Okei, olettaen vanilja-UPX: n, sinun pitäisi olla kunnossa tunnistamalla merkkijonot UPX! tai UPX0 . Minun mielestäni tämä toimisi myös Windowsissa.

Joten se on kuoren yksi linja, kuten:

  grep UPX \! <filename>  

tai

  grep UPX0 <filename>  

... olettaen grep <: n gnu-version> täällä.

Toinen menetelmä, mutta samalla periaatteella:

  $ hexdump -C <filename> | grep -C 1 UPX000000a0 00 00 00 00 00 00 00 00 00 00 00 20 00 00 00 00 00 | .......... ..... | 000000b0 c3 af e9 18 55 50 58 21 20 08 0d 16 00 00 00 00 | .... UPX! ....... | 000000c0 a0 fd 16 00 a0 fd 16 00 38 02 00 00 c6 00 00 00 | ........ 8 ....... | --0000cf60 fe 61 03 83 78 b5 54 03 67 8b 85 2d ca a8 12 3c | .a..xTg.-... < | 0000cf70 44 ad bc 12 ab 7e 86 55 50 58 30 0e 01 ee 7c 64 | D .... ~. UPX0 ... | d | 0000cf80 00 f7 d1 80 4a 11 03 58 6e ac 0d 01 ff 92 83 e8 | .... J..Xn ....... | --000544e0 73 20 66 69 6c 65 20 69 73 20 70 61 63 6b 65 64 | s tiedosto on pakattu | 000544f0 20 77 69 74 68 20 74 68 65 20 55 50 58 20 65 78 | UPX ex: n kanssa | 00054500 65 63 75 74 61 62 6c 65 20 70 61 63 6b 65 72 20 | leikattu pakkaaja | 00054510 68 74 74 70 3a 2f 2f 75 70 78 2e 73 66 2e 6e 65 | http: // upx. sf.ne | 00054520 74 20 24 0a 00 24 49 64 3a 20 55 50 58 20 33 2e | t $ .. $ Id: UPX 3. | 00054530 30 38 20 43 6f 70 79 72 69 67 68 74 20 28 43 29 | 08 Tekijänoikeudet (C) | --00054e40 7d 24 24 92 b7 0c 7f 12 01 a8 24 49 92 ff 00 00 |} $$ ....... $ I .... | 00054e50 00 00 55 50 58 21 00 00 00 00 00 00 55 50 58 21 | ..UPX! ...... UPX! | 00054e60 0d 16 08 07 80 44 b5 80 b9 9a 8a d9 a0 08 00 00 | ..... D. ......... |  

En suosittele, että luotat mahdollisesti löytyviin merkkijonoihin tai osioiden nimiin. Normaalisti se osoittaa, että tiedosto on pakattu UPX: ään, mutta varsinkin jos analysoit haittaohjelmia, se voidaan tehdä huijata sinua. Suosittelen, että katsot lähtökohtaan ja löydämme samanlaisen mallin:

  0x00023b60; TOIMINTO start0x00023b60 (01) 60 PUSHA 0x00023b61 (05) be00904300 MOV ESI, 0xHARDCODED_VIRTUAL_ADDRESS0x00023b66 (06) 8dbe0080fcff LEA EDI, [ESI-0x38000] 0x00023b6x (01) 577 1 

Etsi periaatteessa PUSHA, MOV ESI, VIRTUAL_ADDRESS, LEA ja JMP.

Linux / Unix-muunnoksissa merkkijonokomento on auttanut minua tunnistamaan joitain pakkaajia, kuten UPX, Aspack, NSPack, NTKrnl, PeCompact, Themida jne. Kaikki nämä pakkaajat jättävät yleensä upotetut merkkijonot pakattuun suoritettavaan tiedostoon tunnista pakkaajan tyyppi. Myönnetään, että tontutiedoston kirjoittaja voisi esitellä samat merkkijonot tarkoituksella heittääksesi analyysisi raiteilta. Käytän tätä vain lähtökohtana analyysissani.

Tässä on joitain tunnistemerkkijonoja, jotka auttoivat minua tunnistamaan pakkaustyypin.
UPX - UPX0, UPX1, UPX2
Aspack - aspack, adata
NSPack - NSP0, NSP1, NSP2
NTKrnl - NTKrnl Security Suite
PECompact - PEC2, PECompact2
Themida - Themida, aPa2Wa

Tiedostokomento tunnistaa myös joitain yleisiä pakkausmuotoja.

Jos epäilet, että tiedosto on ehdottomasti pakattu UPX: ään, suosittelen ehdotusta kohteesta 0xC0000022L.

1. hanki UPX
2. tee omat UPX-pakatut ELF: t, eri vaihtoehdoilla (LZMA, NRV, ...)
3. Kuten UPX: ää on helppo muokata, ja sitä on usein muokattu, korjattu tai jopa väärennetty. Koodin alkamisen vertaaminen helpottaa sen tarkistamista, onko kohde todella UPX-pakattu, ja onko tämä todella alkuperäinen UPX-versio tai onko sitä muunnettu millään tavalla.