PEiD

eXeL@B DVD

Материал из Справочник исследователя программ

Перейти к: навигация, поиск

Анализатор исполняемых файлов. Позволяет определить на каком языке программирования была написана программа, либо узнать протектор или упаковщик, которым она была накрыта.

PEiD.png

PEiD поддерживает плагины, расширение базы сигнатур пользовательскими базами.

Возможности анализатора

  • Показ общей информации о PE файле (точка входа, подсистема, компоновщик)
  • Показ секций и основных директорий (импорт, экспорт, ресурсы, TLS, отладочная информация)
  • Предполагаемый компилятор/упаковщик/протектор

Можно ли защититься от анализаторов типа PEiD?

В принципе можно, но на практике это нелегко (да и не особо оправдано). Вы можете изучить, как работает тот или иной анализатор и каким-либо образом от него защититься (простым изменением байт, например). Но существует немало анализаторов, и у них могут быть разные способы вычисления. Вам будет трудно защититься от них всех, т.к. будет сложно узнать по каким байтам анализатор вычисляет, чем упакована или защищена программа. Всё зависит от конкретного анализатора и реализованных в нём алгоритмов анализа. Некоторые анализаторы можно ввести в заблуждение простой сменой пары байтов. Других же (типа PEiD) так уже не проведешь =).

Стоит отметить, что существуют такие программы, как скрэмблеры, позволяющие делать подмену сигнатур на точке входа программы.

Источник — «https://exelab.ru/faq/PEiD»