这个小工具是完全基于虚拟机的,脱壳过程中,除了yp壳的解密API直接定位到系统API上去了外,待脱程序的执行完全不直接依赖win系统,
因此,对系统来说,没有什么安全威胁,可能一些玩毒弄马的朋友会更喜欢些.
本来是打算,逐渐引入多线程,多进程的.但,由于没有操作系统的支持,我是怕了,很多都像是体力活,不打算再继续写下去了.目前脱壳效果也还可以,
我试验过255种壳(当然像UPX这种,我试验的小版本也在里面啦),都能干掉(绝大多数是压缩壳),不知道在你那里会怎么样,希望一切都好吧:)
说下,这个工具的工作原理,它的壳特征和编译器特征保存在PEid_Sign.txt里面,呵呵,借鉴了很多高人的特征哈,如果识别不准确,你可以自己动手
能识别出来的壳(我把它称作已知壳),基本上都有对应的脱壳函数,用壳特征脱壳,可以脱壳,对于一些不好特殊的壳你可以用OEP侦测来脱壳,这要
依赖编译器特征,你也可以自己添加编译器特征到PEid_Sign.txt(怎么加?我想你看下就应该知道了,不多说了)
对某些未知壳(相对上面的已知壳),可能能用未知壳脱壳选项搞定,它里面的原理也是用了编译器入口处信息
我试验某壳时,发现它在解壳时申请很多内存,而又不释放,这里,你可以适当增加堆大小,我那个时候设到15Mbyte才搞定
对mslrh壳,脱到抽OEP处就没有继续了,不过dump出来程序可以运行了,本写了过修复程序,我怕它跟编译器有关,这里就没有加这个功能了
修改历史:
v0.12 1.对有IAT加密情况的,才进行IAT解密,避免了有时候不需要解密也去解密,导致脱后程序不能执行
2.支持文件拖拽功能
3.脱未知壳时,如果IAT加密了,请选上解密加密IAT项,进行IAT还原
大小:3.22MB / 语言:简体中文
大小:127.35 MB / 语言:简体中文
大小:22MB / 语言:简体中文
大小:73.48MB / 语言:简体中文
大小:93 MB / 语言:简体中文
大小:837KB / 语言:简体中文
大小:45.07MB / 语言:简体中文
大小:2.24MB / 语言:简体中文
大小:71.16MB / 语言:简体中文
大小:51.39 MB / 语言:简体中文