Как определить, что было использовано упаковщиком PE на данном exe?

Я нашел приложение, которое, кажется, упаковано. Я открыл его с некоторым HEX редактор и содержит раздел "UPX1" и "3.00 UPX по!" строка. К сожалению, я не могу распаковать его с помощью upx latest, он говорит "не упакован UPX". Есть ли способ узнать, какие другие компрессоры/криптеры PE использовались?

3 ответов


Святого Джеймса, Грин инструмент вы хотите. Он может обнаруживать различные распаковки, пытаться распаковать любой упакованный exe (независимо от схемы упаковки), делать простую разборку, обнаруживать алгоритмы шифрования, присутствующие в исходном коде (не схема шифрования exe, чтобы быть ясным), и многое другое. Но в первую очередь это идентификатор упаковщиков, крипторов и компиляторов exe.


во многих случаях упакованный исполняемый файл запускается с программой запуска, за которой следует стандартный zip-файл. Это возможно, потому что zip-заголовок находится в конце файла, поэтому вы можете добавлять произвольные данные в zip-файл, и он остается zipfile. Так что попробуйте расстегнуть молнию и посмотрите, сработает ли это.


разработка и поддержка Святого Джеймса, Грин было прекращено в апреле 2011 года, но это по-прежнему лучший инструмент для обнаружения упаковщика.
вы также можете использовать ExeScan .он доступен здесь

ExeScan