万能脱壳工具(超级巡警)1.4官方免费版

更新日志

新增皮肤功能，使得界面更漂亮，可在设置中切换自己喜欢的皮肤风格。感谢fly（unpack.cn）建议此功能。命令与征服：将军之冲击波 四项修改器[Frost99]

扩展签名库集成Fly收集的签名库。感谢fly（unpack.cn）授权。

其他几个BUG修正。

新增自动获取导入表功能，该功能使用虚拟机虚拟执行技术来进行导入表的获取，具备自动解密功能，可以轻松获取ImportREC无法正确获取的导入表。（详见下面节九）对该功能有更多想法的人欢迎联系我们。

增加的更多的细节描述，对PE文件进行更细致的解析，对错误文件/无效的PE文件/无法执行的PE文件报告错误原因。感谢PedroLopez建议此功能。

软件介绍

普通的杀毒软件只会在你手动操作,或者定时查杀时才会发现病毒,而万能脱壳工具绿色版拥有更为强大的功能!它是一个可以辅助进行病毒分析的工具，它包括各种文件格式识别功能，使用超级巡警的格式识别引擎，集查壳、虚拟机脱壳等操作!

万能脱壳工具(超级巡警)是一款手动木马杀毒工具，可以一键发现电脑病毒分析识别电脑系统工具里面的病毒木马，采用脱壳处理，不会危害电脑系统，需要这款杀毒软件的朋友快来下载吧！

功能特色

脱壳功能：

如果在查壳后，Unpack按钮可用，则表示可以对当前处理文件进行脱壳处理，采用虚拟机脱壳技术，您不必担心当前处理文件可能危害系统。

PE编辑功能：

本程序主界面可显示被检查的程序的入口点/入口点物理偏移，区段等信息，并且提供强大的编辑功能。

其中PESection后按钮可以编辑当前文件的节表，点击后出现SectionsEditor窗口。

查壳功能：

支持文件拖拽，目录拖拽，可设置右键对文件和目录的查壳功能，除了FFI自带壳库unpack.avd外，还可以使用扩展壳库（必须命名为userdb.txt，此库格式兼容PEID库格式，可以把自己收集的userdb.txt放入增强壳检测功能）。

注：如果是使用扩展库里特征查出的壳，在壳信息后面会有*标志。

主要功能有：

显示详细的节段信息

可查看编辑区段名称、大小、执行属性等相关信息。

清除选定的区段名称

对区段进行自动修复

从磁盘加载区段

保存区段到磁盘

增加一个新的区段

从文件中删除区段

从PE头中删除区段（区段内容实质还在）

用指定的数据填充区段

SubSystem后按钮可以显示PE文件的详细信息，支持详细编辑PE文件的Dos头，NT头等信息，支持查看PE文件的导出表、导入表信息，本项目功能太细致具体请参考界面。

四、附加数据检测：

可扫描应用程序是否包含附件数据，并提供了附加数据详细的起始位置和大小，可以用DelOverlay按钮和SaveOverlay按钮进行相应的处理。

支持PEid插件：

点Options按钮选择LoadPlugins就可以使用PEid的插件功能，无需重启FFI，插件必须放plugins目录下，然后点Plugin》就可看到相应插件信息。

ReBuildPE功能：

本功能主要是用来对脱壳后的PE文件进行修复，一般可用来解决脱壳后无法重新加壳等问题，使用ReguildPE按钮即可完成此功能。

第三方工具支持：

在Options按钮中，点ManageTools按钮，可以用右键菜单添加/删除IDA/OllyDBG等第三方工具，这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。

注：添加第三方工具后，点Plugin》按钮就可以看到您添加的工具信息了，点击即可用此工具打开当前处理文件。

进程DUMP：

点TaskView按钮后，可以进行进程的终止，进程中模块内存的dump，目前支持三种dump方式：DumpFull、DumpPartial和DumpRegion，还支持自动修正主模块内存镜像大小。

导入表抓取：

点GetIAT按钮后，选择进程后就可以抓取导入表，在DumpFixer前请填上正确的OEP信息。

如果出现不可识别的函数信息，您可以设置虚拟机解密步数，在导入表信息框中用右键点VMDecode尝试解密这个函数

如果您发现抓取的导入表信息有些不是您想要的，可以在导入表信息框中用右键点DelThunk或者CutThunk让其消失。

如果您要对进程的非主模块抓取导入表，请在Manipulationrecords窗口中对相应模块信息点右键Loadthismodule，这样抓取的导入表就是这个模块的了。

脱壳功能：

如果在查壳后，Unpack按钮可用，则表示可以对当前处理文件进行脱壳处理，采用虚拟机脱壳技术，您不必担心当前处理文件可能危害系统。

PE编辑功能：

本程序主界面可显示被检查的程序的入口点/入口点物理偏移，区段等信息，并且提供强大的编辑功能。

其中PESection后按钮可以编辑当前文件的节表，点击后出现SectionsEditor窗口。

查壳功能：

支持文件拖拽，目录拖拽，可设置右键对文件和目录的查壳功能，除了FFI自带壳库unpack.avd外，还可以使用扩展壳库（必须命名为userdb.txt，此库格式兼容PEID库格式，可以把自己收集的userdb.txt放入增强壳检测功能）。

