Коллеги,
Имеется такая ситуация
Программа упакована UPX судя по всему ( судя по названию сегментов и по тому что выдает PeId )
Однако собственно upx с ключом -d ее не распаковывает. Он просто падает оставив в рабочей директории файл с именем <exename>.upx

Видел ряд методик в интернете суть которых сводится к тому, что программа под отладчиком трейсится до того момента как распаковщик заканчивает свою работу. Затем распакованная программа дампируется на диск и уже она затем анализируется.

Но как быть если анализируемая программа к примеру зловред и запуск под отладчиком не рекомендован?

Можно ли ожидать внесения каких либо трюков в механизм работы распаковщика?
Незнаю как сформулировать, какие то подводные камни еще можно ожидать?

| Сообщение посчитали полезным:

vlad2010 пишет:
Но как быть если анализируемая программа к примеру зловред и запуск под отладчиком не рекомендован?
Про виртуальные машины не слыхал?

| Сообщение посчитали полезным: OnLyOnE

vlad2010 пишет:
Но как быть если анализируемая программа к примеру зловред и запуск под отладчиком не рекомендован?
про виртуальные машины вы не слышали никогда? VMware или VirtualPC?
какой умный будет пробовать что-то делать с файлом, зная или подозревая что это "зловред",
под рабочей системой?

crc1
на 5 сек опередил

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Песочница, как самый простой вариант.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

спасибо,
да про виртуальные машины я кое что слышал.

я тут даже не про опасность заражения хост машины говорю, а скорее о том что под отладкой программа может пытаться установить присутствие отладчика и пойти просто по другой ветке только запутав меня.

а по падению UPX -d не подскажете?
тут какие то трюки могут быть?

| Сообщение посчитали полезным:

В VMWare снимки еще можно делать для отката на предыдущее состояние (как будто ничего и небыло), а если не нравится, можно юзать софт для отката типа Comodo Time Machine, Rollback Rx Pro и т.п. НО лучще под варей все же. А то вдруг "зловред" мегашифровальшик и пошифрует файло на других разделах диска.

vlad2010 пишет:
а по падению UPX -d не подскажете?
тут какие то трюки могут быть?
ты бы файл выложил, а то можно гадать до закрытия темы

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

vlad2010 пишет:
а по падению UPX -d не подскажете?
Убита сигнатура, переименованы секции, изменена точка входа или переход к OEP на другой адрес.Могут быть и другие варианты.

Вариант с песочницей, например Sandboxie, более прост и практичен:
1.Файл запускается в изолированной среде песочницы и никогда не просочится в систему, ибо для системы исполняется от гостя;
2.Внутри песочницы сохраняются все изменения с файловой структурой системы (если они имели место быть), реестра и того, что было помещено (распаковано) во временную директорию.
3.Наглядный менеджер процессов позволит увидеть то, какие процессы создались после запуска подозрительного.
4.Если программа использует неподписанный драйвер, то получит фэйл, так как песочница запрещает запуск неподписанных драйверов накорню.
5.Все ошибки а-ля нарушения доступа, невозможности хука и тд, т.е. подозрительная активность, будут так же зафэйлены.

Виртуалка удобна, как доп ос, но кушает оперативу.Так что, если уж и держать, то на другом компе, чтобы иметь большее кол-во ресурсов.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: