Ho trovato un'applicazione che sembra essere imballata. L'ho aperto con un editor esadecimale e contiene la sezione "UPX1" e "UPX! 3,00" stringa. Sfortunatamente non sono in grado di decomprimerlo con l'upx più recente, si dice "non compresso da UPX". C'è un modo per scoprire quali altri compressori/cripte PE sono stati utilizzati?Come rilevare qual era il packer PE utilizzato su un determinato exe?
PEiD è lo strumento desiderato. Può rilevare una varietà di decompressori, tentare di decomprimere qualsiasi exe (indipendentemente dallo schema di compressione), eseguire semplici disassemblaggi, rilevare gli algoritmi di crittografia presenti nel codice sorgente (non lo schema di crittografia dell'exe, essere chiari) e altro. Ma soprattutto, è un identificatore di packer, crittografatori e compilatori di un exe.
In molti casi, un file eseguibile viene avviato con il programma di avvio, seguito da un file zip standard. Ciò è possibile perché l'intestazione ZIP si trova alla fine del file, quindi puoi anteporre dati arbitrari a un file zip e rimane un file zip. Quindi prova a decomprimerlo e vedere se funziona.
Purtroppo questo non è il mio caso. Non è un file zip, il programma non è un archivio "autoestraente" standard, è piuttosto pieno di altri pacchetti PE, e ANCHE un UPX (come ho già detto sopra, è presente anche l'intestazione UPX). – migajek
funziona benissimo! Grazie ! :) – migajek
PEiD è stato interrotto secondo il wiki. Una versione precedente è ancora disponibile per il download in base a http://www.aldeid.com/wiki/PEiD – Universitas