unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

El uso de los empacadores de tiempo de ejecución por autores de malware es muy común, ya que es una técnica que ayuda a obstaculizar el análisis. Además, los empacadores son un desafío para los productos antivirus, ya que hacen imposible identificar malware solo con firmas o hashes.

Para poder analizar una muestra de malware empaquetada, a menudo se requiere desempacar el binario. Por lo general, esto significa que el analista tendrá que desempaquetar manualmente el binario utilizando técnicas de análisis dinámico (Herramientas: OllyDBG, X64DBG). También hay algunos enfoques para el desempaquetado automático, pero todos están disponibles para Windows. Por lo tanto, al dirigirse a un malware Windows lleno, el analista requerirá una máquina Windows. El objetivo de nuestro proyecto es habilitar el desempaquetado automático independiente de la plataforma mediante el uso de la emulación que produce binarios de Windows ejecutables.

• Aspack : empacador comercial avanzado con una alta relación de compresión
• FSG : Freeware, rápido para desempacar
• MEW : Diseñado específicamente para binarios pequeños
• MPRESS : Packer gratuito y más complejo
• Petite : Freeware Packer, similar a Aspack
• UPX : Packer de código abierto, de código abierto
• Yzpack

Cualquier otro empacador debe funcionar tan bien, siempre y cuando las funciones de API necesarias se implementen en un paquete un {i}. Para los empacadores que no se conocen específicamente, se le preguntará si desea especificar manualmente las direcciones de inicio y finalización para la emulación. Si Enter comenzar en el punto de entrada declarado en el encabezado de educación

Nos sentimos honrados de ver un uso activo de un empacador de UN {I} para proyectos de investigación, cursos universitarios y otros recursos que enseñan a los estudiantes sobre la ofuscación de malware:

• Tutorial Video perteneciente al curso de maestría "Análisis de malware e inteligencia de amenazas cibernéticas" en la Universidad de Westphalian, demostrando cómo analizar malware ofuscado con un {i} Packer
• DeepReflect: Documento que presenta una herramienta para localizar e identificar componentes de malware dentro de un binario malicioso. Su conjunto de datos se basa en un paso de preprocesamiento de la ONU {i} Packer
• BDHUNTER: Documento que describe un sistema que identifica automáticamente a los despachadores de comportamiento para ayudar a activar comportamientos maliciosos. La herramienta requiere muestras de malware desempaquetadas como entrada, donde los autores proponen usar un {i} Packer
• JARV1S DESSEMMBLER: Dissembler que usa un {i} Packer como un paso de preprocesamiento
• Conferencia Anti-Anti-Virus 2 de la "CS 4630: Defensa contra las Artes Darks" de la Universidad de Virginia, utilizando un empacador de UN {I} como ejemplo para desempacar las técnicas
• Mastering de análisis de malware: la segunda edición de esta guía completa para el análisis de malware de Alexey Kleymenov y AMR Thabet también explica cómo funciona el desempaquetado y la desobfuscación, mencionando un paquete de un {i} como una herramienta adecuada para varios empacadores populares

Si está utilizando un paquete de UN {I} para proyectos adicionales y desea que aparezcan en esta lista, ¡nos encantaría saber de usted!

Instale el paquete Yara para su sistema operativo, obtenga un paquete de un {i} desde Pypi y comience usando el contenedor de línea de comandos creado automáticamente:

 pip3 install unipacker
unipacker

Para obtener instrucciones detalladas sobre cómo usar un paquete de un {i}, consulte el wiki. Además, todos los comandos de shell están documentados. Para acceder a esta información, use el comando help

Puede echar un vistazo rápido a un {i} empacador en acción en un video (alemán) del profesor Chris Dietrich

Clonar el repositorio, y dentro de la carpeta raíz del proyecto, active el modo de desarrollo utilizando pip3 install -e .

También puede usar el DockerFile proporcionado para ejecutar una versión contenedora de Un {i} Packer:

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

Suponiendo que tenga una carpeta llamada local_samples en su directorio de inicio, esto se montará dentro del contenedor. Un {i} Packer podrá acceder a esos binarios a través de /root/unipacker/local_samples

Un envoltorio de terceros creado por @RpgeeganAge permite desempacar muestras enviando una solicitud a un servidor RESTFUL: https://github.com/rpgeeganage/restful4up