Highpass
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я смотрю народ интерисуется распакованным файлом xmplay.exe
Чтож, действительно, для распаковки можно воспользоваться XVolkolak, но у полученного таким образом файла будет два недостатка:
1. В файле будет мусорная секция, что в принципе не так страшно.
2. Секция с таблицей импорта идет после секции ресурсов.
А вот это очень плохо, ибо при модификации ресурсов, которая вызовет увеличение или уменьшение размера секции ресурсов, сохраненный файл скорей всего будет битый, ибо "съедут" адреса секций и пойнтеры на таблицу импорта станут не валидны. Такое например может случиться если переделывать\удалять ресурсы через Resource Hacker.
Собственно если кому интересно, то я сделал распакованный вариант в котором нет мусора, и в котором секция ресурсов следует за секцией импорта. Использован XVolkolak с некоторыми последующими манипуляциями.
Скажу сразу, что мой распакованный файл вызывает 9 срабатываний на VirusTotal. Собственно столько же вызывает и немодифицированный файл после XVolkolak.
Вот репорты:
xmplay.exe (упакован PETite) - 3 срабатывания
Распакованный через XVolkolak - 9 срабатываний
XVolkolak + перестройка порядка секций - 9 срабатываний
Вообще это подозрительно. Распакованный файл дает больше срабатываний, чем файл с навешенным пакером.
Проведем небольшой тест. Возьмем lzma.exe из 7-zip SDK, упакуем через PETite 2.4 и распакуем через XVolkolak.
Получим:
Чистый lzma.exe - 0 срабатываний
Упакованный - 14 срабатываний
Распакованный - 4 срабатывания
Первый вывод - XMplay упакован непубличной версией PETite, которая дает 3 срабатывания вместо 14.
Второй вывод - В xmplay.exe есть куски кода, которые не нравятся антивирусным движкам, ибо мы имеем на 5 срабатываний больше в распакованных файлах.
Возможно это и есть причина того, что автор уперто продолжает пользоваться своим пакером PETite, вместо использования чистого файла или использования UPX, который хоть и жмет лучше, но легче распаковывается антивирусными движками для последующего сканирования незапакованного кода.
Что-то я отвлекся. Мой анпак версии 3.8.3.4 можно скачать здесь.
EDIT: Удалил ссылку. Файл не работает нормально. |
Всего записей: 72 | Зарегистр. 23-06-2009 | Отправлено: 18:32 22-12-2019 | Исправлено: Highpass, 16:38 24-12-2019 |
|