注：如果是使用扩展库里特征查出的壳，在壳信息后面会有*标志。

主要功能有：

显示详细的节段信息

可查看编辑区段名称、大小、执行属性等相关信息。

清除选定的区段名称

对区段进行自动修复

从磁盘加载区段

保存区段到磁盘

增加一个新的区段

从文件中删除区段

从PE头中删除区段（区段内容实质还在）

用指定的数据填充区段

SubSystem后按钮可以显示PE文件的详细信息，支持详细编辑PE文件的Dos头，NT头等信息，支持查看PE文件的导出表、导入表信息，本项目功能太细致具体请参考界面。

四、附加数据检测：

可扫描应用程序是否包含附件数据，并提供了附加数据详细的起始位置和大小，可以用DelOverlay按钮和SaveOverlay按钮进行相应的处理。

支持PEid插件：

点Options按钮选择LoadPlugins就可以使用PEid的插件功能，无需重启FFI，插件必须放plugins目录下，然后点Plugin》就可看到相应插件信息。

ReBuildPE功能：

本功能主要是用来对脱壳后的PE文件进行修复，一般可用来解决脱壳后无法重新加壳等问题，使用ReguildPE按钮即可完成此功能。

第三方工具支持：

在Options按钮中，点ManageTools按钮，可以用右键菜单添加/删除IDA/OllyDBG等第三方工具，这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。

注：添加第三方工具后，点Plugin》按钮就可以看到您添加的工具信息了，点击即可用此工具打开当前处理文件。

进程DUMP：

点TaskView按钮后，可以进行进程的终止，进程中模块内存的dump，目前支持三种dump方式：DumpFull、DumpPartial和DumpRegion，还支持自动修正主模块内存镜像大小。

导入表抓取：

点GetIAT按钮后，选择进程后就可以抓取导入表，在DumpFixer前请填上正确的OEP信息。

如果出现不可识别的函数信息，您可以设置虚拟机解密步数，在导入表信息框中用右键点VMDecode尝试解密这个函数

如果您发现抓取的导入表信息有些不是您想要的，可以在导入表信息框中用右键点DelThunk或者CutThunk让其消失。

如果您要对进程的非主模块抓取导入表，请在Manipulationrecords窗口中对相应模块信息点右键Loadthismodule，这样抓取的导入表就是这个模块的了。脱壳功能：

如果在查壳后，Unpack按钮可用，则表示可以对当前处理文件进行脱壳处理，采用虚拟机脱壳技术，您不必担心当前处理文件可能危害系统。

PE编辑功能：

本程序主界面可显示被检查的程序的入口点/入口点物理偏移，区段等信息，并且提供强大的编辑功能。

其中PESection后按钮可以编辑当前文件的节表，点击后出现SectionsEditor窗口。

查壳功能：

支持文件拖拽，目录拖拽，可设置右键对文件和目录的查壳功能，除了FFI自带壳库unpack.avd外，还可以使用扩展壳库（必须命名为userdb.txt，此库格式兼容PEID库格式，可以把自己收集的userdb.txt放入增强壳检测功能）。

注：如果是使用扩展库里特征查出的壳，在壳信息后面会有*标志。

主要功能有：

显示详细的节段信息

可查看编辑区段名称、大小、执行属性等相关信息。

清除选定的区段名称

对区段进行自动修复

从磁盘加载区段

保存区段到磁盘

增加一个新的区段

从文件中删除区段

从PE头中删除区段（区段内容实质还在）

用指定的数据填充区段

SubSystem后按钮可以显示PE文件的详细信息，支持详细编辑PE文件的Dos头，NT头等信息，支持查看PE文件的导出表、导入表信息，本项目功能太细致具体请参考界面。

四、附加数据检测：

可扫描应用程序是否包含附件数据，并提供了附加数据详细的起始位置和大小，可以用DelOverlay按钮和SaveOverlay按钮进行相应的处理。

支持PEid插件：

点Options按钮选择LoadPlugins就可以使用PEid的插件功能，无需重启FFI，插件必须放plugins目录下，然后点Plugin》就可看到相应插件信息。

ReBuildPE功能：

本功能主要是用来对脱壳后的PE文件进行修复，一般可用来解决脱壳后无法重新加壳等问题，使用ReguildPE按钮即可完成此功能。

第三方工具支持：

在Options按钮中，点ManageTools按钮，可以用右键菜单添加/删除IDA/OllyDBG等第三方工具，这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。

注：添加第三方工具后，点Plugin》按钮就可以看到您添加的工具信息了，点击即可用此工具打开当前处理文件。

进程DUMP：

点TaskView按钮后，可以进行进程的终止，进程中模块内存的dump，目前支持三种dump方式：DumpFull、DumpPartial和DumpRegion，还支持自动修正主模块内存镜像大小。

导入表抓取：

点GetIAT按钮后，选择进程后就可以抓取导入表，在DumpFixer前请填上正确的OEP信息。

如果出现不可识别的函数信息，您可以设置虚拟机解密步数，在导入表信息框中用右键点VMDecode尝试解密这个函数

如果您发现抓取的导入表信息有些不是您想要的，可以在导入表信息框中用右键点DelThunk或者CutThunk让其消失。

如果您要对进程的非主模块抓取导入表，请在Manipulationrecords窗口中对相应模块信息点右键Loadthismodule，这样抓取的导入表就是这个模块的了。