Comment détecter ce qui était le packer PE utilisé sur l'exe donné?
J'ai trouvé une application qui semble être emballé. Je l'ai ouvert avec quelques éditeur hexadécimal et qu'il contient des "UPX1" et "3.00 UPX!" de la chaîne. Malheureusement, je ne suis pas en mesure de le décompresser avec upx plus tard, elle dit "pas emballé par UPX". Est-il un moyen de savoir ce que les autres PE compresseurs/crypters ont été utilisés?
source d'informationauteur migajek | 2009-08-13
Vous devez vous connecter pour publier un commentaire.
PEiD est l'outil que vous voulez. Il peut détecter une variété de unpackers, tenter de défaire les paniers exe (indépendamment de l'emballage), ne démontage simple, détecter les algorithmes de chiffrement présent dans le code source (pas le schéma de chiffrement de l'exe, pour être clair), et plus encore. Mais surtout, c'est un identifiant de packers, cryptors, et les compilateurs d'un fichier exe.
Dans de nombreux cas, un emballés exécutable démarre avec le lancement du programme, suivie d'un standard de fichier zip. Cela est possible parce que le ZIP en-tête est à la fin du fichier, de sorte que vous pouvez ajouter des données arbitraires dans un fichier zip, et il reste à être un zipfile. Essayez donc de le décompresser, et de voir si cela fonctionne.
De Soutien et de développement de PEiD a été arrêté en avril 2011, mais il est toujours le meilleur outil disponible pour le Packer de détection.
vous pouvez également utiliser ExeScan .il est disponible ici