Cómo detectar cuál era el empacador PE utilizado en el exe dado?
Pregunta
He encontrado una aplicación que parece estar lleno. Lo abrí con algún editor hexadecimal y que contiene la sección "UPX1" y "3.00 UPX!" cuerda. Desafortunadamente no soy capaz de descomprimir con upx última, que dice "no embalado por UPX". ¿Hay una manera de averiguar qué / se utilizaron otros compresores PE cifrados?
Solución
PEiD es la herramienta que desee. Es capaz de detectar una variedad de desempacadores, intento de descomprimir cualquier exe en paquete (independientemente del esquema de embalaje), hacer el desmontaje simple, detectar algoritmos de cifrado presentes en el código fuente (no el esquema de cifrado del exe, para ser claros), y más. Pero sobre todo, es un identificador de empacadores, cryptors, y compiladores de un exe.
Otros consejos
En muchos casos, un archivo ejecutable empaquetado comienza con el programa de lanzamiento, seguido de un archivo zip estándar. Esto es posible porque el encabezado postal se encuentra al final del archivo, por lo que se puede anteponer datos arbitrarios a un archivo zip, y queda por ser un archivo zip. Así que trate de descomprimirlo, y ver si eso funciona.