UPX Ripper是一款簡單實(shí)用的UPX脫殼工具，專門針對UPX壓縮文件開發(fā)，主要可用于脫Upx變種殼，傻瓜式操作，支持創(chuàng)建備份、最大比例壓縮、修改保護(hù)等功能。

【軟件功能】

　　1、解壓縮所有UPX壓縮文件（* .exe，*.dll）

　　2、UPX Ripper破解所有已知的UPX擾頻器

　　3、UPX Ripper支持打包文件

　　4、UPX Ripper僅支持解壓縮UPX壓縮文件

　　5、UPX Ripper傻瓜式的UPX脫殼軟件

　　6、可選創(chuàng)建備份、最大壓縮、修改保護(hù)（防止被UPX解壓）操作

【軟件特色】

　　一、查殼功能：

　　萬能脫殼工具支持文件拖拽，目錄拖拽，可設(shè)置右鍵對文件和目錄的查殼功能，除了FFI自帶殼庫unpack.avd外，還可以使用擴(kuò)展殼庫(必須命名為userdb.txt，此庫格式兼容PEID庫格式，可以把自己收集的userdb.txt放入增強(qiáng)殼檢測功能)。

　　注：如果是使用擴(kuò)展庫里特征查出的殼，在殼信息后面會有 * 標(biāo)志。

　　二、脫殼功能：

　　如果在查殼后，Unpack按鈕可用，則表示可以對當(dāng)前處理文件進(jìn)行脫殼處理，采用虛擬機(jī)脫殼技術(shù)，您不必?fù)?dān)心當(dāng)前處理文件可能危害系統(tǒng)。

　　三、PE編輯功能：

　　萬能脫殼工具主界面可顯示被檢查的程序的入口點(diǎn)/入口點(diǎn)物理偏移，區(qū)段等信息，并且提供強(qiáng)大的編輯功能。

　　其中PE Section后按鈕可以編輯當(dāng)前文件的節(jié)表，點(diǎn)擊后出現(xiàn)Sections Editor窗口。

　　主要功能有：

　　顯示詳細(xì)的節(jié)段信息

　　可查看編輯區(qū)段名稱、大小、執(zhí)行屬性等相關(guān)信息。

　　清除選定的區(qū)段名稱

　　對區(qū)段進(jìn)行自動修復(fù)

　　從磁盤加載區(qū)段

　　保存區(qū)段到磁盤

　　增加一個(gè)新的區(qū)段

　　從文件中刪除區(qū)段

　　從PE頭中刪除區(qū)段(區(qū)段內(nèi)容實(shí)質(zhì)還在)

　　用指定的數(shù)據(jù)填充區(qū)段

　　SubSystem后按鈕可以顯示PE文件的詳細(xì)信息，支持詳細(xì)編輯PE文件的Dos頭，NT頭等信息，支持查看PE文件的導(dǎo)出表、導(dǎo)入表信息，本項(xiàng)目功能太細(xì)致具體請參考界面。

　　四、附加數(shù)據(jù)檢測：

　　萬能脫殼工具可掃描應(yīng)用程序是否包含附件數(shù)據(jù)，并提供了附加數(shù)據(jù)詳細(xì)的起始位置和大小，可以用Del Overlay按鈕和Save Overlay按鈕進(jìn)行相應(yīng)的處理。

　　五、支持PEid插件：

　　點(diǎn)Options按鈕選擇Load Plugins就可以使用PEid的插件功能，無需重啟FFI，插件必須放plugins目錄下，然后點(diǎn)Plugin》就可看到相應(yīng)插件信息。

　　六、ReBuild PE 功能：

　　萬能脫殼工具此功能主要是用來對脫殼后的PE文件進(jìn)行修復(fù)，一般可用來解決脫殼后無法重新加殼等問題，使用ReguildPE按鈕即可完成此功能。

　　七、第三方工具支持：

　　在Options按鈕中，點(diǎn)Manage Tools按鈕，可以用右鍵菜單添加/刪除IDA/OllyDBG等第三方工具，這樣就可以直接在FFI里啟動OllyDBG、IDA這些工具來打開當(dāng)前文件進(jìn)行反匯編。

　　注：添加第三方工具后，點(diǎn)Plugin》按鈕就可以看到您添加的工具信息了，點(diǎn)擊即可用此工具打開當(dāng)前處理文件。

　　八、進(jìn)程DUMP：

　　點(diǎn)TaskView按鈕后，可以進(jìn)行進(jìn)程的終止，進(jìn)程中模塊內(nèi)存的dump，目前支持三種dump方式：Dump Full、Dump Partial和Dump Region，還支持自動修正主模塊內(nèi)存鏡像大小。

　　九、導(dǎo)入表抓取：

　　點(diǎn)Get IAT按鈕后，選擇進(jìn)程后就可以抓取導(dǎo)入表，在DumpFixer前請?zhí)钌险_的OEP信息。

　　如果出現(xiàn)不可識別的函數(shù)信息，您可以設(shè)置虛擬機(jī)解密步數(shù)，在導(dǎo)入表信息框中用右鍵點(diǎn)VM Decode嘗試解密這個(gè)函數(shù)

　　如果您發(fā)現(xiàn)抓取的導(dǎo)入表信息有些不是您想要的，可以在導(dǎo)入表信息框中用右鍵點(diǎn)Del Thunk或者Cut Thunk讓其消失。

　　如果您要對進(jìn)程的非主模塊抓取導(dǎo)入表，請?jiān)贛anipulation records窗口中對相應(yīng)模塊信息點(diǎn)右鍵Load this module，這樣抓取的導(dǎo)入表就是這個(gè)模塊的了。