Как определить, что было использовано упаковщиком PE на данном exe?
Я нашел приложение, которое, кажется, упаковано. Я открыл его с некоторым HEX редактор и содержит раздел "UPX1" и "3.00 UPX по!" строка. К сожалению, я не могу распаковать его с помощью upx latest, он говорит "не упакован UPX". Есть ли способ узнать, какие другие компрессоры/криптеры PE использовались?
3 ответов
Святого Джеймса, Грин инструмент вы хотите. Он может обнаруживать различные распаковки, пытаться распаковать любой упакованный exe (независимо от схемы упаковки), делать простую разборку, обнаруживать алгоритмы шифрования, присутствующие в исходном коде (не схема шифрования exe, чтобы быть ясным), и многое другое. Но в первую очередь это идентификатор упаковщиков, крипторов и компиляторов exe.
во многих случаях упакованный исполняемый файл запускается с программой запуска, за которой следует стандартный zip-файл. Это возможно, потому что zip-заголовок находится в конце файла, поэтому вы можете добавлять произвольные данные в zip-файл, и он остается zipfile. Так что попробуйте расстегнуть молнию и посмотрите, сработает ли это.
разработка и поддержка Святого Джеймса, Грин было прекращено в апреле 2011 года, но это по-прежнему лучший инструмент для обнаружения упаковщика.
вы также можете использовать ExeScan .он доступен здесь
