[转帖][2012-11-03]小米脱壳——通用脱壳机v1.03 (BUG修复，支持检查更新)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[转帖][2012-11-03]小米脱壳——通用脱壳机v1.03 (BUG修复，支持检查更新)

发表于: 2012-11-3 05:38 22972

[转帖][2012-11-03]小米脱壳——通用脱壳机v1.03 (BUG修复，支持检查更新)

chixiaojie 活跃值

2012-11-3 05:38

22972

【2012-11-3】
1. 升级内置的userdb.txt
2. 修复 xinerqu 和binke发现的BUG
3. 增强了IAT修复的算法（但是binke提供的那个aspack的壳仍然无法完全修复IAT。）
4. 增加了命令行功能
5. 增加了自动检测更新按钮

【2012-10-12】
修复了wofan[OCN]发现的BUG
修复了shenjingde发现的BUG

【2012-09-26】
在众位的鼓动下，终于把DLL重定位的问题修复了，提前发出来祝大家国庆节快乐！如有任何问题请留言。
1. 支持动态库脱壳
2. 强力修复导入表（新功能，可能有BUG!）
3. 修改几个小BUG
请到小米脱壳官网查看更新或者直接从此贴附件下载v1.0.0.1

下面来说说小米脱壳的功能：

1. 脱壳
目前可脱壳种类包括但不仅限于以下壳：
UPX
NSPACK
eXpressor
FSG
telock
ReCrypt
Orien
Aspack
telock
ReCrypt
AcProtect
MEW
Molebox
mpress
EXE STEALTH
VPacker
yoda's cryptor 1.2
WinUpack 0.39 final
PECompact
PETITE 2.2
Morphnah Beta

2. 检测壳类型
采用PEID的USERDB.TXT来检测壳类型，小米脱壳内置一份USERDB.TXT，您也可以在小米脱壳目录下放置USERDB.TXT的最新版本以替代之。

常见问题：
Q: 什么是脱壳机?
A: 就是软件用加壳软件加了壳,另外有人写了针对这个壳的脱壳程序,就是脱壳机。

Q: 什么是通用脱壳机,通用脱壳机和专用脱壳机有什么区别?
A: 通用脱壳机能通用于多种加壳软件的脱壳机，专用脱壳机一般只针对一种壳或者一种壳的特定版本进行脱壳。

Q: 通用脱壳机是如何实现的呢?
A: 通用脱壳机一般是通过运行加壳程序，通过多种规则识别加壳程序的实际入口，转储程序内存，然后修复加壳程序的PE文件结构，使文件尽量恢复到未加壳以前的状态。
运行加壳程序方法有两种，一种是以调试方式实际运行加壳程序；另一种是虚拟机方式，即构建一个虚拟环境模拟Windows装载和执行加壳程序。小米脱壳采用虚拟机方式实现脱壳。

Q: 小米脱壳的脱壳能力如何？
A: 经测试小米脱壳能脱绝大多数压缩壳，能脱少量加密壳，因为加密壳需要的特殊处理很多，作为通用脱壳软件小米脱壳没有针对每种壳进行特殊处理。

Q: 小米脱壳的壳识别能力如何？
A: 小米脱壳的壳识别采用PEiD的特征库，与小米脱壳是两个独立的功能。能不能识别壳和能不能脱壳没有任何关系。

Q: 运行小米脱壳来对一个文件脱壳为什么没有生成脱壳文件？
A: 可能有很多原因，如
1. 目标文件不正确，如不是PE文件，或文件没加壳。
2. 小米脱壳无法定位加壳文件的原始入口。
3. 小米脱壳的虚拟机运行不正确或者程序有BUG。

Q: 运行小米脱壳来对一个文件脱壳生成了脱壳文件，但为什么运行直接CRASH？
A: 应该是文件恢复不正确，如导入表，入口，内部代码等没有完全恢复。绝大多数情况下，如果能生成脱壳文件，说明小米脱壳已经成功找到原始入口并DUMP内存文件，这类文件可以用手工方式进行修复。总之，如能生成文件，离文件的完美脱壳已经不远了。

Q: 小米脱壳还欠缺哪些功能？
A:
1. 不能脱强加密壳，如VMP，THEMIDA等.
2. V1.0不处理code replace.

Q: 能不能帮忙帮我脱个壳？
A: 由于精力和水平有限，没有办法帮你给一个特定的程序脱壳。但如果发现一个加壳工具，小米脱壳能生成文件，但是运行不正确，可将此加壳工具发给我，我会安排时间进行分析，并告诉你是否可以支持此脱壳工具。

Q: 如何联系作者？
A: 请发邮件至epocsoft@gmail.com.

