unipacker
Un{i}packer 1.0.8
_ _ __ _ __ _
| | | | / / (_) | |
| | | |_ __ | | _ | | _ __ __ _ ___| | _____ _ __
| | | | '_ / / | | '_ / _` |/ __| |/ / _ '__|
| |_| | | | | | / / |_) | (_| | (__| < __/ |
___/|_| |_|| | |_| | || .__/ __,_|___|_|____|_|
_ /_/ | |
|_|
| マスター | |
| 開発者 |
マルウェア著者によるランタイムパッカーの使用は非常に一般的です。分析を妨げるのに役立つテクニックです。さらに、パッカーは、署名またはハッシュだけでマルウェアを識別することを不可能にするため、ウイルス対策製品にとって課題です。
詰め込まれたマルウェアサンプルを分析できるようにするには、バイナリを開梱する必要があることがよくあります。通常、これは、アナリストが動的分析手法(ツール:OllyDBG、X64DBG)を使用してバイナリを手動で展開する必要があることを意味します。自動開梱にはいくつかのアプローチもありますが、それらはすべてWindowsでのみ使用できます。したがって、梱包されたWindowsマルウェアをターゲットにする場合、アナリストにはWindowsマシンが必要になります。私たちのプロジェクトの目標は、実行可能なWindowsバイナリを生成するエミュレーションを使用して、プラットフォームに依存しない自動梱包を可能にすることです。
必要なAPI関数がun {i}パッカーに実装されている限り、他のパッカーも同様に機能するはずです。特別に知られていないパッカーについては、エミュレーションの開始アドレスとエンドアドレスを手動で指定したいかどうかを尋ねられます。 PEヘッダーで宣言されたエントリポイントから始めて、セクションホッピングが検出されるまでエミュレートする場合は、 Enterを押します
私たちは、研究プロジェクト、大学のコース、およびマルウェアの難読化について学生に教えるその他のリソースのために、国連{I}パッカーの積極的な使用法を見ることができて謙虚です。
追加のプロジェクトにun {i}パッカーを使用していて、このリストに掲載されていることを希望する場合は、ご連絡をお待ちしています。
OS用のYARAパッケージをインストールし、PYPIからUN {I}パッカーを取得し、自動的に作成されたコマンドラインラッパーを使用して開始します。
pip3 install unipacker
unipacker
un {i}パッカーの使用方法に関する詳細な手順については、wikiを参照してください。さらに、すべてのシェルコマンドが文書化されています。この情報にアクセスするには、 helpコマンドを使用します
クリス・ディートリッヒ教授による(ドイツ語)ビデオで動作中の国連{i}パッカーを簡単に見ることができます
リポジトリをクローンし、 pip3 install -e .
提供されたDockerFileを使用して、un {i}パッカーのコンテナ化バージョンを実行することもできます。
docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker
ホームディレクトリにlocal_samplesというフォルダーがあると仮定すると、これはコンテナ内に取り付けられます。したがって、un {i}パッカーは/root/unipacker/local_samplesを介してそれらのバイナリにアクセスできます
@RPGEEGANAGEによって作成されたサードパーティのラッパーは、RESTFULサーバーにリクエストを送信することでサンプルを開梱できます:https://github.com/rpgeeganage/restful4up
