萬能脫殼器

萬能脫殼工具是（shì）一款功能強大的脫殼，這款軟件集PE文件編輯、導入表抓取、進程內存查看/DUMP等多（duō）種（zhǒng）實（shí）用功能於（yú）一體，感（gǎn）興（xìng）趣的朋友不妨來綠色資源網下載試試吧！

萬能脫（tuō）殼工具介紹

它是一個強（qiáng）大（dà）的脫殼軟件，他可（kě）以解開絕大部分的加密外殼，還有腳本功能可以（yǐ）使用（yòng）腳本輕鬆解開特定外殼的加密文（wén）件。另外很多時候我們（men）要用到（dào）exe可執行文件編輯軟件ultraedit。我們可以下載它的漢化注冊版本，它的注冊機可從網上搜到。ultraedit打開一（yī）個中文軟件，若加殼（ké），許多漢字不能被認出 ultraedit打開一個中文軟件，若未加殼或已經脫殼，許多漢字能被認出 ultraedit可用（yòng）來檢驗殼是否（fǒu）脫掉（diào），以後它的用處還很多，請熟練掌握例如，可用它的（de）替換功（gōng）能替換作（zuò）者（zhě）的姓（xìng）名為你的姓名注意字節必須相等，兩個漢字替兩個，三個替三個，不足處在ultraedit編輯器左邊用（yòng）00補。

萬能脫殼工具功能（néng）介紹（shào）

一（yī）、查殼功能：

支持文（wén）件拖拽，目錄拖拽，可設置右（yòu）鍵（jiàn）對文件和目錄的查殼功能，除（chú）了FFI自帶殼庫unpack.avd外，還可以使（shǐ）用（yòng）擴展殼庫(必須（xū）命名為userdb.txt，此（cǐ）庫格式兼容PEID庫格（gé）式，可以把自己收集的userdb.txt放入增強殼檢測功能)。

注：如果是使用擴（kuò）展庫裏特征查出的殼，在（zài）殼信息後麵會有 * 標誌。

二、脫（tuō）殼功能：

如果在查殼後，Unpack按鈕可用（yòng），則表示可以對當前處理文件（jiàn）進行脫殼處（chù）理，采用虛擬機脫殼技（jì）術，您不必擔心當前處理文件可能危害係統。

三（sān）、PE編（biān）輯功能：

本程序（xù）主界麵可顯示被檢查的程序的入口點/入口點物理偏移，區段等信息，並且提供強大的（de）編輯功能。

四、附加數（shù）據檢測：

可掃描應用程序是否包含附件數據（jù），並提供了附加數據詳細的起始位置和大小，可（kě）以用Del Overlay按鈕和Save Overlay按（àn）鈕進行相應的（de）處理。

五、支持PEid插件

點（diǎn）Options按鈕選擇Load Plugins就可以使用PEid的插件功能，無需重啟FFI，插件必須放plugins目錄下，然（rán）後點Plugin>>就可看到相應插件信息。

六、ReBuild PE 功能：

本功能主要是用來對脫殼後的PE文件進（jìn）行修複，一般可（kě）用來解決脫殼後無法重新加殼等（děng）問題，使用ReguildPE按鈕即可（kě）完成此功（gōng）能（néng）。   

七、第三方工具（jù）支持：

在Options按鈕中，點Manage Tools按（àn）鈕，可以（yǐ）用右鍵菜單添加/刪除IDA/OllyDBG等第三方工具，這樣就可以直接在（zài）FFI裏啟動（dòng）OllyDBG、IDA這些（xiē）工（gōng）具（jù）來打（dǎ）開當前文件（jiàn）進行反匯編。

八、進程DUMP：

TaskView按鈕後，可（kě）以進行進程的終止，進程中模塊（kuài）內存的dump，目前支持三種dump方式:Dump Full、Dump Partial和Dump Region，還支持自動修（xiū）正主模塊內存鏡像大小。

常見的殼脫法：

(一)aspack殼 脫殼（ké）可用unaspack或caspr 

1.unaspack ，使（shǐ）用方法類似lanuage，傻瓜式軟件，運行（háng）後（hòu）選取待脫殼的軟件即（jí）可. 缺點：隻能脫aspack早些時候（hòu）版本的殼（ké），不能（néng）脫高版本（běn）的殼 2.caspr第一種：待脫殼（ké）的軟件(如aa.exe)和caspr.exe位（wèi）於同一目錄下，執行windows起始菜單的運行，鍵入 caspr aa.exe脫殼後（hòu）的文件為aa.ex_，刪掉原來的（de）aa.exe，將aa.ex_改名為aa.exe即可。使用方法類似fi 

優點：可以脫aspack任何版（bǎn）本的殼，脫殼能力極強

缺點：Dos界（jiè）麵。第二種：將aa.exe的圖標（biāo）拖到caspr.exe的圖（tú）標上***若已偵測出是aspack殼，用（yòng）unaspack脫殼出錯，說明是aspack高（gāo）版本的殼，用caspr脫即可。

(二)upx殼 脫殼可用upx待脫殼（ké）的軟件(如aa.exe)和upx.exe位於同一目錄（lù）下，執行windows起始菜（cài）單的運行，鍵入upx -d aa.exe。

(三)PEcompact殼 脫殼用unpecompact 使用方法類（lèi）似lanuage傻瓜式軟件，運行後選取（qǔ）待脫殼的（de）軟件即可。

(四)procdump 萬能脫殼但不精，一般不要用 使用方法：運行後，先指定（dìng）殼的名稱（chēng），再選定欲脫殼軟件，確定即可脫殼後的文件大於原（yuán）文件由（yóu）於脫殼軟件（jiàn）很成熟，手動脫殼一般用不到。

更新說明

新增自動獲取導入表功能，該功能使（shǐ）用（yòng）虛擬機虛擬執行技術來進行導（dǎo）入（rù）表的獲取，具備自（zì）動（dòng）解密功能，可以輕鬆獲取ImportREC無法正確獲取的導入（rù）表。

增加的（de）更多的（de）細節描述，對PE文件進行更細致的解（jiě）析，對錯誤文件/無效的PE文件/無法執行的PE文件報告錯誤原因。

新增皮膚功能，使得界麵更漂亮，可（kě）在設置中（zhōng）切換自己喜歡（huān）的皮膚風格。