unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

Die Verwendung von Laufzeitpackern durch Malware -Autoren ist sehr häufig, da es sich um eine Technik handelt, die die Analyse behindert. Darüber hinaus sind Packer eine Herausforderung für Antivirenprodukte, da sie es unmöglich machen, Malware allein durch Signaturen oder Hashes zu identifizieren.

Um eine gepackte Malware -Probe analysieren zu können, ist es häufig erforderlich, um die Binärdatei zu packen. Normalerweise bedeutet dies, dass der Analytiker die Binärdatei mit dynamischen Analysetechniken (Tools: OllyDBG, X64DBG) manuell auspacken muss. Es gibt auch einige Ansätze für das automatische Auspacken, aber alle sind nur für Windows verfügbar. Wenn der Analyst bei der Ausrichtung auf eine verpackte Windows -Malware einen Windows -Computer benötigt. Ziel unseres Projekts ist es, eine plattformunabhängige automatische Auspackung zu ermöglichen, indem sie Emulation verwenden, die überwindbare Windows -Binärdateien liefert.

• Aspack : Advanced Commercial Packer mit einem hohen Komprimierungsverhältnis
• FSG : Freeware, schnell zum Auspacken
• MEW : speziell für kleine Binärdateien entwickelt
• Mpress : Kostenloser, komplexerer Packer
• Petite : Freeware Packer, ähnlich wie Aspack
• Upx : plattformübergreifend, Open Source Packer
• Yzpack

Alle anderen Packer sollten auch funktionieren, solange die erforderlichen API -Funktionen in UN {I} Packer implementiert sind. Für Packer, die nicht ausdrücklich bekannt sind, werden Sie gefragt, ob Sie die Start- und Endadressen für die Emulation manuell angeben möchten. Wenn Sie am Einstiegspunkt im PE -Header deklariert sind und einfach nach dem Abschnitt entdeckt werden, drücken Sie Enter

Wir sind demütig, eine aktive Verwendung von Un {i} Packer für Forschungsprojekte, Universitätskurse und andere Ressourcen zu sehen, die den Schülern die Verschleierung von Malware unterrichten:

• Tutorial -Video zum Master -Kurs "Malware Analysis and Cyber ​​Threat Intelligence" an der Westfalian University, die demonstriert
• Deepreflect: Papier mit einem Tool zur Lokalisierung und Identifizierung von Malwarekomponenten in einem böswilligen Binärer. Sein Datensatz stützt sich auf einen UN {i} Packer -Vorverarbeitungsschritt
• BDHUNTER: Papier, das ein System beschreibt, das automatisch Verhaltensmittel identifiziert, um böswillige Verhaltensweisen auszulösen. Das Tool erfordert ausgepackte Malware -Muster als Eingabe, bei der die Autoren mit UN {I} Packer vorschlagen
• JARV1S Disassembler: Disassembler, der UN {i} Packer als Vorverarbeitungsschritt verwendet
• Anti-Anti-Virus 2 Vortrag der "CS 4630: Verteidigung gegen die dunklen Künste der Universität von Virginia", wobei Un {i} Packer als Beispiel zum Auspackentechniken verwendet wird
• Mastering Malware -Analyse: Die zweite Ausgabe dieses umfassenden Leitfadens zur Malwareanalyse von Alexey Kleymenov und AMR -Thabet erklärt auch, wie Packing und Deobfuskation funktioniert und Un {i} Packer als geeignetes Werkzeug für mehrere beliebte Packer erwähnt

Wenn Sie UN {i} Packer für zusätzliche Projekte verwenden und möchten, dass sie in dieser Liste vorgestellt werden, würden wir gerne von Ihnen hören!

Installieren Sie das YARA -Paket für Ihr Betriebssystem, erhalten Sie Un {i} Packer von PYPI und starten Sie es mit dem automatisch erstellten Befehlszeilenwrapper:

 pip3 install unipacker
unipacker

Ausführliche Anweisungen zur Verwendung von UN {i} Packer finden Sie im Wiki. Zusätzlich werden alle Shell -Befehle dokumentiert. Verwenden Sie den Befehl help , um auf diese Informationen zuzugreifen

Sie können sich in einem (deutschen) Video von Prof. Chris Dietrich einen kurzen Blick auf UN {i} Packer werfen

Klonen Sie das Repository und aktivieren Sie den Entwicklungsmodus im Projektroot mit pip3 install -e .

Sie können auch die bereitgestellte Dockerfile verwenden, um eine containerisierte Version von UN {I} Packer auszuführen:

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

Angenommen, Sie haben einen Ordner namens local_samples in Ihrem Heimverzeichnis, wird dieser im Container montiert. UN {i} Packer kann somit über /root/unipacker/local_samples auf diese Binärdateien zugreifen

Eine von @RpGgeEeganage erstellte Drittanbieter -Wrapper ermöglicht das Auspacken von Proben, indem eine Anfrage an einen erholsamen Server gesendet wird: https://github.com/rpgeeganage/restful4UP4UP