Decompressione UPX
PE Explorer viene fornito con il plug-in UPX Unpacker, un plug-in di elaborazione di avvio per decomprimere i file compressi con UPX di Oberhumer, Molnár & Reiser (vedi upx.github.io). Sono supportate tutte le versioni di UPX, dalle prime versioni obsolete (precedenti alla 0.80) fino alle ultime versioni 4.0x.
Inoltre, PE Explorer supporta i file modificati con molti scrambler UPX come Advanced UPX Scrambler, UPoLyX, UPX Lock e altro ancora: ora supporta Upack e NSPack.
Ora puoi aprire file compressi con UPX anche senza saperlo!
Quando apri un file con PE Explorer, il plug-in UPX Unpacker rileva se un file è compresso con UPX, quindi il tuo file verrà decompresso automaticamente. Anche il file risultante verrà salvato decompresso. PE Explorer non ricomprime i file compressi in precedenza. Questo è il motivo per cui la dimensione del file originale può essere aumentata dopo aver salvato l'eseguibile SENZA apportare alcuna modifica ad esso in PE Explorer.
UPX Unpacker visualizza righe di messaggi nella finestra di registro inferiore come segue:
Decompressione del software dannoso
Il plug-in UPX Unpacker funziona su eseguibili malware compressi e può gestire un file anche se è stato compresso con UPX e modificato manualmente in modo che UPX non possa essere utilizzato direttamente per decomprimere il file, poiché le strutture interne sono cambiate, ad esempio i nomi delle sezioni sono stati cambiato da UPX a XYZ, o il numero di versione del formato UPX è cambiato da 1.20 a 3.21. Questa tecnica viene spesso utilizzata dagli autori di malware per rendere più difficile il reverse engineering.
In precedenza, era necessario eseguire l'eseguibile e scaricare i segmenti compressi subito dopo che l'eseguibile era stato completamente decompresso in memoria. Ora puoi aprire questi file offuscati anche senza saperlo: il tuo file verrà decompresso automaticamente!
UPX Unpacker tenta di recuperare un file, anche quando una voce di intestazione del file PE originale non è più disponibile dopo la decompressione. In precedenza, la perdita dell'intestazione del file PE rendeva l'eseguibile completamente inutilizzabile e non riparabile. Ora hai buone possibilità di analizzare eseguibili di malware compressi ed estrarre dati nascosti.
Crea i tuoi plugin
I plug-in PE Explorer Unpacker decomprimono solo i file compressi con UPX, Upack e NSPack. Consulta la guida di PE Explorer per l'API del plug-in: puoi scrivere il tuo plug-in di elaborazione di avvio personalizzato per la gestione di file crittografati o l'estrazione di file compressi. Crea i tuoi plugin per aggiungere nuove funzionalità o velocizzare il tuo flusso di lavoro. Utilizzando Plug-in Manager, è possibile impostare la priorità di esecuzione dei plug-in: menu Strumenti | Gestore dei plug-in.
All'interno della directory PE Explorer deve essere presente una sottodirectory denominata PLUGINS. Tutti i plug-in (DLL) devono essere inseriti in questa cartella.
L'API del plug-in verrà estesa, pertanto quando si scrivono plug-in personalizzati, è importante prestare particolare attenzione alle osservazioni fatte nella descrizione di Funzioni e Tipi (vedere il file della guida del prodotto) e rispettarle. Seguire queste linee guida manterrà la tua codifica compatibile con le versioni future di PE Explorer.
Inizia la prova gratuita di 30 giorni
Scarica PE Explorer e inizia subito a esplorare le tue applicazioni.
PE Explorer funziona su tutte le versioni di Windows, da Windows 95 all'ultima versione di Windows 11.