Есть какие-нибудь надежные способы програмной проверки того, что исполняемый файл упакован? При этом знать чем именно он упакован не нужно.

| Сообщение посчитали полезным:

Самый тупой и быстрый способ.
В архив сожми и посмотри насколько размер файла изменится. Если больше чем в 2 раза (примерно), значит не запакован. Если процентов на 20, то запакован.

P.S. На 100%-ю надежность способ, конечно, не претендует.

| Сообщение посчитали полезным:

В ресурсах покопайся ,а с архивацией прикольный способ ,а так почитай про ручную распаковку - многое прояснится.

P.S. тема для раздела новичков

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Psycho
Ну дык энтропию посчитай и будет понятно упакован или нет.

-----
Сотрудник DHARMA

| Сообщение посчитали полезным:

самый простой, имхо, открыть ресторатором. если ресурсы видно - значит нормальный, невидно - упакован. правда в некотрых случаях с армой и другими протекторами ресурсы могут быть видны. можно просто посмотреть заголовки секций. архивация не всегда тоже даст точный ответ. если выбраны опции типа "без сжатия" или минимальное, то файл в архиве сожмётся неплохо.
короче, самый надёжный на мой взгляд способ - просмотр заголовков секций...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Тему в рездел новичков, а упакованность\запротекченность можно задетектить разными способами - энтропия, секции глянуть (можно юзать всякие утилиты, типа PEiD, DiE и тд), попробовать в олли пихнуть и на первые байты глянуть. В общем, читай статьи по ручной распаковке и экспериментируй. Я обычно смотрю секции, т.к. и можно определить не только упакованность\запротекценность проги, но и узнать чем была прога покрыта\упакована.

PS да уж, с архивом идея оригинальная

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
PS да уж, с архивом идея оригинальная
практически та же энтропия правда на счет "Если процентов на 20, то запакован. " не совсем верно. Да и никто не заставляет при навешивании протектора использовать компрессию

| Сообщение посчитали полезным:

drin Есть понятие упаковка а есть защита. Если файл упакован, то метод WELL'а весьма надежен при условии что упакована не только первая секция и остальные секции небольшие.

А определение защищен ли нужно делать спец софтом или руками.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Psycho
100 % способа конечно не существует, однако если использовать сразу несколько способов, то можно почти с полной уверенностью определить, что файл упакован.
1. Определение по энтропии файла (например, посредством Die).
2. Определение на битость ресурсов (например, посредством Restorator, если не открываются, а прога написана на С, то значит пакован, при этом соответветствующее сообщение будет, что ресурсы сжаты или зашифрованы).
3. По названиям секций (посредством любого файлового аналзатора, можно увидеть характерные названия для какого-либо пакера\прота).
4. Самый тупой - запустить прогу, а потом непропатченную Олю. Если появится надпись, что отладчик найден, или же просто прога закроется, тогда можно быть уверенным, что использован како-то прот.

WELL пишет:
Самый тупой и быстрый способ.
В архив сожми и посмотри насколько размер файла изменится. Если больше чем в 2 раза (примерно), значит не запакован. Если процентов на 20, то запакован.
Интересный метод.

-----
Программист SkyNet

| Сообщение посчитали полезным:

а каким способом это определяет Process Explorer ?
В списке процессов пакованые отображаются фиолетовым цветом.

-----
in search of sunrise

| Сообщение посчитали полезным:

PE_Kill пишет:
метод WELL'а весьма надежен
Особенно на приватных крипторах где 10% код а остальное джипеговая тетка...

| Сообщение посчитали полезным:

Ага и ещё Фимка на 2 метра

| Сообщение посчитали полезным:

Господа, все это конечно хорошо, но вы все забываете одну важную вещь. Требуется не узнать, что файл упакован, а написать программу, которая бы определяла это. Поэтому способы с использованием Оли, Ресторатора не катят. Сжатие еще может быть и осуществимо, правдо придется писать архиватор руками. Еще какие-нибудь варианы?

P.S. Насчет того, что тема в раздел новичков, я не согласен. Если кто-то так считает, то жду от вас работающего метода. А когда вы мне назовете штук пять стабилных, тогда я соглашусь, что с веткой промазал.

| Сообщение посчитали полезным:

ну... ты загнул... 100% определение пакованности файла может быть произведенно только несколькими способами. и не забывай, о человеском факторе...
а кому вообще нужна такая софтина, если есть пейд, дай и т.д.?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Psycho пишет:
Сжатие еще может быть и осуществимо, правдо придется писать архиватор руками
а если заюзать готовое - aplib нопремер (быстро и просто) ? И поступить так:
WELL пишет:
В архив сожми и посмотри насколько размер файла изменится. Если больше чем в 2 раза (примерно), значит не запакован. Если процентов на 20, то запакован.

