unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

惡意軟件作者對運行時包裝工的使用非常普遍，因為這是一種有助於阻礙分析的技術。此外，包裝工是防病毒產品的挑戰，因為它們使得不可能僅通過簽名或哈希識別惡意軟件。

為了能夠分析包裝的惡意軟件樣本，通常需要打開二進制包裝。通常，這意味著分析師必須使用動態分析技術（工具：ollydbg，x64dbg）手動解開二進制。也有一些自動打開包裝的方法，但它們僅適用於Windows。因此，當針對包裝的Windows惡意軟件時，分析師將需要Windows機器。我們項目的目的是通過使用可運行的Windows二進製文件的仿真來啟用平台獨立自動拆箱。

• Aspack ：高壓比的高級商業包裝工
• FSG ：免費軟件，快速拆開包裝
• Mew ：專為小型二進制室而設計
• mpress ：免費，更複雜的包裝工
• 嬌小：免費軟件包裝工，類似於Aspack
• UPX ：跨平台，開源包裝器
• yzpack

只要在Un {i} Packer中實現所需的API函數，任何其他包裝器也應工作。對於不特別知道的包裝工，您將被問到是否要手動指定仿真的開始和結束地址。如果您想從PE標題中聲明的入口點開始，然後模擬直到檢測到截面跳動，請按Enter

我們很謙虛地看到對研究項目，大學課程和其他資源的一些積極用途，這些包裝工會教給學生惡意軟件的混淆：

• 威斯特伐利亞大學屬於碩士課程的“惡意軟件分析和網絡威脅情報”的教程視頻，演示瞭如何與Un {i} Packer分析混淆的惡意軟件
• 深度反射：呈現一種用於本地化和識別惡意二進制中惡意軟件組件的工具。它的數據集依賴於聯合{i} Packer PrepRocessing步驟
• Bdhunter：描述自動識別行為調度員以幫助觸發惡意行為的系統的論文。該工具需要打開包裝的惡意軟件樣本作為輸入，作者建議使用Un {i} Packer提議
• JARV1S拆卸器：使用Un {i} Packer作為預處理步驟的拆卸器
• 弗吉尼亞大學的“ CS 4630：防禦黑暗藝術”的反抗鐵病毒2，使用Un {i} Packer作為解開技術的例子
• 掌握惡意軟件分析：Alexey Kleymenov和Amr Thabet的《綜合惡意軟件分析指南》的第二版還解釋了解壓縮和去量的工作原理，提到Un {i} Packer作為幾個流行包裝工的合適工具

如果您正在使用Un {i} Packer進行其他項目，並且希望它們在此列表中出現，我們很樂意收到您的來信！

為您的操作系統安裝YARA軟件包，從PYPI獲取Un {i}包裝器，然後使用自動創建的命令行包裝器開始啟動它：

 pip3 install unipacker
unipacker

有關如何使用Un {i}包裝器的詳細說明，請參考Wiki。此外，所有殼命令都記錄在案。要訪問此信息，請使用help命令

您可以快速查看Un {i} Packer在（德語）視頻中的Chris Dietrich教授

克隆存儲庫，並在項目根部文件夾內使用pip3 install -e .

您還可以使用提供的DockerFile運行UN {I} Packer的容器化版本：

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

假設您的主目錄中有一個名為local_samples的文件夾，則將安裝在容器內。因此，Un {i} Packer將能夠通過/root/unipacker/local_samples訪問這些二進製文件

由@rpgeeganage創建的第三方包裝器允許通過將請求發送到RESTFUL服務器來解開樣品：https：//github.com/rpgeeganage/restful4up