本地备份

[ATTACH]73032[/ATTACH]

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

PackerBreaker-v1.0.3.zip （1.13MB，2475次下载）

收藏・14

免费・0

支持

最新回复 (30) 1 2 ▶
shuax 雪币： 1897 活跃值： (1976) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 10 关注私信	shuax 2 2 楼不错，很好使 2012-11-3 07:49 0
柔情似水雪币： 1579 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 3 楼坐到一个板凳，好啊 2012-11-3 09:40 0
回忆的雪币： 211 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 4 楼强烈支持。很不错.. 2012-11-7 14:53 0
crazybug 雪币： 12 活跃值： (620) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 5 楼赞一个，确实比很多虚拟机脱壳要好用。 2012-11-8 10:09 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 6 楼普天之下竟有如此之神器！ 2012-11-8 20:15 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 7 楼元芳你怎么看？ 2012-11-8 20:15 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 8 楼好东西，右键一个发送到，脱壳后的文件已经在文件夹里了，还能更安逸点嘛。。。我有点太贪婪了。感谢分享。 2012-11-8 20:32 0
jimtien 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	jimtien 9 楼脱不了PECompact 2.x -> Jeremy Collake，脱壳程序无法运行 2012-11-15 10:43 0
xScorpion 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	xScorpion 10 楼 Possible packers: *: Microsoft Visual C++ v8.0 Finished. ------------------------------------------------------- 什么意思？不确定？ 2012-11-15 12:40 0
唯一色彩雪币： 212 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 11 楼非常感谢辛苦了 ~~ 2012-11-17 10:27 0
唯一色彩雪币： 212 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 12 楼 Possible packers: : MoleBox V2.3X -> MoleStudio.com Sign.By.flyOEP FOUND: 1002429F [x] Imports fixed. [x] File successfully unpacked to D:\Cr\OD\mbunpack\2013年考研数学春季基础高数第二部分9课时03.pb.1.exe. Finished. 无法脱壳，76M的文件，脱壳后只有1.04M，无法运行。 2012-11-17 10:30 0
kanven 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	kanven 13 楼谢谢楼主，下载一个收藏！ 2012-11-19 00:38 0
山民雪币： 7474 活跃值： (4455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 125 粉丝 1 关注私信	山民 14 楼在本地有备份，方便。 2012-11-20 09:09 0
cjim 雪币： 219 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 15 楼样本发来瞅瞅 2012-11-20 20:53 0
cjim 雪币： 219 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 16 楼内置的peid签名识别是VC8，没脱出来，实际上是啥壳？ 2012-11-20 20:55 0
cjim 雪币： 219 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 17 楼 [QUOTE=唯一色彩;1118552]Possible packers: : MoleBox V2.3X -> MoleStudio.com Sign.By.flyOEP FOUND: 1002429F [x] Imports fixed. [x] File successfully unpacked to D:\Cr\...[/QUOTE] 文件发来瞅瞅。 2012-11-20 21:01 0
my1229 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	my1229 18 楼强烈支持楼主原创工具。 2012-11-27 22:14 0
even 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	even 19 楼感谢楼主分享，谢谢！ 2012-12-1 15:43 0
sysmaster 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	sysmaster 20 楼膜拜,你让我们这些刚学的情何以堪啊, 如果以后一直学不会脱壳,只能找你算账了，是你让我们变懒了 2012-12-1 16:15 0
newman1 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	newman1 21 楼 Possible packers: : ASProtect v1.23 RC1 : ASProtect v1.2x (New Strain) : ASProtect V2.X Registered -> Alexey Solodovnikov Sign.By.flyFinished. 是什么意思？ 2012-12-1 21:13 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 22 楼支持的真多不错支持一下 2012-12-10 13:57 0
miniport 雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	miniport 23 楼谢谢，试了个文件，提示成功，不过无法运行，改成原名也是无法运行 Possible packers: : ASProtect v1.23 RC1 : ASProtect v1.2x (New Strain) : ASProtect V2.X Registered -> Alexey Solodovnikov Sign.By.flyOEP FOUND: 00401014 [x] Imports fixed. [x] File successfully unpacked to C:\Program Files\汽车衡(地磅)称重管理软件\Weight.pb.143.exe. Finished. 2012-12-15 14:09 0
学一招雪币： 212 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 1 关注私信	学一招 24 楼好东西，感谢分享。 2012-12-15 18:59 0
freesuck 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	freesuck 25 楼不知道哪个版本好用谁说一声 2012-12-18 22:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chixiaojie

