главная программы pe explorer обзорный тур
Распаковщик Upack
Автоматическая распаковка файлов, сжатых Upack (WinUpack)
В состав PE Explorer входит плагин для распаковки Upack. Этот плагин вызывается при каждом открытии файла и анализирует, не является ли открываемый файл сжатым при помощи Upack или WinUpack. Поддерживаются все версии Upack.
Upack - это компрессор исполняемых файлов, во многом схожий с UPX. Однако, в отличие от UPX, он использует метод компрессии LZMA и не только не содержит собственных средств для распаковки, но и всячески препятствует восстановлению.
В случае, если открываемый исполняемый файл оказывается запакован Upack, плагин для распаковки Upack автоматически распаковывает файл и воссоздаёт его в его оригинальной несжатой форме, что позволяет вам проводить дальнейший анализ файла в PE Explorer.
При сохранении на диск файл записывается так же в распакованном виде. PE Explorer не запаковывает файл обратно. По этой причине размер файла до и после открытия может существенно изменится, даже если вы не вносили в него никаких изменений.
Смотрите также : Распаковщик UPX Что такое пакеры?
Анализ вирусов, червей и троянов, сжатых Upack
Многие авторы вредоносных программ используют Upack, стараясь максимально уменьшить размер файла для облегчения проникновения вируса в компьютеры своих жертв, а так же для затруднения анализа метода работы вируса. При изучении такого файла вам прежде всего необходимо установить сам факт того, что файл был запакован Upack. Плагин для распаковки Upack отображает всю информацию о ходе процесса декомпрессии в нижней панели лога:
Теперь, после того, как файл был открыт и распакован, вы можете продолжить изучение файла с помощью анализатора импорта или начать поиск следов в текстовых строках, найденных в файле при помощи дизассемблера. В отличие от дебаггеров, PE Explorer производит статический анализ процедур и библиотек, используемых вирусом, и не исполняет вредоносный код.
Написание собственных плагинов
Плагин для распаковки Upack предназначен для только работы с файлами, сжатыми Upack. Если вы хотите расширить функциональность PE Explorer и создать свой собственный плагин для обработки файла во время его открытия, воспользуйтесь предоставленным API для плагинов. Документация по API находится в файле помощи.
Скачать 30-дневную пробную версию PE Explorer Купить лицензию