博客中使用的脱壳实验材料

万能 脱壳工具 破解 万能 脱壳工具 破解万能 脱壳工具 破解万能 脱壳工具 破解

很不容易找到的，最新版的，，可以一试哈，能脱PECompact 2.5x - 2.79(beta) 脱壳机汉化版不能脱的壳，，我都用过了，强烈建议试用

RL!dePacker RL!dePacker RL!dePacker RL!dePacker

转载Themida & WinLicense 2.0 - 2.4.6 脱壳需要的脚本 参考链接https://bbs.pediy.com/thread-255174.htm

Themida 脱壳机 打包。。。。。。。。。。。。。。。。。。。。。。。。。。

vmp脱壳脚本.rar

超级巡警病毒分析 File Format Identifier(自动查壳脱壳) v1.53 汉化中文版 本工具是一款辅助进行病毒分析的工具，它包括各种文件格式识别功能，使用超级巡警的格式识别引擎，集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能，适合病毒分析中对一些病毒木马样本进行系统处理。 本软件产品为免费软件，用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发，例如反病毒公司用来批量分析木马，必须获得DSWLAB的授权和许可，商业公司及团队使用本软件必须获得DSWLAB的授权和许可。 作为辅助进行病毒分析的工具，它包括各种文件格式识别功能，使用超级巡警的格式识别引擎，集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能，适合病毒分析中对一些病毒木马样本进行系统处理。 V1.4新增功能： ★新增自动获取导入表功能，该功能使用虚拟机虚拟执行技术来进行导入表的获取，具备自动解密功能，可以轻松获取ImportREC无法正确获取的导入表。(详见下面节九)对该功能有更多想法的人欢迎联系我们。 ★增加的更多的细节描述，对PE文件进行更细致的解析，对错误文件/无效的PE文件/无法执行的PE文件报告错误原因。感谢Pedro Lopez建议此功能。 ★新增皮肤功能，使得界面更漂亮，可在设置中切换自己喜欢的皮肤风格。感谢fly(unpack.cn)建议此功能。 ★扩展签名库集成Fly收集的签名库。感谢fly(unpack.cn)授权。 ★其他几个BUG修正。 V1.3新增功能： ★增加进程查看、终止功能，支持三种dump方式:Dump Full、Dump Partial和Dump Region，支持自动修正模块内存镜像大小。(详见下面节八) V1.2新增功能： ★全面支持PEID插件功能。使用前需要在设置中指定Load Plugins就可以使用PEid的插件功能，无需重启FFI，插件必须放plugins目录下，设置好后点Plugin>>就可看到相应插件。 ★增加支持重建PE的功能，用以修复许多损坏的PE文件，或者脱壳后文件无法重新加壳的情况。 V1.1新增功能： ★增加使用VMUnpacker脱壳引擎进行脱壳的功能，对识别出来的壳可直接点击Unpack按钮脱掉，方便分析加壳木马，本版本脱壳引擎脱壳能力等同于VMUnpacker V1.4 。 ★增加对附加数据的处理，可将附加数据直接删除或者保存为文件，方便进一步分析。 ★增加PE文件的地址转换功能，可方便的换算RAV<->RAW 。 详细功能说明如下： 一、查壳功能： 支持文件拖拽，目录拖拽，可设置右键对文件和目录的查壳功能，除了FFI自带壳库unpack.avd外，还可以使用扩展壳库(必须命名为userdb.txt，此库格式兼容PEID库格式，可以把自己收集的userdb.txt放入增强壳检测功能)。 注：如果是使用扩展库里特征查出的壳，在壳信息后面会有 * 标志。 二、脱壳功能： 如果在查壳后，Unpack按钮可用，则表示可以对当前处理文件进行脱壳处理，采用虚拟机脱壳技术，您不必担心当前处理文件可能危害系统。 三、PE编辑功能： 本程序主界面可显示被检查的程序的入口点/入口点物理偏移，区段等信息，并且提供强大的编辑功能。 其中PE Section后按钮可以编辑当前文件的节表，点击后出现Sections Editor窗口。 主要功能有： ★显示详细的节段信息 ★可查看编辑区段名称、大小、执行属性等相关信息。 ★清除选定的区段名称 ★对区段进行自动修复 ★从磁盘加载区段 ★保存区段到磁盘 ★增加一个新的区段 ★从文件中删除区段 ★从PE头中删除区段(区段内容实质还在) ★用指定的数据填充区段 SubSystem后按钮可以显示PE文件的详细信息，支持详细编辑PE文件的Dos头，NT头等信息，支持查看PE文件的导出表、导入表信息，本项目功能太细致具体请参考界面。 四、附加数据检测： 可扫描应用程序是否包含附件数据，并提供了附加数据详细的起始位置和大小，可以用Del Overlay按钮和Save Overlay按钮进行相应的处理。 五、支持PEid插件： 点Options按钮选择Load Plugins就可以使用PEid的插件功能，无需重启FFI，插件必须放plugins目录下，然后点Plugin>>就可看到相应插件信息。 六、ReBuild PE 功能： 本功能主要是用来对脱壳后的PE文件进行修复，一般可用来解决脱壳后无法重新加壳等问题，使用ReguildPE按钮即可完成此功能。 七、第三方工具支持： 在Options按钮中，点Manage Tools按钮，可以用右键菜单添加/删除IDA/OllyDBG等第三方工具，这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。 注：添加第三方工具后，点Plugin>>按钮就可以看到您添加的工具信息了，点击即可用此工具打开当前处理文件。 八、进程DUMP： 点TaskView按钮后，可以进行进程的终止，进程中模块内存的dump，目前支持三种dump方式:Dump Full、Dump Partial和Dump Region，还支持自动修正主模块内存镜像大小。 九、导入表抓取： 点Get IAT按钮后，选择进程后就可以抓取导入表，在DumpFixer前请填上正确的OEP信息。 如果出现不可识别的函数信息，您可以设置虚拟机解密步数，在导入表信息框中用右键点VM Decode尝试解密这个函数 如果您发现抓取的导入表信息有些不是您想要的，可以在导入表信息框中用右键点Del Thunk或者Cut Thunk让其消失。 如果您要对进程的非主模块抓取导入表，请在Manipulation records窗口中对相应模块信息点右键Load this module，这样抓取的导入表就是这个模块的了。

最新版本的De4dot-3.1.41592 .Net脱壳反混淆工具，这是一款开源的脱壳工具，因为他的脱壳能力比较强，堪称为神器，它支持Dotfuscator、MaxToCode的脱壳。这个软件的功能很强大，支持解嵌入的文件或资源，支持删除反调试代码等等。 使用命令行工作方式。 使用时参照如下示例： de4dot.exe -r c:\my\files -ro c:\my\output de4dot.exe file1 file2 file3

软件说明：DarksVM是KoiVM的修改版本，KoiVM是一个 ConfuserEx 插件，允许您将方法虚拟化为只有我们的计算机才能理解。 此版本包括： 修改后的 VMEntry 名称和条目 将“运行”方法重命名为“加载” 添加了一些计算 OldRod 不再能够去虚拟化 改进的兼容性 仅支持的操作系统是 Windows。 如果目标受此保护KoiVM Mod 版本 (DarksVM)，可以使用 Devirtualizer 轻松解压。 如何使用？ 拖放就可以了。