳工具的能力。而压缩包中的文件列表提供了对工具本身的描述和使用说明的文档。这些信息共同构成了理解PEiD这一工具及其在信息安全领域应用的丰富背景知识。
目前最全插件最好的PEID查壳工具(汉化版)
05-04
解压到没用中文的文件夹下就可以实现PEID的汉化 目前来说这个是最全插件最新数据的版本了
PEiD 0.95 中文版:超过470种PE文件检测工具
用户只需运行PEID,然后将待检测PE文件拖放到PEID窗口中或者通过文件菜单选择文件PEID即会自动进行分析并显示结果。 7. **维护更新**:由于加壳技术不断更新和演进,PEID的维护者需要定期更新签名数据库以适应...
PE文件有效性判断
zcgzdhxm的专栏
09-28 1150
  PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。
确定PE文件有效
gzfqh的专栏 →底层代码研究
04-16 2072
1 检查IMAGE_DOS_HEADER结构的e_magic成员的值是否等于“MZ”,也就是检查文件头第一个字的值是否等于IMAGE_DOS_SIGNATURE。为什么这样呢?用MC_ASCII转换工具进行转换,M->77(d)->4d(h) ,Z->90(d)->5A(h),合起来就是ZM->5A4D(h),而通过查看windows.inc的等值定义IMAGE_DOS_SIGNATURE equ
OllyDbg提示Not a valid PE file,****.exe‘ is probably not a 32-bit Portable Executable.
梦秋音
11-22 4098
Not a valid PE file File 'c:\******\Hello.exe' is probably not a 32-bit Portable Executable.Try to load it anyway? 第一次接触OllyDbg,用Code Block 写了一个控制台程序,编译后得到Hello.exe,用官网下载的OllyDbg打开该文件显示上面图片里的内容。 后来发现原来Hello.exe是64位文件????,而OllyDbg只能打开32位的文件。 想过下载64位
iczelion pe tutcn2
jimgreen的专栏
08-29 750
 PE教程2: 检验PE文件有效性本教程中我们将学习如何检测给定文件是一有效PE文件。下载 范例理论:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效PE文件了。下面我们就来实现
PE文件类型攻击小结
纸房子
08-22 1514
PE攻击,包括hta、rundll32、powershell、office文档等方式攻击
OD教程(去除NAG窗口--PE文件结构)
u012640985的专栏
05-11 1418
nag本意是烦人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。 软件设计者可能认为当用户忍受不了试用版中的这些烦人的窗口时,就会考虑购买正式版本。   一、PE文件结构   为什么需要了解PE文件结构? 大家想象一下,某天在班上,小甲鱼突然想知道黑夜童鞋今天穿什么颜色的裤子,要怎么办呢?点名让黑夜童鞋站起来?不行,因为苍老师在上课呢。那小甲鱼就只好掏出班级里的座位
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值