Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Как распаковать EXE

scaramuccia

Автор scaramuccia
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

scaramuccia

scaramuccia

Опубликовано
Опубликовано

Всем привет!

Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.

Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?

Какие есть способы и ресурсы для этого?

DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

Безымянный.png

Ссылка на комментарий
Поделиться на другие сайты
En1gma

En1gma

Опубликовано
Опубликовано

Добрый день!
Очень сильно зависит от языка программирования. Если у вас .NET-программа, попробуйте dotPeek или .Net Reflector.

Если Python, то например как здесь.

В общем-то ничего удивительного тут нет, в автономный установщик exe преспокойно заворачиваются проекты целиком, если они некрупные.

А конкретно Касперский вполне может использовать песочницу и работать с уже распакованными файлами.

Ссылка на комментарий
Поделиться на другие сайты
Ummitium

Ummitium

Опубликовано
Опубликовано
22 часа назад, scaramuccia сказал:

Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?

Антивирус содержит фирменный распаковщик. Он умеет распаковывать не только архивы, но и exe упаковшики и крипторы, типа UPX, ASprotect.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
scaramuccia

scaramuccia

Опубликовано
  • Автор
Опубликовано

Все же вопрос этот продолжает интересовать. Вот обнаружился еще один объект.

Показывает, что внутри exe файле есть батник. Но этот файл-то обычный exe, он не распаковывается.

Безымянный.png

 

Попробовал дизассемблировать этот killexplorer.exe. Утонул в малопонятном коде. В конце кода явно читаемое "убивания" процесса explorer, собственно, как и обещает имя файла. А до этого много сложночитаемого кода, предположительно скрипта AutoIt.

Никто, кстати, не подскажет какой-нибудь декомпилятор AutoIt? Разработчик убрал его в последних версиях.

Безымянный.png

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • Evgeniych
      [РЕШЕНО] Вирусы - Майнеры - Tool.BtcMine.2622/2627 - Не открываются любые файлы exe.
      Автор Evgeniych
      Здравствуйте! Возникла такая дилемма, а именно : Перестали открываться любые файлы exe. ; Ноутбук стал работать более громко и повысилась нагрузка на ЦП и ГП. Так как файлы exe не открывались, пришлось открывать Dr. Web с помощью Winrar. Только после архивации exe файла, у меня получается что либо установить и открыть. После прогонки Dr.Web удалил все вирусы (парочку случайно зацепил и поместил в карантин), но exe файлы так и не открываются и ноутбук немного нагружен. Нужна помощь, заранее благодарю. Система Win 11. Если что, простите заранее за глупые вопросы (совсем чайник в данном).

×
×
  • Создать...