PEiD是一款功能強大的查殼工具，它可以探測大多數(shù)的PE文件封包器、加密器和編譯器，可以探測600多個不同簽名，還可識別出exe文件是用什么語言編寫的，只需要拖入即可。

【軟件功能】

　　1、正常掃描模式：PEiD可在PE文檔的入口點掃描所有記錄的簽名；

　　2、深度掃描模式：可深入掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣、更深入；

　　3、核心掃描模式：PEiD可完整地掃描整個PE文檔，建議將此模式作為最后的選擇。

　　PEiD內置有差錯控制的技術，所以一般能確保掃描結果的準確性。前兩種掃描模式幾乎在瞬間就可得到結果，最后一種有點慢，原因顯而易見。

【如何使用】

　　1、PEiD最常用的插件就是脫殼，PEiD的插件里有個通用脫殼器，能脫大部分的殼，如果脫殼后import表損害，還可以自動調用ImportREC修復import表，點擊"=>"打開插件列表

　　2、根據插件列表，還可以專門針對一些殼脫殼，效果比通用脫殼器會好

　　3、點擊EP后的>可以展開Section塊列表:

　　4、再在Section塊表上右擊鼠標，可以看到以下菜單選項：

　　5、點擊搜索全0處，會把所有塊中全0的區(qū)塊搜出來，這樣我們可以在這些代碼上加自己想加的code，非常方便:

　　6、直接用WinHex改就行了

【命令行參數(shù)】

　　PEiD now fully supports commandline parameters.

　　peid -time// Show statistics before quitting 顯示信息

　　peid -r// Recurse through subdirectories  掃描子目錄

　　peid -nr// Don't scan subdirectories even if its set 不掃描子目錄

　　peid -hard// Scan files in Hardcore Mode 采用核心掃描模式

　　peid -deep// Scan files in Deep Mode  采用深度掃描模式

　　peid -norm// Scan files in Normal Mode 采用正常掃描模式

　　peid <file1> <file2> <dir1> <dir2>

　　You can combine one or more of the parameters.

　　For example.

　　peid -hard -time -r c:\windows\system32

　　peid -time -deep c:\windows\system32\*.dll

【常見問題】

　　PEiD打不開就停止工作的解決辦法

　　方法一、特征碼定位法刪除問題插件

　　1、我這里以win10系統(tǒng)下的peid0.94版本為例。運行后提示已停止，如下圖所示：

　　2、所謂特征碼定位法，類似于早期遠程控制軟件的免殺操作，逐個的刪除插件文件，定位出有問題的插件，將有問題插件刪除后保證peid的正常運行 。具體來說，首先用戶可以將peid下的plugins文件夾刪除，看是否能正常運行。

　　3、刪除plugins文件夾，正常運行peid0.94，說明問題出在plugins目錄。但是plugins目錄是很有用的，你不可能全部將其刪除，所以需要定位有問題的DLL插件。

　　4、具體來說將plugins目錄下的插件分成5個或者10個1組，刪除看能否正常運行peid。正常說明有問題的dll插件文件就在刪除的5個DLL文件中，然后再1個1個的恢復到plugins文件夾，直到找到問題dll文件。

　　5、我這里以5個DLL插件文件為一組進行刪除，刪除后發(fā)現(xiàn)peid正常運行，說明導致錯誤的插件就在刪除的這個5DLL文件中。

　　6、然后一個一個的恢復到plugins目錄，看是否正常運行peid，如果出現(xiàn)錯誤就可以定位出有問題的DLL。結合上面的圖，我將xinfo.dll的文件復制到plugins目錄下，peid就不可以正常運行了，說明xinfo.dll這個插件有問題。

　　7、刪除xinfo.dll后就可以正常使用peid。

　　方法二、使用虛擬機安裝可使用系統(tǒng)

　　基本上現(xiàn)在老的逆向工程類的工具，都可以正常的運行于windows xp的系統(tǒng)，所以如果實在不能解決，則考慮在虛擬機安裝windows xp系統(tǒng) 。