当前位置： ARP联盟 > 手机软件 >实用工具> 万能脱壳工具

万能脱壳工具v2.0

类型：实用工具
大小:16MB
语言：中文
更新时间：2026-05-08 15:29:59

标签：万能脱壳工具病毒分析PE编辑

高速下载普通下载

游戏介绍
相关版本
猜你喜欢
同类推荐

万能脱壳工具是一款专为病毒分析设计的辅助工具，集成了多种实用功能，适用于对可疑程序或恶意样本进行深入处理。该工具基于超级巡警的格式识别引擎，支持各类文件格式识别，并整合了查壳、虚拟机脱壳、PE文件编辑与重建、导入表抓取（内置虚拟机可解密部分加密导入表）、进程内存查看与DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷调用第三方分析工具等能力，是安全研究人员和逆向工程师处理加壳木马、病毒样本的得力助手。

核心功能详解

1. 查壳功能：支持文件或目录拖拽操作，也可通过右键菜单快速查壳。除内置的FFI壳库（unpack.avd）外，还兼容PEID格式的扩展壳库（需命名为userdb.txt）。若检测结果来自扩展库，壳信息后将标注“*”号以示区分。

2. 脱壳功能：当查壳完成后，“Unpack”按钮变为可用状态，表示可对该文件执行脱壳操作。工具采用虚拟机脱壳技术，在隔离环境中运行目标程序，确保系统安全不受威胁。

3. PE文件编辑功能：主界面清晰展示程序入口点、物理偏移及区段信息，并提供强大的编辑能力：

显示详细的节段信息；
编辑区段名称、大小、执行属性等参数；
清除选定区段名称；
自动修复区段结构；
从磁盘加载或保存区段数据；
新增或删除区段（包括仅从PE头移除而保留内容）；
使用指定数据填充区段。

此外，通过“SubSystem”按钮可查看并编辑DOS头、NT头等PE结构，支持导出表与导入表的详细解析。

4. 附加数据检测：可扫描程序是否包含附加数据（Overlay），并精确显示其起始位置与大小，用户可通过“Del Overlay”或“Save Overlay”按钮进行删除或提取操作。

5. PEID插件支持：在“Options”中选择“Load Plugins”即可加载PEID插件（需置于plugins目录），无需重启程序即可使用，插件列表可通过“Plugin”菜单查看。

6. PE文件重建：脱壳后的文件常因结构损坏而无法正常运行，使用“Rebuild PE”功能（点击“ReguildPE”按钮）可自动修复PE结构，解决脱壳后无法二次加壳等问题。

7. 第三方工具集成：通过“Options”→“Manage Tools”可添加如IDA、OllyDBG等反汇编工具。添加后，在“Plugin”菜单中即可直接调用这些工具打开当前文件，提升分析效率。

8. 进程内存DUMP：点击“TaskView”可查看系统进程，支持终止进程及对模块内存进行三种方式的DUMP（Full、Partial、Region），并具备自动修正主模块镜像大小的能力。

9. 导入表抓取：点击“Get IAT”并选择目标进程后，可自动抓取导入表。使用前需正确填写OEP（原始入口点）。若遇加密函数，可在导入表窗口右键选择“VM Decode”尝试解密；对冗余条目，可使用“Del Thunk”或“Cut Thunk”移除。如需抓取非主模块的导入表，可在“Manipulation records”窗口右键选择“Load this module”后再执行抓取。