P.S. На 100%-ю надежность способ, конечно, не претендует.
Psycho пишет:
Насчет того, что тема в раздел новичков, я не согласен
а я согласен

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Это не совсем софтина, это только очень маленькая ее часть. Я ведь не прошу 100% гарантии определения того, что файл упакован. Просто нужен метод который работает. Например с архивацией - сомневаюсь... Например если файл исполняемый сесит 1 кб. То не думаю, что после упаковки или архивации он будет весить намного меньше. В данном случае возможно использование упаковки, как способ обойти антивирус, а не средство уменьшения размера файла. Кажется в таком случае, архивация не спасет. В случае с энтропией, то придется сильно повозится и поэкперементировать, чтобы узнать порог, при котором файл считать упакованым. А это довольно таки сложно. Особенно если учесть, что он может оказаться разным для x86 и x64.

| Сообщение посчитали полезным:

тогда заголовки секций. внеси в список заголовки после различных компиляторов. если заголовк не совпадает с тем, что есть в списке - файл запакован...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Ну в принципе можно глянуть на секцию импорта практически у всех пакеров там только необходимые тоесть очень мало импортируемых функций

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Посчёт энтропии и сжатие (тоже самое + лишние действия) - следствия теоремы Шеннона о кодировании источника (Shannon's source coding theorem). Применять конечно надо только к секциям файла без PE header.

| Сообщение посчитали полезным:

Psycho пишет:
данном случае возможно использование упаковки, как способ обойти антивирус

Чтобы антивирус обойти таким способом над упакованым файлом еще поработать придется ,да ито гарантия не 100%.Если EntryPoint начинается с pushad то это неким образом уже будет свидетельствовать об упакованости файла,а push ebp о неупакованости ,хотя при написании на Microsoft Visual C++ ,будет вот так -> PUSH 74

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

У AntiVir можно поучиться
Структура заголовков, секций, выравнивания, расположение директорий, Анилиз тойже директории импорта, на количество и наличие определенных API, энтропии секций... В комплексе можно на сказать, что файл был чем-то изменен, упакован...
В принципе можно подогнать анализ под структуру современных компиляторов, если отличная, то уже какие-то изменения были

| Сообщение посчитали полезным:

GlOFF пишет:
У AntiVir можно поучиться

Антивирусы так и обманываются


234f_06.05.2008_CRACKLAB.rU.tgz - Модифицируем троян или как обойти AVP.txt

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Угу, я когда-то давно тоже писал подобное: wellsite.chat.ru/CrackVirus.zip

| Сообщение посчитали полезным:

Psycho пишет:
Есть какие-нибудь надежные способы програмной проверки того, что исполняемый файл упакован
Вопрос сам по себе некорректен. Что считать упаковкой? PE - это контейнер, в различных секциях могут быть различные "вещи", не говоря уже о том, что все секции могут быть слиты в одну - и тогда усредненная оценка также информативна, как средняя температура по больнице. Многие файлы уже содержат в себе архивы, не являясь при этом упакованными: инсталляторы, файлы содержащие звук и графику итп. Кроме того, статистически невозможно отличить упаковку от шифрования. Так что для простых случаев подойдет подсчет энтропии (это делает большинство анализаторов, есть несколько плагинов к PEiD), а в сложных - только глазами смотреть.

| Сообщение посчитали полезным:

Psycho пишет:
Я ведь не прошу 100% гарантии определения того, что файл упакован. Просто нужен метод который работает.
По сигнатурам тогда от PEiD'а делай... Посмотри gAPE, там похожая реализация
"В программе используется формат плагинов от PEiD (для совместимости)."
Авторы местные, спишись с ними, может чем помогут

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

все пишут что метод WELLa, метод WELLa, мне кажется что это самый очевидный метод ака самый простой в плане реализации...

| Сообщение посчитали полезным:

WELL пишет:
Самый тупой и быстрый способ
Я еще тупее и быстрее знаю - берем плагин типа GenOEP или пишем сами и проверяем через него OEP, если EP совпадает с ОЕР - то все пучком, файл не упакован, если EP и OEP разные - то упакован, если не определился - один хрен упакован

-----
Сотрудник DHARMA

| Сообщение посчитали полезным: