萬能脫殼工具(超級巡警)1.4官方免費版

萬能脫殼工具(超級巡警)是一款手動木馬殺毒工具，可以一鍵發現電腦病毒分析識別電腦系統工具里面的病毒木馬，采用脫殼處理，不會危害電腦系統，需要這款殺毒軟件的朋友快來下載吧！

軟件介紹

普通的殺毒軟件只會在你手動操作,或者定時查殺時才會發現病毒,而萬能脫殼工具綠色版擁有更為強大的功能!它是一個可以輔助進行病毒分析的工具，它包括各種文件格式識別功能，使用超級巡警的格式識別引擎，集查殼、虛擬機脫殼等操作!

功能特色

脫殼功能：

如果在查殼后，Unpack按鈕可用，則表示可以對當前處理文件進行脫殼處理，采用虛擬機脫殼技術，您不必擔心當前處理文件可能危害系統。

PE編輯功能：

本程序主界面可顯示被檢查的程序的入口點/入口點物理偏移，區段等信息，并且提供強大的編輯功能。

其中PE Section后按鈕可以編輯當前文件的節表，點擊后出現Sections Editor窗口。

查殼功能：

支持文件拖拽，目錄拖拽，可設置右鍵對文件和目錄的查殼功能，除了FFI自帶殼庫unpack.avd外，還可以使用擴展殼庫（必須命名為userdb.txt，此庫格式兼容PEID庫格式，可以把自己收集的userdb.txt放入增強殼檢測功能）。

注：如果是使用擴展庫里特征查出的殼，在殼信息后面會有 * 標志。

主要功能有：

顯示詳細的節段信息

可查看編輯區段名稱、大小、執行屬性等相關信息。

清除選定的區段名稱

對區段進行自動修復

從磁盤加載區段

保存區段到磁盤

增加一個新的區段

從文件中刪除區段

從PE頭中刪除區段（區段內容實質還在）

用指定的數據填充區段

SubSystem后按鈕可以顯示PE文件的詳細信息，支持詳細編輯PE文件的Dos頭，NT頭等信息，支持查看PE文件的導出表、導入表信息，本項目功能太細致具體請參考界面。

四、附加數據檢測：

可掃描應用程序是否包含附件數據，并提供了附加數據詳細的起始位置和大小，可以用Del Overlay按鈕和Save Overlay按鈕進行相應的處理。

支持PEid插件：

點Options按鈕選擇Load Plugins就可以使用PEid的插件功能，無需重啟FFI，插件必須放plugins目錄下，然后點Plugin》就可看到相應插件信息。

ReBuild PE 功能：

本功能主要是用來對脫殼后的PE文件進行修復，一般可用來解決脫殼后無法重新加殼等問題，使用ReguildPE按鈕即可完成此功能。

第三方工具支持：

在Options按鈕中，點Manage Tools按鈕，可以用右鍵菜單添加/刪除IDA/OllyDBG等第三方工具，這樣就可以直接在FFI里啟動OllyDBG、IDA這些工具來打開當前文件進行反匯編。

注：添加第三方工具后，點Plugin》按鈕就可以看到您添加的工具信息了，點擊即可用此工具打開當前處理文件。

進程DUMP：

點TaskView按鈕后，可以進行進程的終止，進程中模塊內存的dump，目前支持三種dump方式：Dump Full、Dump Partial和Dump Region，還支持自動修正主模塊內存鏡像大小。

導入表抓取：

點Get IAT按鈕后，選擇進程后就可以抓取導入表，在DumpFixer前請填上正確的OEP信息。

如果出現不可識別的函數信息，您可以設置虛擬機解密步數，在導入表信息框中用右鍵點VM Decode嘗試解密這個函數

如果您發現抓取的導入表信息有些不是您想要的，可以在導入表信息框中用右鍵點Del Thunk或者Cut Thunk讓其消失。

如果您要對進程的非主模塊抓取導入表，請在Manipulation records窗口中對相應模塊信息點右鍵Load this module，這樣抓取的導入表就是這個模塊的了。

脫殼功能：

如果在查殼后，Unpack按鈕可用，則表示可以對當前處理文件進行脫殼處理，采用虛擬機脫殼技術，您不必擔心當前處理文件可能危害系統。

PE編輯功能：

本程序主界面可顯示被檢查的程序的入口點/入口點物理偏移，區段等信息，并且提供強大的編輯功能。

其中PE Section后按鈕可以編輯當前文件的節表，點擊后出現Sections Editor窗口。

查殼功能：

支持文件拖拽，目錄拖拽，可設置右鍵對文件和目錄的查殼功能，除了FFI自帶殼庫unpack.avd外，還可以使用擴展殼庫（必須命名為userdb.txt，此庫格式兼容PEID庫格式，可以把自己收集的userdb.txt放入增強殼檢測功能）。

注：如果是使用擴展庫里特征查出的殼，在殼信息后面會有 * 標志。

主要功能有：

顯示詳細的節段信息

可查看編輯區段名稱、大小、執行屬性等相關信息。

清除選定的區段名稱

對區段進行自動修復

從磁盤加載區段

保存區段到磁盤

增加一個新的區段

從文件中刪除區段

從PE頭中刪除區段（區段內容實質還在）

用指定的數據填充區段

SubSystem后按鈕可以顯示PE文件的詳細信息，支持詳細編輯PE文件的Dos頭，NT頭等信息，支持查看PE文件的導出表、導入表信息，本項目功能太細致具體請參考界面。

四、附加數據檢測：

可掃描應用程序是否包含附件數據，并提供了附加數據詳細的起始位置和大小，可以用Del Overlay按鈕和Save Overlay按鈕進行相應的處理。

支持PEid插件：

點Options按鈕選擇Load Plugins就可以使用PEid的插件功能，無需重啟FFI，插件必須放plugins目錄下，然后點Plugin》就可看到相應插件信息。

