unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

يعد استخدام باكرات وقت التشغيل من قبل مؤلفي البرامج الضارة أمرًا شائعًا للغاية ، حيث إنها تقنية تساعد على إعاقة التحليل. علاوة على ذلك ، يمثل Packers تحديًا لمنتجات مكافحة الفيروسات ، لأنها تجعل من المستحيل تحديد البرامج الضارة عن طريق التوقيعات أو التجزئة وحدها.

من أجل أن تكون قادرًا على تحليل عينة من البرامج الضارة المعبأة ، غالبًا ما تكون مطلوبة لتفريغ الثنائي. عادةً ما يعني هذا أنه سيتعين على المحلل تفريغ الثنائي يدويًا باستخدام تقنيات التحليل الديناميكي (الأدوات: Ollydbg ، x64dbg). هناك أيضًا بعض الأساليب للتفريغ التلقائي ، لكنها جميعها متاحة فقط لنظام التشغيل Windows. لذلك عند استهداف البرامج الضارة Windows المعبأة ، سيتطلب المحلل جهاز Windows. الهدف من مشروعنا هو تمكين من النظام الأساسي التفريغ التلقائي المستقل باستخدام المحاكاة التي تعطي ثنائيات Windows القابلة للتشغيل.

• Aspack : Packer التجاري المتقدم مع نسبة ضغط عالية
• FSG : Freeware ، سريع لتفريغ
• MEW : مصمم خصيصًا للثنائيات الصغيرة
• Mpress : Packer مجاني وأكثر تعقيدًا
• Petite : Freeware Packer ، على غرار Aspack
• UPX : منصات العرض ، Open Source Packer
• yzpack

يجب أن تعمل أي باكرات أخرى أيضًا ، طالما يتم تنفيذ وظائف API المطلوبة في Packer un {i}. بالنسبة إلى Packers غير المعروف على وجه التحديد ، سيتم سؤالك عما إذا كنت ترغب في تحديد عناوين البدء والنهاية يدويًا للمضاهاة. إذا كنت ترغب في البدء عند نقطة الدخول المعلنة في رأس PE ومحاكاة فقط حتى يتم اكتشاف التنقل في القسم ، اضغط على Enter

نحن متواضعون لرؤية بعض الاستخدام النشط لـ un {i} Packer لمشاريع البحث والدورات الجامعية والموارد الأخرى التي تعلم الطلاب حول التغلب على البرامج الضارة:

• الفيديو التعليمي الذي ينتمي إلى دورة الماجستير "تحليل البرامج الضارة وذكاء التهديد السيبراني" في جامعة ويستفال ، مما يوضح كيفية تحليل البرامج الضارة المعروضة مع un {i} باكر
• Deepreflect: ورقة تقدم أداة لتوطين وتحديد مكونات البرامج الضارة داخل ثنائي ضار. تعتمد مجموعة البيانات الخاصة بها على خطوة المعالجة المسبقة لـ Packer {i}
• BDHUNTER: ورقة تصف نظامًا يحدد تلقائيًا مرسلات السلوك للمساعدة في تشغيل السلوكيات الخبيثة. تتطلب الأداة عينات من البرامج الضارة غير المعبأة كمدخلات ، حيث يقترح المؤلفون استخدام Un {i} Packer
• Jarv1s disassembler: disassembler الذي يستخدم un {i} packer كخطوة قبل المعالجة
• محاضرة Anti-Ansti-Virus 2 من "CS 4630: Defense Agint the Dark Dark" ، باستخدام Packer Un {i} كمثال لتفريغ تقنيات
• تحليل البرمجيات الضارة: الطبعة الثانية من هذا الدليل الشامل لتحليل البرامج الضارة التي كتبها Alexey Kleymenov و Amr Thabet أيضًا كيف يعمل تفريغ و deobfuscation ، مع ذكر Packer Un {i} كأداة مناسبة للعديد من الرازم الشهيرة

إذا كنت تستخدم un {i} Packer لمشاريع إضافية وترغب في عرضها في هذه القائمة ، نود أن نسمع منك!

قم بتثبيت حزمة YARA لنظام التشغيل الخاص بك ، واحصل على un {i} packer من PYPI وابدأها باستخدام غلاف سطر الأوامر الذي تم إنشاؤه تلقائيًا:

 pip3 install unipacker
unipacker

للحصول على إرشادات مفصلة حول كيفية استخدام Packer Un {i} يرجى الرجوع إلى الويكي. بالإضافة إلى ذلك ، يتم توثيق جميع أوامر shell. للوصول إلى هذه المعلومات ، استخدم أمر help

يمكنك إلقاء نظرة سريعة على un {i} باكر في مقطع فيديو (ألماني) من قبل البروفيسور كريس ديتريش

استنساخ المستودع ، وداخل مجلد جذر المشروع تنشيط وضع التطوير باستخدام pip3 install -e .

يمكنك أيضًا استخدام DockerFile المقدمة لتشغيل نسخة من الحاويات من Un {i} Packer:

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

على افتراض أن لديك مجلد يسمى local_samples في الدليل المنزلي الخاص بك" ، سيتم تركيب هذا داخل الحاوية. وبالتالي ، ستتمكن Packer من الوصول إلى تلك الثنائيات عبر /root/unipacker/local_samples

يسمح غلاف الطرف الثالث الذي تم إنشاؤه بواسطة @rpgeganage بتفريغ العينات عن طريق إرسال طلب إلى خادم مريح: https://github.com/rpgeganage/restful4up