PE Explorer

   English English  Deutsch Deutsch  Русский Русский

главная  программы  pe explorer  обзорный тур

Распаковщик Upack

Автоматическая распаковка файлов, сжатых Upack (WinUpack)

В состав PE Explorer входит плагин для распаковки Upack. Этот плагин вызывается при каждом открытии файла и анализирует, не является ли открываемый файл сжатым при помощи Upack or WinUpack. Поддерживаются все версии Upack.

Upack - это компрессор исполняемых файлов, во многом схожий с UPX. Однако, в отличие от UPX, он использует метод компрессии LZMA и не только не содержит собственных средств для распаковки, но и всячески препятствует восстановлению.

В случае, если открываемый исполняемый файл оказывается запакован Upack, плагин для распаковки Upack автоматически распаковывает файл и воссоздаёт его в его оригинальной несжатой форме, что позволяет вам проводить дальнейший анализ файла в PE Explorer.

При сохранении на диск файл записывается так же в распакованном виде. PE Explorer не запаковывает файл обратно. По этой причине размер файла до и после открытия может существенно изменится, даже если вы не вносили в него никаких изменений.

Смотрите также : Распаковщик UPX    Что такое пакеры?

Анализ вирусов, червей и троянов, сжатых Upack

Многие авторы вредоносных программ используют Upack, стараясь максимально уменьшить размер файла для облегчения проникновения вируса в компьютеры своих жертв, а так же для затруднения анализа метода работы вируса. При изучении такого файла вам прежде всего необходимо установить сам факт того, что файл был запакован Upack. Плагин для распаковки Upack отображает всю информацию о ходе процесса декомпрессии в нижней панели лога:

Upack Unpacker

Теперь, после того, как файл был открыт и распакован, вы можете продолжить изучение файла с помощью анализатора импорта или начать поиск следов в текстовых строках, найденных в файле при помощи дизассемблера. В отличие от дебаггеров, PE Explorer производит статический анализ процедур и библиотек, используемых вирусом, и не исполняет вредоносный код.

Написание собственных плагинов

Плагин для распаковки Upack предназначен для только работы с файлами, сжатыми Upack. Если вы хотите расширить функциональность PE Explorer и создать свой собственный плагин для обработки файла во время его открытия, воспользуйтесь предоставленным API для плагинов. Документация по API находится в файле помощи.

 

Обзорный тур  
 назад | след. 

 

 

PE Explorer

Скриншоты программы

Скачать 30-дневную пробную версию PE Explorer     Купить лицензию