Tôi đã tìm thấy một ứng dụng dường như được đóng gói. Tôi đã mở nó với một số trình soạn thảo hex và nó chứa phần "UPX1" và "3.00 UPX!" chuỗi. Thật không may tôi không thể giải nén nó với upx mới nhất, nó nói "không được đóng gói bởi UPX". Có cách nào để tìm hiểu những máy nén/mật mã PE khác đã được sử dụng không?Cách phát hiện trình đóng gói PE được sử dụng trên exe đã cho là gì?
PEiD là công cụ bạn muốn. Nó có thể phát hiện một loạt các trình giải nén, cố gắng giải nén bất kỳ gói exe nào (bất kể lược đồ đóng gói), thực hiện tháo gỡ đơn giản, phát hiện các thuật toán mã hóa có trong mã nguồn (không phải lược đồ mã hóa của exe, rõ ràng), và hơn thế nữa. Nhưng chủ yếu, nó là một định danh của các nhà đóng gói, mật mã và các trình biên dịch của một exe.
Trong nhiều trường hợp, tệp thực thi được đóng gói bắt đầu bằng chương trình khởi chạy, theo sau là tệp zip chuẩn. Điều này là có thể vì tiêu đề ZIP ở cuối tệp, vì vậy bạn có thể thêm dữ liệu tùy ý vào một tệp zip và nó vẫn là tệp zipfile. Vì vậy, hãy thử giải nén nó và xem liệu nó có hiệu quả hay không.
Thật không may đó không phải là trường hợp của tôi. Nó không phải là một tệp nén, chương trình không phải là một bản lưu trữ "tự giải nén" tiêu chuẩn, nó được đóng gói với một số trình đóng gói PE khác, và CSONG một UPX (như tôi đã đề cập ở trên, tiêu đề UPX cũng có mặt). – migajek
nó hoạt động tuyệt vời! cảm ơn ! :) – migajek
PEiD đã bị ngừng theo wiki. Phiên bản cũ hơn vẫn có sẵn để tải xuống theo http://www.aldeid.com/wiki/PEiD – Universitas