万能脱壳工具1.4 绿色版

万能脱壳工具是一款辅助进行病毒分析的工具，它包括各种文件格式识别功能，使用超级巡警的格式识别引擎，集查壳、PE文件编辑、虚拟机脱壳、进程内存查看/DUMP、导入表抓取（内置虚拟机解密某些加密导入表）、PE文件重建、附加数据处理。

功能介绍：

一、查壳功能：

支持文件拖拽，目录拖拽，可设置右键对文件和目录的查壳功能，除了FFI自带壳库unpack.avd外，

还可以使用扩展壳库（必须命名为userdb.txt，此库格式兼容PEID库格式，

可以把自己收集的userdb.txt放入增强壳检测功能）。

注：如果是使用扩展库里特征查出的壳，在壳信息后面会有 * 标志。

二、脱壳功能：

如果在查壳后，Unpack按钮可用，则表示可以对当前处理文件进行脱壳处理，

采用虚拟机脱壳技术，您不必担心当前处理文件可能危害系统。

三、PE编辑功能：

本程序主界面可显示被检查的程序的入口点/入口点物理偏移，区段等信息，并且提供强大的编辑功能。

其中PE Section后按钮可以编辑当前文件的节表，点击后出现Sections Editor窗口。

主要功能有：

显示详细的节段信息

可查看编辑区段名称、大小、执行属性等相关信息。

清除选定的区段名称

对区段进行自动修复

从磁盘加载区段

保存区段到磁盘

增加一个新的区段

从文件中删除区段

从PE头中删除区段（区段内容实质还在）

用指定的数据填充区段

SubSystem后按钮可以显示PE文件的详细信息，支持详细编辑PE文件的Dos头，

NT头等信息，支持查看PE文件的导出表、导入表信息，本项目功能太细致具体请参考界面。

四、附加数据检测：

可扫描应用程序是否包含附件数据，并提供了附加数据详细的起始位置和大小，

可以用Del Overlay按钮和Save Overlay按钮进行相应的处理。

五、支持PEid插件：

点Options按钮选择Load Plugins就可以使用PEid的插件功能，无需重启FFI，

插件必须放plugins目录下，然后点Plugin》就可看到相应插件信息。

六、ReBuild PE 功能：

本功能主要是用来对脱壳后的PE文件进行修复，

一般可用来解决脱壳后无法重新加壳等问题，使用ReguildPE按钮即可完成此功能。

七、第三方工具支持：

在Options按钮中，点Manage Tools按钮，可以用右键菜单添加/删除IDA/OllyDBG等第三方工具，

这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。

注：添加第三方工具后，点Plugin》按钮就可以看到您添加的工具信息了，

点击即可用此工具打开当前处理文件。

八、进程DUMP：

点TaskView按钮后，可以进行进程的终止，进程中模块内存的dump，

目前支持三种dump方式：Dump Full、Dump Partial和Dump Region，

还支持自动修正主模块内存镜像大小。

九、导入表抓取：

点Get IAT按钮后，选择进程后就可以抓取导入表，

在DumpFixer前请填上正确的OEP信息。

如果出现不可识别的函数信息，您可以设置虚拟机解密步数，

在导入表信息框中用右键点VM Decode尝试解密这个函数

如果您发现抓取的导入表信息有些不是您想要的，

可以在导入表信息框中用右键点Del Thunk或者Cut Thunk让其消失。

如果您要对进程的非主模块抓取导入表，

请在Manipulation records窗口中对相应模块信息点右键Load this module，

这样抓取的导入表就是这个模块的了。

更新日志：

V1.4新增功能：

新增自动获取导入表功能，该功能使用虚拟机虚拟执行技术来进行导入表的获取，

具备自动解密功能，可以轻松获取ImportREC无法正确获取的导入表。

（详见下面节九）对该功能有更多想法的人欢迎联系我们。

增加的更多的细节描述，对PE文件进行更细致的解析，

对错误文件/无效的PE文件/无法执行的PE文件报告错误原因。感谢Pedro Lopez建议此功能。

新增皮肤功能，使得界面更漂亮，可在设置中切换自己喜欢的皮肤风格。

感谢fly（unpack.cn）建议此功能。扩展签名库集成Fly收集的签名库。感谢fly（unpack.cn）授权。

其他几个BUG修正。