萬能（néng）脫（tuō）殼器

萬能脫殼工具是一款功能（néng）強大的脫殼，這款（kuǎn）軟件集PE文件（jiàn）編輯、導入表抓取、進程內存查看/DUMP等多種實用功能於一體，感興（xìng）趣的朋友不（bú）妨來（lái）綠色資源網下載試（shì）試吧！

萬（wàn）能脫殼工（gōng）具介紹

它是一個強大的脫殼軟件（jiàn），他可以解開絕大部分的加（jiā）密（mì）外（wài）殼（ké），還（hái）有腳本功能可以使用（yòng）腳本（běn）輕鬆解開特定外殼的（de）加密文件。另外很多時候我（wǒ）們要（yào）用到exe可執（zhí）行文件編輯軟件ultraedit。我們（men）可以下載（zǎi）它的漢化注冊版本（běn），它的注（zhù）冊機可從網上搜到。ultraedit打開一個中文（wén）軟（ruǎn）件，若加殼，許（xǔ）多漢字不能被認出 ultraedit打開一個中文軟件（jiàn），若未加殼或已（yǐ）經脫殼，許多漢字能被認出 ultraedit可用來檢（jiǎn）驗（yàn）殼是否脫掉，以後它（tā）的用（yòng）處還很（hěn）多，請熟練掌握例如，可用它的（de）替（tì）換功能替換作者的姓名為（wéi）你的姓（xìng）名注意（yì）字節必須相等，兩（liǎng）個漢字替兩個，三個替（tì）三（sān）個，不足（zú）處在（zài）ultraedit編輯器左邊用00補。

萬（wàn）能脫殼工具功能介紹

一、查殼功能：

支（zhī）持文件拖拽（zhuài），目（mù）錄拖拽（zhuài），可設（shè）置（zhì）右鍵對（duì）文（wén）件和目（mù）錄的查（chá）殼（ké）功能，除了FFI自帶（dài）殼庫unpack.avd外（wài），還可以使用擴展殼庫(必須（xū）命名為（wéi）userdb.txt，此庫（kù）格式兼容（róng）PEID庫格式，可以把自己收集的userdb.txt放入增強殼檢測功能)。

注：如果是使用（yòng）擴展庫裏特征查出的殼，在殼信息（xī）後麵會有 * 標（biāo）誌。

二、脫殼功能：

如果在查殼後，Unpack按鈕（niǔ）可用（yòng），則表（biǎo）示可（kě）以對當前處理文（wén）件進行脫殼處（chù）理，采用虛擬機（jī）脫殼技術，您不必擔（dān）心當前處理文件可能危害係統。

三、PE編輯功能（néng）：

本程序（xù）主界麵（miàn）可顯示被（bèi）檢查的程（chéng）序的入口（kǒu）點（diǎn）/入口點物（wù）理偏移，區段等（děng）信息，並且（qiě）提供（gòng）強大（dà）的編輯功能（néng）。

四（sì）、附加數據檢測：

可掃描應用程序是（shì）否包含附件數據，並（bìng）提供了附加數據詳細的起始（shǐ）位置和大小，可以用Del Overlay按鈕和Save Overlay按鈕進（jìn）行（háng）相應的（de）處理（lǐ）。

五（wǔ）、支（zhī）持PEid插件

點（diǎn）Options按鈕選擇Load Plugins就可以（yǐ）使（shǐ）用PEid的插件功（gōng）能，無需重啟FFI，插件必須放plugins目錄下，然後（hòu）點Plugin>>就可看（kàn）到相（xiàng）應插件信（xìn）息。

六、ReBuild PE 功能：

本功（gōng）能主要是用來對脫殼後的PE文（wén）件進行（háng）修複，一般（bān）可用來解決（jué）脫（tuō）殼後無法重（chóng）新加（jiā）殼等問題，使用（yòng）ReguildPE按鈕即可完成此功（gōng）能。   

七、第三方（fāng）工具支持：

在Options按鈕（niǔ）中（zhōng），點Manage Tools按鈕（niǔ），可以用右鍵菜（cài）單添（tiān）加/刪（shān）除（chú）IDA/OllyDBG等第三方（fāng）工具（jù），這樣就（jiù）可以直（zhí）接在FFI裏啟動OllyDBG、IDA這些（xiē）工（gōng）具來打開當前文（wén）件進（jìn）行反匯編。

八、進程DUMP：

TaskView按（àn）鈕後（hòu），可以進行（háng）進程的終止，進（jìn）程（chéng）中模塊內存的dump，目前支持三種（zhǒng）dump方式:Dump Full、Dump Partial和Dump Region，還支持（chí）自動修正主模塊（kuài）內存鏡（jìng）像大小（xiǎo）。

常見的殼脫法（fǎ）：

(一)aspack殼 脫（tuō）殼可用（yòng）unaspack或caspr 

1.unaspack ，使用方法類似lanuage，傻瓜式軟件（jiàn），運行後選取待脫殼的軟件即可. 缺點：隻能脫aspack早些（xiē）時候版本的殼（ké），不能脫高版本的殼 2.caspr第一種：待（dài）脫殼的軟件(如aa.exe)和caspr.exe位於同一目錄（lù）下，執（zhí）行windows起始（shǐ）菜單的運（yùn）行（háng），鍵入 caspr aa.exe脫殼後的文（wén）件為aa.ex_，刪掉原來的aa.exe，將aa.ex_改名為aa.exe即可。使用方法類似fi 

優點（diǎn）：可（kě）以脫aspack任何版本的殼（ké），脫殼能力極強

缺點：Dos界麵。第二種：將aa.exe的（de）圖標拖到caspr.exe的圖標上（shàng）***若已偵測出（chū）是aspack殼，用unaspack脫殼（ké）出錯，說明（míng）是aspack高版本的（de）殼，用caspr脫即可。

(二)upx殼 脫殼可用upx待脫殼的軟（ruǎn）件(如aa.exe)和upx.exe位於同（tóng）一目錄下（xià），執（zhí）行（háng）windows起（qǐ）始（shǐ）菜單的運行，鍵（jiàn）入upx -d aa.exe。

(三（sān）)PEcompact殼 脫殼（ké）用unpecompact 使用（yòng）方法類似lanuage傻瓜（guā）式（shì）軟件，運行（háng）後選（xuǎn）取待（dài）脫（tuō）殼的軟件即可。

(四)procdump 萬（wàn）能脫殼但（dàn）不精（jīng），一（yī）般不要用 使用（yòng）方法：運行後，先指（zhǐ）定殼（ké）的（de）名稱，再選（xuǎn）定欲脫殼軟件，確定即可脫殼後的文件大於原（yuán）文件（jiàn）由於脫殼軟件（jiàn）很成熟，手動脫殼一般用不到。

更新說明（míng）

新（xīn）增自（zì）動獲取導入表功能，該功能使用虛擬機虛擬執（zhí）行技術（shù）來進行導入表的獲取，具（jù）備自動解（jiě）密（mì）功能，可（kě）以輕鬆獲取ImportREC無法正（zhèng）確獲取的導入表。

增加的更多的（de）細節描述（shù），對（duì）PE文件進行更細致的（de）解析，對錯誤文件/無效的PE文件/無法執行的PE文件報告錯誤原因（yīn）。

新增皮膚（fū）功能（néng），使（shǐ）得界麵更漂亮，可在設置（zhì）中（zhōng）切換自己喜歡的皮膚風格。