Comment détecter ce qui a été le packer PE utilisé sur l'exe donné?
Question
J'ai trouvé une application qui semble être emballé. Je l'ai ouvert avec un éditeur hexadécimal et il contient la section « UPX1 » et « 3,00 UPX! » chaîne. Malheureusement, je ne suis pas en mesure de le décompresser avec UPX plus tard, il est dit « pas emballé par UPX ». Est-il un moyen de savoir ce que les autres compresseurs / crypters PE ont été utilisés?
La solution
peid est l'outil que vous voulez. Il peut détecter une variété de unpackers, essayez de déballer tout exe tassée (système quel que soit d'emballage), faire le démontage simple, détecter des algorithmes de chiffrement présents dans le code source (et non le système de cryptage de l'exe, pour être clair), et plus encore. Mais surtout, il est un identifiant d'emballeurs, cryptors et compilateurs d'un exe.
Autres conseils
Dans de nombreux cas, un exécutable emballé commence par le programme de lancement, suivi d'un fichier zip standard. Ceci est possible parce que l'en-tête ZIP est à la fin du fichier, vous pouvez préfixer des données arbitraires dans un fichier zip, et il reste à un zipfile. Donc, essayez décompressé, et voir si cela fonctionne.
L'élaboration et la peid mais il est toujours le meilleur outil disponible pour la détection Packer.
vous pouvez également utiliser .it ExeScan est disponible