Page d'accueil>Lié à la programmation>Autre code source
Télécharger 
 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

Packer un {i}

Maître
Dev

Déballage des fichiers PE à l'aide d'un moteur Unicorn

L'utilisation des packers d'exécution par des auteurs malveillants est très courante, car c'est une technique qui aide à entraver l'analyse. De plus, les emballeurs sont un défi pour les produits antivirus, car ils rendent impossible d'identifier les logiciels malveillants par des signatures ou des hachages seuls.

Afin de pouvoir analyser un échantillon de logiciels malveillants emballés, il est souvent nécessaire de déballer le binaire. Habituellement, cela signifie que l'analyste devra déballer manuellement le binaire en utilisant des techniques d'analyse dynamique (outils: OllyDBG, x64DBG). Il existe également certaines approches pour le déballage automatique, mais elles ne sont toutes disponibles que pour Windows. Par conséquent, lorsque vous ciblez un malware Windows emballé, l'analyste nécessitera une machine Windows. L'objectif de notre projet est de permettre le déballage automatique indépendant de la plate-forme en utilisant l'émulation qui donne des binaires Windows coulissables.

Packers entièrement pris en charge

  • ASPACK : Packer commercial avancé avec un taux de compression élevé
  • FSG : Freeware, rapide à déballer
  • MEW : spécialement conçu pour les petits binaires
  • MPRESS : Packer gratuit et plus complexe
  • Petite : Freeware Packer, similaire à Aspack
  • UPX : Plate-plateforme, packer open source
  • Yzpack

Autres emballeurs

Tous les autres packers devraient également fonctionner, tant que les fonctions API nécessaires sont implémentées dans un packer un {i}. Pour les packers qui ne sont pas spécifiquement connus, on vous demandera si vous souhaitez spécifier manuellement les adresses de début et de fin pour l'émulation. Si vous souhaitez commencer par le point d'entrée déclaré dans l'en-tête PE et imitez simplement jusqu'à ce que le saut de section soit détecté, appuyez sur Enter

Vitrine

Nous sommes humiliés de voir une utilisation active de l'ONU {i} Packer pour des projets de recherche, des cours universitaires et d'autres ressources qui enseignent aux étudiants l'obscurcissement des logiciels malveillants:

  • Tutorial Video appartenant au cours de maîtrise "Analyse des logiciels malveillants et Cyber ​​Threat Intelligence" à l'Université Westphalian, démontrant comment analyser les logiciels malveillants obscurcis avec un packer Un {i}
  • DeepReflect: papier présentant un outil pour localiser et identifier les composants de logiciels malveillants dans un binaire malveillant. Son ensemble de données repose sur une étape de prétraitement des packer un {i}
  • BDHUNTER: Document décrivant un système qui identifie automatiquement les répartiteurs de comportement pour aider à déclencher des comportements malveillants. L'outil nécessite des échantillons de logiciels malveillants déballés comme entrée, où les auteurs proposent l'utilisation d'un packer un {i}
  • Désassembleur JARV1S: Désassembleur qui utilise un packer un {i} comme étape de prétraitement
  • Conférence anti-anti-virus 2 du "CS 4630: Defense contre les arts sombres"
  • Master l'analyse des logiciels malveillants: la deuxième édition de ce guide complet de l'analyse des logiciels malveillants par Alexey Kleymenov et Amr Thabet explique également comment fonctionne le déballage et la désobfuscation, mentionnant un packer Un {i} comme un outil approprié pour plusieurs emballeurs populaires

Si vous utilisez un packer Un {i} pour des projets supplémentaires et que vous les souhaitez dans cette liste, nous serions ravis de vous entendre!

Usage

Installation normale

Installez le package Yara pour votre système d'exploitation, obtenez un packer un {i} à partir de PYPI et commencez-le en utilisant le wrapper de ligne de commande créé automatiquement: 

 pip3 install unipacker
unipacker

Pour des instructions détaillées sur la façon d'utiliser un packer un {i}, veuillez vous référer au wiki. De plus, toutes les commandes de shell sont documentées. Pour accéder à ces informations, utilisez la commande help

Vous pouvez jeter un coup d'œil à un packer Un {i} en action dans une vidéo (allemande) du professeur Chris Dietrich

Installation en mode de développement

Clone le référentiel, et à l'intérieur du dossier racine du projet Activez le mode de développement à l'aide pip3 install -e .

Utilisation de Docker

Vous pouvez également utiliser le dockerfile fourni pour exécuter une version conteneurisée de l'ONU {i} packer: 

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

En supposant que vous avez un dossier appelé local_samples dans votre répertoire domestique, cela sera monté à l'intérieur du conteneur. Un {i} Packer pourra donc accéder à ces binaires via /root/unipacker/local_samples

API RESTFUL

Un emballage tiers créé par @rpgeeganage permet de déballer des échantillons en envoyant une demande à un serveur RESTful: https://github.com/rpgeeganage/restful4up

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout