Паковщики и распаковка программ

Рано или поздно, открыв файл в любом редакторе ресурсов, можно получить следующее сообщение: "Ресурс поврежден". Что это значит? Это значит, что файл запакован каким-то паковщиком, или использовалась защита, включающая в себя паковщик, например, ASProtect. А зачем это надо? Вкратце: паковка - это своеобразное сжатие файла, которое позволяет сэкономить пару метров на винчестере (с плотностью записи 40-80 Гб на пластину), ускорить загрузку программы в память (только на очень шустрых процессорах) и защитить программу от "непрофессиональных крякеров" (это не юмор - это из Help к ASPack).

Что делать?

Определять паковщик, выбрать unpacker (распаковщик) и распаковывать файл.

Анализаторы файлов

Это программа определяющая чем запакован (защищен, зашифрован) файл. Таких программ существует много, устаревают они достаточно быстро, поэтому многие из программ применявшиеся год-другой назад - сегодня, уже ничего не определяют.

PEiD

Этот маленький программка проста как онучи, безошибочен, вежлив (если чего не знает обязательно скажет вам "Sorry…") и недостаток имеет всего один: несколько расплывчат в определении версии паковщика, что довольно критично, так как однокнопочные распаковщики обычно расчитаны на ограниченное число поддержанных ими версий паковщика.
- Для незапакованных файлов (или распакованных) программа определяет компилятор.
- В последних версиях появился плагин криптоанализера, процессы, сканирование множественных файлов и такая приятность как поддержка drag-&-drop.

Скачать PEiD: peid-0.95-20081103.zip [388,98 Kb] (cкачиваний: 20)

Stud PE

Программа имеет просмотр-редактирование заголовка (очень наглядно), PE-разделы, импорт-экспорт, процессы, ресурсы и анализ защиты-паковщика-криптера, основанный на той же базе PeiD.

Скачать Stud PE: stud_pe.zip [831,58 Kb] (cкачиваний: 19)

Паковщики

Паковщиков существуют десятки, но за последние пол года, при активном интересе к этой теме, мне ни встретилось ничего кроме ASPack, UPX и навесной защиты ASProtect (был еще разок PEtite).

ASPack

Чистый паковщик.

Описание:

Версии до 2.1 распаковываются UnASPack.
Версии 2.11, 2.12… распаковывются ASPackDie
Иногда после распаковки, особенно после взятия дампа, в полученном файле обнаруживаются испорченные иконки (иногда еще и закладка версия). Лечится (но не всегда) пересохранением в PE-Explorer.
Последнее время бродят какие-то модифицированные версии (?)[…]

Скачать ASPackDie: aspackdie_1.41.rar [11,95 Kb] (cкачиваний: 11)

UPX

Чистый паковщик.

Описание:

До версии приблизительно 1.0 он распаковывается только вручную (это не ко мне) или дампом. Кстати, ResPather в Restorator запакован именно им.
C версии 1.0 он поддерживает распаковку с ключем "d" (т.е. сам себе и паковщик и распаковщик в одном флаконе).
UPX - досовский паковщик (пока), т.е. все прелести командной строки, но для него существуют сторонние Shell: наиболее путный русский интерфейс делает Евгений Башкин: UPX shell.
По поводу UPX, нужно сказать следующее: последнее время просматривается тенденция вешать на него различные блокировки, с целью затруднить распаковку. В интерфейс Евгения Башкина входит такая блокировка. Смешно, но я ее уже дважды встречал. Разблокировка на нее называется UPX 1.20 UnLocker. Эти блокировки, производимые кем ни попадя, могут стать в ближайшее время серьезным геморроем…

Версия UPX видна в HEX-редакторе в начале запакованных им файлов.

PEtite

Самого PEtite в руках не держал, версию 2.1/2.2 иногда распаковывает Enlarger
Вроде бы для самого PEtite есть Shell, но мне он пока не попадался... (?)

ASProtect

Описание:

Редкостная гадость. Это шибко навороченная защита, включающая в себя паковщик. Часть программ защищенных этой защитой имеет внешние языковые модули, хотя они зачастую не полностью охватывают весь интерфейс. Часть оставшихся отпадает по принципу "Переводятся лишь полные версии программ" - для защищенных ASProtect программ ключи встречаются крайне редко - защита использует так называемый "черный список", в который заносятся засвеченные ключи. Правда с другой стороны триальность таких программ лечится наиболее просто: Registry Trash Keys Finder, Die, ASProtect, Die!.

Во всем, что касается отладки, восcтановления импорта и т.д., я однозначно отдыхаю, но последнее время Stripper (бывший AsprStripperXP) стал распаковывать ASProtect вчистую, единственное, приходится восстанавливать после распаковки ресурс иконок, пересохраняя файл в PE Explorer.
Для файлов, написанных на Delphi это позволяет создать ресурсную DLL, которая будет работать, как с оригинальным файлом, так и с крякнутыми...

Универсальные распаковщики

Эта категория программ действует по очень оригинальному принципу: они не пытаются распаковать программу, а дожидаются пока она распакует себя сама в память, а она это делает каждый раз при загрузке, после чего формируют дамп, что-то типа снимка памяти (Большинство современных защит знают об этом и всячески противодействуют формированию дампа).
Классикой и эталоном этого типа программ является ProcDump32.

ProcDump32

Сразу и честно: мной он освоен процентов на 40.
Программа включает:
- Распаковщик на пару десятков морально устаревших и не использующихся паковщиков.
- Универсальный распаковщик, причем можно получить как полный дамп, так и частичный (дамп какого-либо раздела).
Файловый монитор (левое окно) т.е. монитор загруженных в память файлов, и их обращений к другим файлам (нижнее окно) - позволяет увидеть действительно ли какой-либо программы нет в памяти или она все еще там, при полном отсутствии ее кнопки на панели задач, и позволяет принудительно ее из памяти выгрузить. На самом деле треть сообщений о невозможности распаковки - связанна именно с этим.
PE-Editor и Brahma-сервер - тут я пока пасую […]

Скачать ProcDump: ucf-pd14.zip [110,12 Kb] (cкачиваний: 14)
Одна из немногих, содержащих хоть какую-то справочную информацию...

LordPE Deluxe

Внешне, очень похож на ProcDump32.

GUW32

Еще один универсальный распаковщик. Кроме этой функции, иногда бывает полезен для точного определения версии паковщика (видно, открыв в нем файл).

file insPEctor XL

Этот комбайн содержит анализатор паковщика/защиты, PE-разделы, импорт-экспорт, файловый монитор, полный и порционный дамп, возможность удаления и создания новых PE-разделов (!) и много еще черт знает чего, что мне по моему гуманитарному скудоумию недоступно.
Программа, единственная в этом разделе, имеет настоящий Help… на испанском.

Скачать file insPEctor XL