unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

Penggunaan runtime packers oleh penulis malware sangat umum, karena merupakan teknik yang membantu menghambat analisis. Selain itu, Packers adalah tantangan untuk produk antivirus, karena mereka tidak mungkin mengidentifikasi malware dengan tanda tangan atau hash saja.

Agar dapat menganalisis sampel malware yang dikemas, sering kali diperlukan untuk membongkar biner. Biasanya ini berarti, bahwa analis harus membongkar biner secara manual dengan menggunakan teknik analisis dinamis (Alat: Ollydbg, X64DBG). Ada juga beberapa pendekatan untuk membongkar otomatis, tetapi semuanya hanya tersedia untuk Windows. Oleh karena itu saat menargetkan malware windows yang dikemas, analis akan membutuhkan mesin Windows. Tujuan dari proyek kami adalah untuk memungkinkan Platform Independent Otomatis Membongkar dengan menggunakan emulasi yang menghasilkan biner Windows yang dapat dijalankan.

• Aspack : Packer komersial canggih dengan rasio kompresi tinggi
• FSG : Freeware, cepat untuk membongkar
• Mew : Dirancang khusus untuk biner kecil
• MPRESS : Packer gratis, lebih kompleks
• Petite : Freeware Packer, mirip dengan Aspack
• UPX : Packer Sumber Open-Platform,
• Yzpack

Packer lain mana pun harus bekerja juga, selama fungsi API yang dibutuhkan diimplementasikan dalam Packer UN {i}. Untuk pengemas yang tidak diketahui secara khusus Anda akan ditanya apakah Anda ingin menentukan secara manual alamat awal dan akhir untuk emulasi. Jika Anda ingin memulai pada titik masuk yang dideklarasikan di header PE dan cukup meniru sampai bagian hopping terdeteksi, tekan Enter

Kami merasa rendah hati melihat beberapa penggunaan aktif Packer UN {i} untuk proyek penelitian, kursus universitas dan sumber daya lain yang mengajarkan siswa tentang kebingungan malware:

• Video Tutorial Milik Kursus Master "Analisis Malware dan Intelijen Ancaman Cyber" di Universitas Westphalian, menunjukkan cara menganalisis malware yang dikaburkan dengan Packer UN {i}
• DEEPREFLECT: Makalah yang menyajikan alat untuk melokalisasi dan mengidentifikasi komponen malware dalam biner berbahaya. Datasetnya bergantung pada langkah preprocessing PAB {i} Packer
• BDHUNTER: Makalah yang menggambarkan sistem yang secara otomatis mengidentifikasi operator perilaku untuk membantu memicu perilaku jahat. Alat ini membutuhkan sampel malware yang tidak dikemas sebagai input, di mana penulis mengusulkan menggunakan Packer un {i}
• Jarv1s Disassembler: Disassembler yang menggunakan Packer UN {i} sebagai langkah preprocessing
• Anti-Anti-Virus 2 Lecture of University of Virginia "CS 4630: Defense Against the Dark Arts", menggunakan Packer UN {i} sebagai contoh untuk teknik membongkar
• Menguasai Analisis Malware: Edisi Kedua dari Panduan Komprehensif ini untuk Analisis Malware oleh Alexey Kleymenov dan AMR Thabet juga menjelaskan bagaimana cara membongkar dan deobfuscation bekerja, menyebutkan PACKER UN {i} sebagai alat yang cocok untuk beberapa pengemas populer yang populer,

Jika Anda menggunakan PAC {i} Packer untuk proyek tambahan dan ingin mereka ditampilkan dalam daftar ini, kami ingin mendengar dari Anda!

Instal Paket Yara untuk OS Anda, dapatkan Packer UN {i} dari PYPI dan mulai menggunakan pembungkus baris perintah yang dibuat secara otomatis:

 pip3 install unipacker
unipacker

Untuk instruksi terperinci tentang cara menggunakan Packer un {i} silakan merujuk ke wiki. Selain itu, semua perintah shell didokumentasikan. Untuk mengakses informasi ini, gunakan perintah help

Anda dapat melihat sekilas di {i} packer beraksi dalam video (Jerman) oleh Prof. Chris Dietrich

Kloning repositori, dan di dalam folder root proyek mengaktifkan mode pengembangan menggunakan pip3 install -e .

Anda juga dapat menggunakan DockerFile yang disediakan untuk menjalankan versi containered dari PAC {I} Packer:

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

Dengan asumsi Anda memiliki folder yang disebut local_samples di direktori home Anda, ini akan dipasang di dalam wadah. UN {i} Packer dengan demikian dapat mengakses binari itu melalui /root/unipacker/local_samples

Pembungkus pihak ke -3 yang dibuat oleh @rpgeeganage memungkinkan untuk membongkar sampel dengan mengirimkan permintaan ke server yang tenang: https://github.com/rpgeeganage/restrul4up