Tôi đã tìm thấy một ứng dụng dường như được đóng gói. Tôi đã mở nó với một số trình soạn thảo hex và nó chứa phần "UPX1" và "3.00 UPX!" chuỗi. Thật không may tôi không thể giải nén nó với upx mới nhất, nó nói "không được đóng gói bởi UPX". Có cách nào để tìm hiểu những máy nén/mật mã PE khác đã được sử dụng không?Cách phát hiện trình đóng gói PE được sử dụng trên exe đã cho là gì?
Trả lời
PEiD là công cụ bạn muốn. Nó có thể phát hiện một loạt các trình giải nén, cố gắng giải nén bất kỳ gói exe nào (bất kể lược đồ đóng gói), thực hiện tháo gỡ đơn giản, phát hiện các thuật toán mã hóa có trong mã nguồn (không phải lược đồ mã hóa của exe, rõ ràng), và hơn thế nữa. Nhưng chủ yếu, nó là một định danh của các nhà đóng gói, mật mã và các trình biên dịch của một exe.
Trong nhiều trường hợp, tệp thực thi được đóng gói bắt đầu bằng chương trình khởi chạy, theo sau là tệp zip chuẩn. Điều này là có thể vì tiêu đề ZIP ở cuối tệp, vì vậy bạn có thể thêm dữ liệu tùy ý vào một tệp zip và nó vẫn là tệp zipfile. Vì vậy, hãy thử giải nén nó và xem liệu nó có hiệu quả hay không.
Thật không may đó không phải là trường hợp của tôi. Nó không phải là một tệp nén, chương trình không phải là một bản lưu trữ "tự giải nén" tiêu chuẩn, nó được đóng gói với một số trình đóng gói PE khác, và CSONG một UPX (như tôi đã đề cập ở trên, tiêu đề UPX cũng có mặt). – migajek
- 1. Cách phát hiện tệp PE đã cho (exe hoặc dll) là 64 bit hoặc 32 bit
- 2. chạy exe được đóng gói bên trong jar
- 3. 'fileSystem' chỉ được phép cho các ứng dụng đóng gói và đây là ứng dụng được đóng gói cũ
- 4. NIO - Phát hiện kết nối đã đóng
- 5. Phát hiện đóng HTTP bằng cách sử dụng inet
- 6. Đóng gói nhiều .exe trong gói .msi đơn
- 7. phát hiện khi ứng dụng được đóng
- 8. Nguyên nhân của "svn: E195019: Đã phát hiện chu trình chuyển hướng cho URL" là gì?
- 9. Nhật ký cho ứng dụng Rails được đóng gói bằng cách sử dụng Warbler ở đâu?
- 10. Phân tích các tệp .exe/.dll (Windows PE) cho các bloats mã
- 11. Gói Nuget thực sự là lệnh exe?
- 12. CallbackOnCollectedDelegate đã được phát hiện
- 13. Gevent-Websocket Phát hiện kết nối đã đóng
- 14. cách biết lớp/gói/phương thức nào được sử dụng bởi tệp jar đã cho?
- 15. Ruby: Cách phát hiện khi một bên của ổ cắm đã được đóng
- 16. Điều gì làm cho kích thước của EXE phát triển?
- 17. ID gói nhà phát triển iOS và tên ứng dụng đã được sử dụng
- 18. Một số cách sử dụng bao đóng cho OOP là gì?
- 19. Cách tốt nhất để đóng gói một Ứng dụng Java với nhiều phụ thuộc là gì?
- 20. CallbackOnCollectedDelegate trong globalKeyboardHook đã được phát hiện
- 21. Cách xuất tệp exe trong Visual Studio Với tất cả các tệp đã sử dụng
- 22. Cách phát hiện xem ứng dụng OS X đã được khởi chạy chưa
- 23. Phát hiện xem ứng dụng đã được gỡ cài đặt
- 24. Cách phát hiện xem DOMContentLoaded đã được kích hoạt chưa
- 25. Các trang phục của Windows độc lập .exe và trình cài đặt là gì?
- 26. Trình tạo GWT sử dụng là gì?
- 27. Phát hiện khi biểu mẫu đã bị đóng C#
- 28. Sử dụng tốt các mô-đun đóng gói OCaml là gì?
- 29. Cấu trúc "đóng gói" trong C là gì?
- 30. Phát hiện người dùng đã đăng nhập trên máy tính bằng cách sử dụng Java
nó hoạt động tuyệt vời! cảm ơn ! :) – migajek
PEiD đã bị ngừng theo wiki. Phiên bản cũ hơn vẫn có sẵn để tải xuống theo http://www.aldeid.com/wiki/PEiD – Universitas