Перейти к содержанию

Как распаковать EXE

scaramuccia

Автор scaramuccia
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

scaramuccia

scaramuccia

Опубликовано
Опубликовано

Всем привет!

Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.

Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?

Какие есть способы и ресурсы для этого?

DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

Безымянный.png

kmscom

kmscom

Опубликовано
Опубликовано

скорее всего это самораспаковывающейся архив 7z

scaramuccia

scaramuccia

Опубликовано
  • Автор
Опубликовано
2 минуты назад, kmscom сказал:

скорее всего это самораспаковывающейся архив 7z

7z не может его распаковать, пишет ошибку

En1gma

En1gma

Опубликовано
Опубликовано

Добрый день!
Очень сильно зависит от языка программирования. Если у вас .NET-программа, попробуйте dotPeek или .Net Reflector.

Если Python, то например как здесь.

В общем-то ничего удивительного тут нет, в автономный установщик exe преспокойно заворачиваются проекты целиком, если они некрупные.

А конкретно Касперский вполне может использовать песочницу и работать с уже распакованными файлами.

Ummitium

Ummitium

Опубликовано
Опубликовано
22 часа назад, scaramuccia сказал:

Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?

Антивирус содержит фирменный распаковщик. Он умеет распаковывать не только архивы, но и exe упаковшики и крипторы, типа UPX, ASprotect.

  • Согласен 1
scaramuccia

scaramuccia

Опубликовано
  • Автор
Опубликовано

Спасибо за ответы.

Там, видимо, какой-то свой непростой упаковщик.

Безымянный.png

  • 2 недели спустя...
scaramuccia

scaramuccia

Опубликовано
  • Автор
Опубликовано

Все же вопрос этот продолжает интересовать. Вот обнаружился еще один объект.

Показывает, что внутри exe файле есть батник. Но этот файл-то обычный exe, он не распаковывается.

Безымянный.png

 

Попробовал дизассемблировать этот killexplorer.exe. Утонул в малопонятном коде. В конце кода явно читаемое "убивания" процесса explorer, собственно, как и обещает имя файла. А до этого много сложночитаемого кода, предположительно скрипта AutoIt.

Никто, кстати, не подскажет какой-нибудь декомпилятор AutoIt? Разработчик убрал его в последних версиях.

Безымянный.png

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • scaramuccia
      Обфускация текста
      Автор scaramuccia
      Всем привет!
      Попался мне файл autorun.inf, который Касперский детектирует как Net-Worm.Win32.Kido.ir. В сети есть его описание. Файл autorun.inf содержит обфусцированный текст, перемешивая мусор с "полезным" кодом, чтобы его скрыть.
      Но почему винда, обрабатывая этот текст, отбрасывает мусор? Не понимаю, всю голову сломал.
      Файл имеет сигнатуру FFFE, то есть говорит о том, что его текст в формате UTF-16 (LE). Но что мусор, что нужный текст вроде как имеют правильный формат. Как это происходит?

    • Evgeniych
      [РЕШЕНО] Вирусы - Майнеры - Tool.BtcMine.2622/2627 - Не открываются любые файлы exe.
      Автор Evgeniych
      Здравствуйте! Возникла такая дилемма, а именно : Перестали открываться любые файлы exe. ; Ноутбук стал работать более громко и повысилась нагрузка на ЦП и ГП. Так как файлы exe не открывались, пришлось открывать Dr. Web с помощью Winrar. Только после архивации exe файла, у меня получается что либо установить и открыть. После прогонки Dr.Web удалил все вирусы (парочку случайно зацепил и поместил в карантин), но exe файлы так и не открываются и ноутбук немного нагружен. Нужна помощь, заранее благодарю. Система Win 11. Если что, простите заранее за глупые вопросы (совсем чайник в данном).

    • Алексей Медек
      Уведомление о событиях с помощью исполняемого файла
      Автор Алексей Медек
      Доброго дня, у кого-нибудь есть пример как вызывать .BAT или .EXE для срабатывания 'Уведомление о событиях с помощью исполняемого файла' из раздела Уведомления Свойств сервера KSC 14.2 на Windows.
      Конкретная цель - отправлять уведомления в Telegram.
       

