unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

Использование упаковщиков времени выполнения авторов вредоносных программ очень распространено, так как это метод, который помогает препятствовать анализу. Кроме того, упаковщики являются проблемой для антивирусных продуктов, поскольку они делают невозможным идентифицировать вредоносное ПО с помощью подписей или только хэшей.

Чтобы иметь возможность проанализировать образец упакованного вредоносного ПО, его часто требуется распаковывать двоичный файл. Обычно это означает, что аналитику придется вручную распаковывать двоичный файл с использованием методов динамического анализа (инструменты: ollydbg, x64dbg). Есть также некоторые подходы к автоматической распаковке, но все они доступны только для Windows. Поэтому при нацеливании на упакованную вредоносную программу Windows аналитику потребуется машина Windows. Цель нашего проекта - включить независимое автоматическое распаковку платформы, используя эмуляцию, которая дает выполненные двоичные файлы Windows.

• Aspack : расширенный коммерческий упаковщик с высоким соотношением сжатия
• FSG : бесплатное программное обеспечение, быстро распаковывать
• MEW : специально разработано для небольших двоичных файлов
• Mpress : бесплатно, более сложный упаковщик
• Petite : Freeware Packer, похожий на Aspack
• UPX : кроссплатформенный, с открытым исходным кодом упаковка
• Yzpack

Любые другие упаковщики также должны работать, пока необходимые функции API реализованы в un {i} Packer. Для упаковщиков, которые не известны, вас спросят, хотите ли вы вручную указать начальные и конечные адреса для эмуляции. Если вы хотите начать в точке входа, объявленной в заголовке PE и просто подражайте до тех пор, пока не будет обнаружено отступление в секции, нажмите Enter

Мы смирены, увидев некоторое активное использование ООН {i} Пэкер для исследовательских проектов, университетских курсов и других ресурсов, которые обучают студентов о запутывании вредоносных программ:

• Учебное видео, принадлежащее курсу магистра «Анализ вредоносных программ и интеллект киберугроз» в Вестфальском университете, демонстрируя, как анализировать запутанные вредоносные программы с помощью un {i} packer
• DeepReflect: бумага, представляющая инструмент для локализации и идентификации компонентов вредоносных программ в здравом бинарнике. Его набор данных полагается на шаг предварительной обработки un {i} packer
• Bdhunter: бумага, описывающая систему, которая автоматически идентифицирует диспетчеров поведения, чтобы помочь вызвать вредоносное поведение. Инструмент требует распаковки вредоносных программ в качестве входных данных, где авторы предлагают использовать un {i} упаковщик
• JARV1S Disassembler: Disassassembler, который использует un {i} packer в качестве шага предварительной обработки
• Anti-Anti-Virus 2 Лекция Университета Университета Вирджинии «CS 4630: защита от темных искусств», используя un {i} упаковщик в качестве примера для методов распаковки
• Анализ Mastering вредоносного ПО: второе издание этого комплексного руководства по анализу вредоносных программ Алекси Клейменова и AMR Thabet также объясняет, как работает распаковка и деобфусса

Если вы используете un {i} Packer для дополнительных проектов и хотели бы, чтобы они были показаны в этом списке, мы хотели бы услышать от вас!

Установите пакет Yara для вашей ОС, получите упаковку un {i} от PYPI и запустите его, используя автоматически созданную командную линию обертку:

 pip3 install unipacker
unipacker

Для получения подробных инструкций о том, как использовать un {i} packer, обратитесь к вики. Кроме того, все команды оболочки документированы. Чтобы получить доступ к этой информации, используйте команду help

Вы можете быстро взглянуть на un {i} packer в действии в (немецком) видео профессора Криса Дитриха

Клонировать репозиторий, и внутри корневой папки проекта активируйте режим разработки с помощью pip3 install -e .

Вы также можете использовать предоставленную Dockerfile для запуска контейнерной версии un {i} packer:

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

Предполагая, что у вас есть папка, называемая local_samples в вашем домашнем каталоге, она будет установлена ​​внутри контейнера. Таким образом, Un {i} Packer сможет получить доступ к этим двоичным файлам через /root/unipacker/local_samples

Сторонняя обертка, созданная @rpgeeganage, позволяет распаковать образцы, отправив запрос на сервер RESTFUL: https://github.com/rpgeeganage/restful4up