Heaventools

   English English  Deutsch Deutsch

startseite  produkte  pe explorer  feature tour

UPX ENTPACKER

UPX Automatisch Entpacken

PE Explorer kommt mit dem UPX Entpack-Plugin. Dies ist ein Startup-Verarbeitungsplugin, um die Dateien, die mit UPX komprimiert wurden, zu entpacken. Nun können Sie die Dateien, die mit UPX komprimiert wurden, öffnen, selbst ohne zu wissen, dass Ihre Datei automatisch entpackt wird.

Nun können Sie diese verschleierten Dateien mit PE Explorer öffnen, sogar ohne zu wissen, dass die Dateien automatisch entpackt werden.

Wenn Sie eine Datei mit PE Explorer öffnen, erkennt der UPX Entpack-Plugin ob sie mit UPX gepackt wurde, und wenn ja, wird diese Datei automatisch entpackt. Die Ergebnisdatei wird entpackt gespeichert. PE Explorer komprimiert die Datei, die vorher bereits komprimiert wurde, nicht neu.

Der Unpacker zeigt Nachrichtenzeilen im unteren Logpanel folgendermaßen an:

UPX Unpacker

Alle Versionen von UPX werden unterstützt, von alten früheren Versionen (vor 0.80) bis zur letzten Version 4.0x. Dateien, die mit UPX 3.9x mit der Option " –Brute" komprimiert wurden, können nun geöffnet werden.

Schädlichen Software entpacken

Der UPX-Extrahierer kann sogar mit ausführbaren Schadprogrammen (Viren, Würmern, Trojanern, AdWare, etc) umgehen und diese sicher entpacken. Selbst dann, wenn ein Schadprogramm mit UPX gepackt und manuell modifiziert wurde, so dass standardmäßige UPX-Entkomprimier-methode nicht direkt verwendet werden kann, um die Datei zu dekomprimieren ohne sie auszuführen.

Um das Auspacken und Reverse-Engineering schwerer zu machen, verändern die Malware-Autoren oft interne Strukturen der ausführbaren Dateien. Sie ändern, zum Beispiel, UPX-Zeilen, indem sie die Binärsektionen statt "UPX" zum Beispiel als "XYZ" anzeigen, oder diese sogar leer lassen; Änderung der Versionsnummern von UPX-Format (z.B. von 1.23 bis 3.21) ist auch möglich.

Der UPX Entpack-Plugin entdeckt diese listigen Veränderungen und entpackt die verschleierte Dateien während der Übertragung: gelöschte UPX-Header fallen nicht ins Gewicht.

Ursprünglichen UPX-Header wiederherstellen

Vorher musste man die ausführbare Datei starten und komprimierte Segmente sofort abspeichern, nachdem die ausführbare Datei in den Speicher entpackt wurde. Nun können Sie diese verschleierten Dateien mit PE Explorer öffnen, sogar ohne zu wissen, dass die Dateien automatisch entpackt werden.

Damit können Sie die Prozeduren und Bibliotheken die die Malware benutzt, analysieren, ohne dabei die ausführbaren Dateien zu aktivieren – ein großer Vorteil gegenüber Diagnose-Programmen, wo der verdächtige Code ausgeführt werden muss, um analysiert zu werden.

Der UPX Unpacker versucht, eine Datei wiederherzustellen, selbst wenn der ursprüngliche PE-Dateiheader-Eintrag nach dem Entpacken nicht mehr vorhanden ist. Früher bedeutete der Verlust des PE-Datei-Headers eine komplette Funktionslosigkeit und Nichtreparierbarkeit der ausführbaren Datei. Nun haben Sie gute Chancen, komprimierte ausführbare Malware-Dateien zu analysieren und versteckte Daten zu extrahieren.

Plug-in Manager

Durch das Wählen von "Plug-In Manager" aus dem Menü Tools wird der Dialog Plug-In-Manager angezeigt. Der Plug-in Manager listet alle Plugins auf, die PE Explorer hat.

Plug-in Manager

Wenn es geöffnet ist, können Sie die Rangfolge für gewählte Plugins setzen. Größere Werte haben höhere Priorität, Null deaktiviert die Plugins und markiert es rot.

Schreiben Sie Ihre eigenes Plugins

Der UPX Entpack-Plugin entpackt nur Dateien, die mit UPX komprimiert wurden. Jedoch ermöglicht die geöffnete API Integration benutzerdefinierter Plugins. Sehen Sie PE Explorer-Hilfe für das Plugin API: Sie können Ihre eigenes benutzerdefiniertes Startup-Ausführungs-Plugin für verschlüsselte Dateien und Entpacken komprimierter Dateien schreiben.

Innerhalb des PE Explorer-Verzeichnisses ist ein Unterverzeichnis mit dem Namen PLUGINS. Alle Plugins (DLLs) sollen in diesem Ordner platziert sein.

Das Plugin API wird erweitert, deswegen ist beim Schreiben benutzerdefinierter Plugins wichtig, auf die Bemerkungen, die in den Beschreibungen der Funktionen und Typen gemacht werden (sehen Sie hierfür Produkt-Hilfedatei) zu achten und an diese festhalten. Wenn Sie diesen Richtlinien folgen, wird Ihr Code mit zukünftigen Versionen von PE Explorer und Resource Tuner kompatibel sein.

Das Plugin API kann innerhalb von PE Explorer oder Resource Tuner Packages gefunden werden.

 

Feature Tour    
zurück | weiter 

 

 

PE Explorer
Schauen Sie sich die Screenshots

Download 30-Tage PE Explorer Testversion     Kaufen Sie die Vollversion