    • DuSTRi
      Вирус Trojan:win32/wacatac.b!ml
      Автор DuSTRi
      Здравствуйте, проблема в следующем. На компьютере не запускается диспетчер задач (в безопасном работает), .exe файлы не запускаются вообще, либо через минуты 2 выскакивает уведомление что не достаточно прав, хотя запуск происходит с учетной записи администратора (даже если принудительно нажать запуск от имени администратора.
      Так же не работает Word во всех режимах. Сам компьютер работает вроде бы без нагрузки.  Точек восстановления нет.
      Утилиту Avz получилось запустить только в безопасном режиме.
      Стандартные средства windows обнаруживают Trojan:win32/wacatac.b!ml
      CollectionLog-2023.04.08-12.06.zip
    • Артур Ахметшин
      Проблемы с файлами Lsass.exe и sys.exe
      Автор Артур Ахметшин
      Доброго времени суток.

      Столкнулся с одной проблемой, связанной с исполнительными файлами Lsass.exe и  sys.exe
       
      Где-то с пару недель назад, начал сталкиваться с тем, что мои фаерволл Comodo, начал придираться к файлу Lsass.exe. 
      Почитал в интернете, что для этого файла свойственно возбуждать интерес к антивирусам, ввиду его специфики работы,  с транзитом данных из интернета.
       
      Но вот с неделю назад, столкнулся со случаем "Критическая ошибка системы, перезагрузка через минуту".
      После пары-тройки случаев, решил найти источник проблемы.
      Это оказалась блокировка Фаерволлом парочки файлов, указанных выше.
       
      Я не новичок в вопросах борьбы с вирусами и рекламным ПО. Много лет, сталкиваясь с таким, бывало, что вычищал вручную, не надеясь на 100% работу антивирусов и прочих защитных утилит.
      Поэтому, я зашел в папку "System32" и  посмотрел даты создания файлов, точную информацию к ним.
      У файла Lsass  не было проблем с подлинностью. Стояла дата изменения в 2015 году, подпись Майкрософта.
       
      А вот у sys.exe -  почему-то была свежая дата, буквально с пару дней "изменения". И в разделе "Корпорация", стояли китайские иероглифы.
      Я скопировал файл в отдельную папку, открыл его программой, для просмотра EXE файлов. Увидел кучу иконок.
      Это основная иконка файла Sys.exe
      Внутри же, увидел кучу элементов интерфейса, которые очень были похожи на те, что используются в Аудио и Видеоплеерах. Стрелочки, квадратики, знаки паузы.
      Поискал информацию по "поиску картинок"  - набрел на китайский сайт, который рекламировал "Программное обеспечение к ПК", и уверенность в том, что это был медийный софт, только возросла.
       
      Отключил стандартный антивирус Виндоус, поставил Касперского Free.   Ну он начал "лечить" этот sys.exe, удалениями.
      Но когда работает интернет, происходит следующее, если верить Фаерволлу Комодо:
      1) LSASS.EXE откуда-то воссоздает процесс  sys.exe (вес 1.5 мб с копейками). Возрождает файл, на прежнем месте. С теми же китайскими иероглифами, и сомнительной репутацией,что и у копии, до удаления.
      2) Затем, получается, что уже sys.exe пытается начать "активность", и натыкается на защиту ФВ и АВ. Удаляется.
      3)Периодически, происходит  крах системы. Через сообщение о "Критической ошибке" или реже, через BSOD.
       
      Учитывая, что файл Lsass.exe постоянно активен, я так понял, что очень важен для функционирования ОС. И заменить его, скачанным из интернета, во время работы ОС, как бы не представляется возможным.
      Копий этого файла в папке System32  - нет, написанных через "И" и тд.
       
      Есть ли возможность проследить и нейтрализовать источник, отвечающий за восстановление этого "sys.exe", с сомнительной репутацией "Китайского ПО"?
       
      (Windows 7 Домашняя 32бита SP1)
       
×
×
  • Создать...