如何检测给定 exe 使用的 PE 加壳程序？

Question

我发现了一个似乎已打包的应用程序。 我用一些十六进制编辑器打开它，它包含“UPX1”部分和“3.00 UPX！” 细绳。 不幸的是我无法用最新的 upx 解压它，它说“不是由 UPX 打包的”。 有没有办法找出使用了哪些其他 PE 压缩器/加密器？

Answer 1

PEiD 是您想要的工具。 它可以检测各种解包程序，尝试解包任何打包的 exe（无论打包方案如何），进行简单的反汇编，检测源代码中存在的加密算法（需要明确的是，不是 exe 的加密方案）等等。 但主要是，它是 exe 的加壳器、加密器和编译器的标识符。

Answer 2

在许多情况下，打包的可执行文件以启动程序开头，然后是标准 zip 文件。 这是可能的，因为 ZIP 标头位于文件末尾，因此您可以将任意数据添加到 zip 文件中，并且它仍然是 zip 文件。 所以尝试解压它，看看是否有效。

Answer 3

PEiD 的开发和支持已于 2011 年 4 月停止，但它仍然是可用的最佳工具用于加壳器检测。
您还可以使用 ExeScan。它位于此处