发帖

1357

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
shuax 雪币： 1897 活跃值： (1976) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 10 关注私信	shuax 2 2 楼不错，很好使 2012-11-3 07:49 0
柔情似水雪币： 1579 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 3 楼坐到一个板凳，好啊 2012-11-3 09:40 0
回忆的雪币： 211 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 4 楼强烈支持。很不错.. 2012-11-7 14:53 0
crazybug 雪币： 12 活跃值： (620) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 5 楼赞一个，确实比很多虚拟机脱壳要好用。 2012-11-8 10:09 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 6 楼普天之下竟有如此之神器！ 2012-11-8 20:15 0
wf王飞雪币： 62 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 109 粉丝 0 关注私信	wf王飞 7 楼元芳你怎么看？ 2012-11-8 20:15 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 8 楼好东西，右键一个发送到，脱壳后的文件已经在文件夹里了，还能更安逸点嘛。。。我有点太贪婪了。感谢分享。 2012-11-8 20:32 0
jimtien 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	jimtien 9 楼脱不了PECompact 2.x -> Jeremy Collake，脱壳程序无法运行 2012-11-15 10:43 0
xScorpion 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	xScorpion 10 楼 Possible packers: *: Microsoft Visual C++ v8.0 Finished. ------------------------------------------------------- 什么意思？不确定？ 2012-11-15 12:40 0
唯一色彩雪币： 212 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 11 楼非常感谢辛苦了 ~~ 2012-11-17 10:27 0
唯一色彩雪币： 212 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 12 楼 Possible packers: : MoleBox V2.3X -> MoleStudio.com Sign.By.flyOEP FOUND: 1002429F [x] Imports fixed. [x] File successfully unpacked to D:\Cr\OD\mbunpack\2013年考研数学春季基础高数第二部分9课时03.pb.1.exe. Finished. 无法脱壳，76M的文件，脱壳后只有1.04M，无法运行。 2012-11-17 10:30 0
kanven 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	kanven 13 楼谢谢楼主，下载一个收藏！ 2012-11-19 00:38 0
山民雪币： 7474 活跃值： (4455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 125 粉丝 1 关注私信	山民 14 楼在本地有备份，方便。 2012-11-20 09:09 0
cjim 雪币： 219 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 15 楼样本发来瞅瞅 2012-11-20 20:53 0
cjim 雪币： 219 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 16 楼内置的peid签名识别是VC8，没脱出来，实际上是啥壳？ 2012-11-20 20:55 0
cjim 雪币： 219 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 17 楼 [QUOTE=唯一色彩;1118552]Possible packers: : MoleBox V2.3X -> MoleStudio.com Sign.By.flyOEP FOUND: 1002429F [x] Imports fixed. [x] File successfully unpacked to D:\Cr\...[/QUOTE] 文件发来瞅瞅。 2012-11-20 21:01 0
my1229 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	my1229 18 楼强烈支持楼主原创工具。 2012-11-27 22:14 0
even 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	even 19 楼感谢楼主分享，谢谢！ 2012-12-1 15:43 0
sysmaster 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	sysmaster 20 楼膜拜,你让我们这些刚学的情何以堪啊, 如果以后一直学不会脱壳,只能找你算账了，是你让我们变懒了 2012-12-1 16:15 0
newman1 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	newman1 21 楼 Possible packers: : ASProtect v1.23 RC1 : ASProtect v1.2x (New Strain) : ASProtect V2.X Registered -> Alexey Solodovnikov Sign.By.flyFinished. 是什么意思？ 2012-12-1 21:13 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 22 楼支持的真多不错支持一下 2012-12-10 13:57 0
miniport 雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	miniport 23 楼谢谢，试了个文件，提示成功，不过无法运行，改成原名也是无法运行 Possible packers: : ASProtect v1.23 RC1 : ASProtect v1.2x (New Strain) : ASProtect V2.X Registered -> Alexey Solodovnikov Sign.By.flyOEP FOUND: 00401014 [x] Imports fixed. [x] File successfully unpacked to C:\Program Files\汽车衡(地磅)称重管理软件\Weight.pb.143.exe. Finished. 2012-12-15 14:09 0
学一招雪币： 212 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 1 关注私信	学一招 24 楼好东西，感谢分享。 2012-12-15 18:59 0
freesuck 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	freesuck 25 楼不知道哪个版本好用谁说一声 2012-12-18 22:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复