ReBuild PE 功能：

本功能主要是用來對脫殼后的PE文件進行修復，一般可用來解決脫殼后無法重新加殼等問題，使用ReguildPE按鈕即可完成此功能。

第三方工具支持：

在Options按鈕中，點Manage Tools按鈕，可以用右鍵菜單添加/刪除IDA/OllyDBG等第三方工具，這樣就可以直接在FFI里啟動OllyDBG、IDA這些工具來打開當前文件進行反匯編。

注：添加第三方工具后，點Plugin》按鈕就可以看到您添加的工具信息了，點擊即可用此工具打開當前處理文件。

進程DUMP：

點TaskView按鈕后，可以進行進程的終止，進程中模塊內存的dump，目前支持三種dump方式：Dump Full、Dump Partial和Dump Region，還支持自動修正主模塊內存鏡像大小。

導入表抓取：

點Get IAT按鈕后，選擇進程后就可以抓取導入表，在DumpFixer前請填上正確的OEP信息。

如果出現不可識別的函數信息，您可以設置虛擬機解密步數，在導入表信息框中用右鍵點VM Decode嘗試解密這個函數

如果您發現抓取的導入表信息有些不是您想要的，可以在導入表信息框中用右鍵點Del Thunk或者Cut Thunk讓其消失。

如果您要對進程的非主模塊抓取導入表，請在Manipulation records窗口中對相應模塊信息點右鍵Load this module，這樣抓取的導入表就是這個模塊的了。脫殼功能：

如果在查殼后，Unpack按鈕可用，則表示可以對當前處理文件進行脫殼處理，采用虛擬機脫殼技術，您不必擔心當前處理文件可能危害系統。

PE編輯功能：

本程序主界面可顯示被檢查的程序的入口點/入口點物理偏移，區段等信息，并且提供強大的編輯功能。

其中PE Section后按鈕可以編輯當前文件的節表，點擊后出現Sections Editor窗口。

查殼功能：

支持文件拖拽，目錄拖拽，可設置右鍵對文件和目錄的查殼功能，除了FFI自帶殼庫unpack.avd外，還可以使用擴展殼庫（必須命名為userdb.txt，此庫格式兼容PEID庫格式，可以把自己收集的userdb.txt放入增強殼檢測功能）。

注：如果是使用擴展庫里特征查出的殼，在殼信息后面會有 * 標志。

主要功能有：

顯示詳細的節段信息

可查看編輯區段名稱、大小、執行屬性等相關信息。

清除選定的區段名稱

對區段進行自動修復

從磁盤加載區段

保存區段到磁盤

增加一個新的區段

從文件中刪除區段

從PE頭中刪除區段（區段內容實質還在）

用指定的數據填充區段

SubSystem后按鈕可以顯示PE文件的詳細信息，支持詳細編輯PE文件的Dos頭，NT頭等信息，支持查看PE文件的導出表、導入表信息，本項目功能太細致具體請參考界面。

四、附加數據檢測：

可掃描應用程序是否包含附件數據，并提供了附加數據詳細的起始位置和大小，可以用Del Overlay按鈕和Save Overlay按鈕進行相應的處理。

支持PEid插件：

點Options按鈕選擇Load Plugins就可以使用PEid的插件功能，無需重啟FFI，插件必須放plugins目錄下，然后點Plugin》就可看到相應插件信息。

ReBuild PE 功能：

本功能主要是用來對脫殼后的PE文件進行修復，一般可用來解決脫殼后無法重新加殼等問題，使用ReguildPE按鈕即可完成此功能。

第三方工具支持：

在Options按鈕中，點Manage Tools按鈕，可以用右鍵菜單添加/刪除IDA/OllyDBG等第三方工具，這樣就可以直接在FFI里啟動OllyDBG、IDA這些工具來打開當前文件進行反匯編。

注：添加第三方工具后，點Plugin》按鈕就可以看到您添加的工具信息了，點擊即可用此工具打開當前處理文件。

進程DUMP：

點TaskView按鈕后，可以進行進程的終止，進程中模塊內存的dump，目前支持三種dump方式：Dump Full、Dump Partial和Dump Region，還支持自動修正主模塊內存鏡像大小。

導入表抓取：

點Get IAT按鈕后，選擇進程后就可以抓取導入表，在DumpFixer前請填上正確的OEP信息。

如果出現不可識別的函數信息，您可以設置虛擬機解密步數，在導入表信息框中用右鍵點VM Decode嘗試解密這個函數

如果您發現抓取的導入表信息有些不是您想要的，可以在導入表信息框中用右鍵點Del Thunk或者Cut Thunk讓其消失。

如果您要對進程的非主模塊抓取導入表，請在Manipulation records窗口中對相應模塊信息點右鍵Load this module，這樣抓取的導入表就是這個模塊的了。

更新日志

新增皮膚功能，使得界面更漂亮，可在設置中切換自己喜歡的皮膚風格。感謝fly（unpack.cn）建議此功能。

擴展簽名庫集成Fly收集的簽名庫。感謝fly（unpack.cn）授權。

其他幾個BUG修正。

新增自動獲取導入表功能，該功能使用虛擬機虛擬執行技術來進行導入表的獲取，具備自動解密功能，可以輕松獲取ImportREC無法正確獲取的導入表。（詳見下面節九）對該功能有更多想法的人歡迎聯系我們。

增加的更多的細節描述，對PE文件進行更細致的解析，對錯誤文件/無效的PE文件/無法執行的PE文件報告錯誤原因。感謝Pedro Lopez建議此功能。