Packer für Windows Executables haben neben dem, was man aus dem Namen bereits vermuten kann ;-), noch ein paar interessante Zusatzfunktionen. So fügen sie u.a. eigene Verschlüsselungsfunktionen hinzu, um eine String-Analyse zu behindern, sowie Entpackroutinen, die den Programmcode nach dem Aufruf automatisch entpacken. Da man immer wieder unbekannte Binärdateien auf verdächtigen Systemen oder dem Quarantäneverzeichnis des Virenscanners findet, hat man es bei der Binäranalyse dann oft mit diesen Packfunktionen zu tun. Ich habe kürzlich eine Zusammenfassung von Packern und Unpackern für Windows-Executables gesucht und bin dabei auf diese recht interessante Liste gestoßen (Hinweis: Es kann sein, dass einige Content-Filter die Webseite nicht erlauben ;-)).
Auf der Webseite ist auch der Download von einigen Unpackern möglich. Folgende Unpacker sind enthalten:
- ArmKiller (alternative Armadillo unpacker),
- Bye PE-Crypt v1.2 (PE-Crypt),
- PE-Protect v0.9,
- PEunCompact v0.01 & PE-UnCompact v1.5 Beta (PECompact),
- PEUNLOCK-NT,
- r!sc’s Petite enlarger v1.0/v1.2/v1.3,
- rAD v0.6 (AsProtect),
- tEunlock v1.0,
- UnArmadillo v1.1 & v1.2 (courtesy of UCF),
- UnAspack v1.0.9.0 (ASPack),
- un-CodeCrypt,
- undbpe 1.2,
- unNFO v1.0,
- UNPCPECa.
- UNPE-SHiELD v0.14 & v0.25 (PE-Shield),
- UnShrinker v1.0.
Wie wär’s mit Universal Extractor 1.5 (Google)? Der kann auch solche .exe-Archive entpacken, welche Total Commander mit all seinen Unpacker nicht hinkriegt.
Es geht hier nicht um normale Dateikomprimiertools, sondern um Entpackroutinen, die den Programmcode nach dem Aufruf automatisch im Hauptspeicher entpacken. Oft enthalten diese Routinen auch Kryptofunktionen.
Da fehlt noch UPX
http://upx.sourceforge.net/
ist einer der geläufigsten
Schon richtig, es ging in dem Beitrag aber um UNpacker, um u.a. genau auch UPX zu entpacken.