كيفية اكتشاف ما هو PE PAPER المستخدمة في EXE المحدد؟
سؤال
لقد وجدت تطبيقا يبدو أنه معبأ. فتحته مع بعض محرر HEX ويحتوي على قسم "UPX1" و "3.00 UPX!" سلسلة. لسوء الحظ، أنا غير قادر على إلغاء ضغطه بأحدث upx، ويقول "غير معبأة بواسطة UPX". هل هناك طريقة لمعرفة ما تم استخدام ضواغط PE الأخرى / CryPters؟
المحلول
بيد هي الأداة التي تريدها. يمكنه اكتشاف مجموعة متنوعة من أجهزة فك اضطرابات، ومحاولة فك أي exe معبأة (بغض النظر عن مخطط التعبئة)، قم بإجراء تفكيك بسيط، والكشف عن خوارزميات التشفير الموجودة في التعليمات البرمجية المصدرية (وليس مخطط التشفير من EXE، وأن تكون واضحة)، وأكثر من ذلك. ولكن في المقام الأول، هو معرف للعرافات والكريمات ومجمعات التحويل البرمجيات من EXE.
نصائح أخرى
في كثير من الحالات، يبدأ قابل للتنفيذ معبأ مع برنامج الإطلاق، متبوعا بملف مضغوط قياسي. هذا ممكن لأن رأس ZIP هو في نهاية الملف، حتى تتمكن من إعدام البيانات التعسفية إلى ملف مضغوط، ويبقى لتكون ZipFile. لذلك حاول فكها، ومعرفة ما إذا كان ذلك يعمل.