unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

恶意软件作者对运行时包装工的使用非常普遍，因为这是一种有助于阻碍分析的技术。此外，包装工是防病毒产品的挑战，因为它们使得不可能仅通过签名或哈希识别恶意软件。

为了能够分析包装的恶意软件样本，通常需要打开二进制包装。通常，这意味着分析师必须使用动态分析技术（工具：ollydbg，x64dbg）手动解开二进制。也有一些自动打开包装的方法，但它们仅适用于Windows。因此，当针对包装的Windows恶意软件时，分析师将需要Windows机器。我们项目的目的是通过使用可运行的Windows二进制文件的仿真来启用平台独立自动拆箱。

• Aspack ：高压比的高级商业包装工
• FSG ：免费软件，快速拆开包装
• Mew ：专为小型二进制室而设计
• mpress ：免费，更复杂的包装工
• 娇小：免费软件包装工，类似于Aspack
• UPX ：跨平台，开源包装器
• yzpack

只要在Un {i} Packer中实现所需的API函数，任何其他包装器也应工作。对于不特别知道的包装工，您将被问到是否要手动指定仿真的开始和结束地址。如果您想从PE标题中声明的入口点开始，然后模拟直到检测到截面跳动，请按Enter

我们很谦虚地看到对研究项目，大学课程和其他资源的一些积极用途，这些包装工会教给学生恶意软件的混淆：

• 威斯特伐利亚大学属于硕士课程的“恶意软件分析和网络威胁情报”的教程视频，演示了如何与Un {i} Packer分析混淆的恶意软件
• 深度反射：呈现一种用于本地化和识别恶意二进制中恶意软件组件的工具。它的数据集依赖于联合{i} Packer PrepRocessing步骤
• Bdhunter：描述自动识别行为调度员以帮助触发恶意行为的系统的论文。该工具需要打开包装的恶意软件样本作为输入，作者建议使用Un {i} Packer提议
• JARV1S拆卸器：使用Un {i} Packer作为预处理步骤的拆卸器
• 弗吉尼亚大学的“ CS 4630：防御黑暗艺术”的反抗铁病毒2，使用Un {i} Packer作为解开技术的例子
• 掌握恶意软件分析：Alexey Kleymenov和Amr Thabet的《综合恶意软件分析指南》的第二版还解释了解压缩和去量的工作原理，提到Un {i} Packer作为几个流行包装工的合适工具

如果您正在使用Un {i} Packer进行其他项目，并且希望它们在此列表中出现，我们很乐意收到您的来信！

为您的操作系统安装YARA软件包，从PYPI获取Un {i}包装器，然后使用自动创建的命令行包装器开始启动它：

 pip3 install unipacker
unipacker

有关如何使用Un {i}包装器的详细说明，请参考Wiki。此外，所有壳命令都记录在案。要访问此信息，请使用help命令

您可以快速查看Un {i} Packer在（德语）视频中的Chris Dietrich教授

克隆存储库，并在项目根部文件夹内使用pip3 install -e .

您还可以使用提供的DockerFile运行UN {I} Packer的容器化版本：

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

假设您的主目录中有一个名为local_samples的文件夹，则将安装在容器内。因此，Un {i} Packer将能够通过/root/unipacker/local_samples访问这些二进制文件

由@rpgeeganage创建的第三方包装器允许通过将请求发送到RESTFUL服务器来解开样品：https：//github.com/rpgeeganage/restful4up