unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

การใช้งาน Runtime Packers โดยผู้เขียนมัลแวร์เป็นเรื่องธรรมดามากเนื่องจากเป็นเทคนิคที่ช่วยขัดขวางการวิเคราะห์ นอกจากนี้ Packers ยังเป็นสิ่งที่ท้าทายสำหรับผลิตภัณฑ์ป้องกันไวรัสเนื่องจากพวกเขาไม่สามารถระบุมัลแวร์ตามลายเซ็นหรือแฮชเพียงอย่างเดียว

เพื่อที่จะสามารถวิเคราะห์ตัวอย่างมัลแวร์ที่บรรจุได้มักจะต้องแกะกล่องไบนารี โดยปกติแล้วนี่หมายความว่านักวิเคราะห์จะต้องแกะไบนารีด้วยตนเองโดยใช้เทคนิคการวิเคราะห์แบบไดนามิก (เครื่องมือ: Ollydbg, x64dbg) นอกจากนี้ยังมีวิธีการบางอย่างสำหรับการเปิดกล่องอัตโนมัติ แต่พวกเขาทั้งหมดมีให้สำหรับ Windows เท่านั้น ดังนั้นเมื่อกำหนดเป้าหมายไปที่มัลแวร์ Windows ที่อัดแน่นนักวิเคราะห์จะต้องใช้เครื่อง Windows เป้าหมายของโครงการของเราคือการเปิดใช้งานแพลตฟอร์มการเปิดตัวโดยอัตโนมัติโดยใช้การจำลองที่ให้บริการไบนารี Windows ที่รันได้

• Aspack : Packer เชิงพาณิชย์ขั้นสูงที่มีอัตราส่วนการบีบอัดสูง
• FSG : ฟรีแวร์เร็วในการแกะกล่อง
• Mew : ออกแบบมาโดยเฉพาะสำหรับไบนารีขนาดเล็ก
• MPRES
• Petite : Freeware Packer คล้ายกับ Aspack
• UPX : Cross-Platform, Open Source Packer
• YZPack

แพคเกอร์อื่น ๆ ควรทำงานได้เช่นกันตราบใดที่ฟังก์ชั่น API ที่ต้องการจะถูกนำไปใช้ใน Packer UN {I} สำหรับแพคเกอร์ที่ไม่เป็นที่รู้จักโดยเฉพาะคุณจะถูกถามว่าคุณต้องการระบุที่อยู่เริ่มต้นและสิ้นสุดสำหรับการจำลองหรือไม่ หากคุณต้องการเริ่มต้นที่จุดเริ่มต้นที่ประกาศในส่วนหัว PE และเลียนแบบจนกว่าจะตรวจพบการกระโดดส่วนให้กด Enter

เราถ่อมตนเพื่อดูการใช้งานของ UN {i} Packer สำหรับโครงการวิจัยหลักสูตรมหาวิทยาลัยและแหล่งข้อมูลอื่น ๆ ที่สอนนักเรียนเกี่ยวกับการทำให้งงงวยมัลแวร์:

• วิดีโอการสอนที่เป็นของหลักสูตรปริญญาโท "การวิเคราะห์มัลแวร์และข่าวกรองภัยคุกคามไซเบอร์" ที่มหาวิทยาลัย Westphalian แสดงให้เห็นถึงวิธีการวิเคราะห์มัลแวร์ที่ทำให้งงงวยกับ UN {i} Packer
• Deepreflect: กระดาษนำเสนอเครื่องมือสำหรับการแปลและระบุส่วนประกอบมัลแวร์ภายในไบนารีที่เป็นอันตราย ชุดข้อมูลของมันขึ้นอยู่กับขั้นตอนการประมวลผลล่วงหน้าของ UN {i} packer
• BDHUNTER: กระดาษอธิบายระบบที่ระบุตัวกระจายพฤติกรรมโดยอัตโนมัติเพื่อช่วยกระตุ้นพฤติกรรมที่เป็นอันตราย เครื่องมือต้องการตัวอย่างมัลแวร์ที่ยังไม่ได้บรรจุเป็นอินพุตซึ่งผู้เขียนเสนอโดยใช้ UN {i} Packer
• JALV1S Disassembler: Disassembler ที่ใช้ UN {i} Packer เป็นขั้นตอนการประมวลผลล่วงหน้า
• Anti-Anti-Virus 2 การบรรยายของมหาวิทยาลัยเวอร์จิเนีย "CS 4630: Defense Against the Dark Arts" โดยใช้ UN {i} Packer เป็นตัวอย่างสำหรับเทคนิคการแกะ
• การวิเคราะห์มัลแวร์การเรียนรู้: ฉบับที่สองของคู่มือที่ครอบคลุมนี้เพื่อการวิเคราะห์มัลแวร์โดย Alexey Kleymenov และ AMR Thabet ยังอธิบายว่าการเปิดตัวและการทำงานของ deobfuscation ทำงานอย่างไร

หากคุณใช้ UN {i} Packer สำหรับโครงการเพิ่มเติมและต้องการให้พวกเขาแสดงในรายการนี้เราชอบที่จะได้ยินจากคุณ!

ติดตั้งแพ็คเกจ YARA สำหรับระบบปฏิบัติการของคุณรับ Packer {i} จาก PYPI และเริ่มต้นโดยใช้ wrapper บรรทัดคำสั่งที่สร้างขึ้นโดยอัตโนมัติ:

 pip3 install unipacker
unipacker

สำหรับคำแนะนำโดยละเอียดเกี่ยวกับวิธีใช้ UN {i} Packer โปรดดูที่วิกิ นอกจากนี้คำสั่งเชลล์ทั้งหมดได้รับการบันทึกไว้ ในการเข้าถึงข้อมูลนี้ให้ใช้คำสั่ง help

คุณสามารถดูอย่างรวดเร็วที่ UN {i} packer ในการดำเนินการในวิดีโอ (เยอรมัน) โดยศาสตราจารย์ Chris Dietrich

โคลนที่เก็บและภายในโฟลเดอร์รูทโครงการเปิดใช้งานโหมดการพัฒนาโดยใช้ pip3 install -e .

นอกจากนี้คุณยังสามารถใช้ DockerFile ที่ให้ไว้เพื่อเรียกใช้เวอร์ชันคอนเทนเนอร์ของ UN {i} Packer:

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

สมมติว่าคุณมีโฟลเดอร์ที่เรียกว่า local_samples ในไดเรกทอรีบ้านของคุณซึ่งจะถูกติดตั้งภายในคอนเทนเนอร์ un {i} packer จะสามารถเข้าถึงไบนารีเหล่านั้นผ่าน /root/unipacker/local_samples

wrapper ของบุคคลที่สามที่สร้างโดย @rpgeeganage ช่วยให้สามารถแกะตัวอย่างได้โดยส่งคำขอไปยังเซิร์ฟเวอร์ restful: https://github.com/rpgeeganage/restful4up