peid.exe(什么是peidexe)

一、cover.exe是什么木马

今天随手360扫出来cover.exe报木马，感觉有点奇怪。一向谨慎的电脑使用者，怎么有溜进电脑的病毒而不知道。搜下百度，没有正确解释。自己动手检查下。PEID检测说不是PE文件。OD载入，无法分析。UE打开，是MZ开头的啊，是执行文件没错的。UE继续往下看，看到函数表，有网络操作API，也有文件操作和进程操作，真是木马特征出现了。再往下找，看到关键字了，AutoIt，这个东西啊……去pediy载个Autoit Decomplier回来，反编译，还真成了，脚本代码出现。通读下，在底部找到了作者最想干的事：访问获得控制阀值=1。继续访问获得start Page值，创建reg文件pgos.reg，将IE新首页地址写入，使用regedit命令导入。通过将cover.exe设为自启动，达到了每次开机就自动更改首页的目的。该程序是第三方系统安装包提供者打包在安装包里的，推广赚钱。广大朋友可删除该程序，虽在系统目录下，可放心拿它开刀。

二、如何查看exe文件是用什么语言写的

一般没有办法可以保证获取EXE文件是什么语言写的，只是对于编译后没有进行任何处理的EXE文件，可以去看它是否符合常见的DELPHI、VB、VC++等编译器的规律，然后猜测其是什么语言编写的。

对于高级语言的反编译，理论上就是不可能的，除非是对于PHP、FOXPRO这些伪编译系统。虽然EXE都可以反汇编，但是真正想反汇编之后做个什么大的手足，是非常非常困难的。

用名为PEiD的这个软件把这个，exe查一下，如果它没有加壳的话，就可以看出是用什么语言写的，如果它加了壳，要把它脱壳以后，才能看得出是用什么语言写的。

从一些细节，例如需要那些DLL库，需要的其它配置，有无配置文件。当然，还有更鸟的办法——反编译！ Foxpro、VFP、Delphi都可以。PB、VB都有特定的文件；BCB可以用某个软件打开，虽然看不道源代码，但足以判断，另外的大概是VC了。至于C和汇编，WIN9X下无图标。

通过看它和什么库链接可以猜测出用过哪些语言。比如Java语言写的程序一般不会不与Java运行时的DLL链接（名字好像叫daojre.dll），Objective-C和Swift语言写的程序往往是和objc运行时链接的。

C语言链接的DLL包括Unix/BSD/Linux系统上的libc、libxnet等，和Windows上的Kernel.dll等。C++也是如此，但链接的包括有libstdcxx，和Windows上的 mfc*.dll。

虽说几乎任何高级语言编译的exe文件都可以通过反编译的方法获得源代码，但到目前为止，还没有一种反编译的方法可以获得百分百完整、准确的源代码。

而学过编程的都知道，源程序中有时候哪怕错一个字符，运行结果都有可能完全出人预料。因此反编译获得的源代码，重新编译为exe文件后，要么就是无法运行，要么就是面目全非了。

三、关于upx.exe应用于脱壳的问题

1,命令行一定要准确.其实你可以安装一个DosHere的注册表文件让文件夹支持直接进入cmd.或者Win+r输入cmd然后输入路径进到需要操作的文件夹然后施工,这样不容易错.

2,你可以选择用UPX Shell这个外壳工具,很方便处理文件,在option->Advanced第二项打挑可以让程序文件支持右键UpX转换.

3,UPX可以选择文件加密的,加密后的不可以直接脱壳,这是最重的重点.UpxShell中同样option-advan....里面第一项就是,另外加密也分多种,每种也有设置不同,脱壳并不是好玩的,确切说不可能"手把手教会".你要学习PE格式以及汇编等一系列的非常熬人的东西,之后还要凭运气和天赋.

4,显示UPX加壳,未必只是一个壳,有时可以重叠加几次壳(其他加密工具),这还不包括程序本身对自身的检测(脱壳看似成功,但之后不能运行)

路迢迢........