PE Explorer

Contact Ventes | Plan du site

    English   Deutsch   Français   Italiano

Décompresseur UPX

PE Explorer est livré avec le plug-in UPX Unpacker, un plug-in de traitement au démarrage pour décompresser les fichiers compressés avec UPX par Oberhumer, Molnár & Reiser (voir upx.github.io). Toutes les versions d'UPX sont prises en charge, des premières versions obsolètes (antérieures à 0.80) aux dernières versions 4.0x.

De plus, PE Explorer prend en charge les fichiers modifiés avec de nombreux scramblers UPX tels que Advanced UPX Scrambler, UPoLyX, UPX Lock, et même plus : il prend désormais en charge Upack et NSPack.

Maintenant, vous pouvez ouvrir des fichiers compressés avec UPX même sans le savoir !

Lorsque vous ouvrez un fichier avec PE Explorer, le plug-in UPX Unpacker détecte si le fichier est compressé avec UPX, puis votre fichier est automatiquement décompressé. Le fichier résultant sera également enregistré sans compression. PE Explorer ne recomprime pas les fichiers préalablement compressés. C'est pourquoi la taille du fichier d'origine peut augmenter après avoir enregistré l'exécutable SANS apporter AUCUNE modification dans PE Explorer.

UPX Unpacker affiche des lignes de messages dans la fenêtre de journal en bas de l'écran, comme suit :

Décompresser les logiciels malveillants

Le plug-in UPX Unpacker fonctionne sur des exécutables malveillants compressés et peut traiter un fichier même s'il a été compressé avec UPX et modifié manuellement de sorte que UPX ne puisse pas être utilisé directement pour décompresser le fichier, car les structures internes ont été modifiées, par exemple les noms des sections ont été changés de UPX à XYZ, ou le numéro de version du format UPX a été changé de 1.20 à 3.21. Cette technique est souvent utilisée par les auteurs de logiciels malveillants pour rendre la décompression et l'ingénierie inverse plus difficiles.

Auparavant, vous deviez exécuter l'exécutable et extraire les segments compressés immédiatement après que l'exécutable ait été complètement décompressé en mémoire. Maintenant, vous pouvez ouvrir ces fichiers obfusqués même sans le savoir : votre fichier sera décompressé automatiquement !

UPX Unpacker tente de récupérer un fichier, même lorsque une entrée d'en-tête de fichier PE d'origine n'est plus disponible après la décompression. Auparavant, la perte de l'en-tête du fichier PE rendait l'exécutable complètement inutilisable et irréparable. Maintenant, vous avez de bonnes chances d'analyser des exécutables malveillants compressés et d'extraire des données cachées.

Écrire vos propres plugins personnalisés

Vous pouvez écrire vos propres plug-ins personnalisés pour PE Explorer en utilisant l'API de plug-in disponible. Les plug-ins personnalisés vous permettent de gérer les fichiers cryptés ou de décompresser des fichiers compressés autres que ceux pris en charge par les plug-ins de décompression intégrés (UPX, Upack et NSPack).

Pour écrire vos propres plug-ins personnalisés, consultez la documentation de PE Explorer pour obtenir des informations détaillées sur l'API de plug-in. Vous y trouverez des instructions sur la façon de créer et de configurer vos propres plug-ins.

Une fois que vous avez créé vos plug-ins personnalisés, vous pouvez les gérer et définir leur priorité d'exécution à l'aide du gestionnaire de plug-ins de PE Explorer. Vous pouvez accéder au gestionnaire de plug-ins en allant dans le menu Outils | Gestionnaire de plug-ins.

Avec cette fonctionnalité, vous avez la possibilité d'étendre les capacités de PE Explorer en créant des plug-ins adaptés à vos besoins spécifiques.

Pour utiliser des plug-ins personnalisés avec PE Explorer, vous devez créer un sous-répertoire nommé "PLUGINS" dans le répertoire de PE Explorer. C'est là que vous devez placer tous les fichiers DLL des plug-ins.

Lors de l'écriture de plug-ins personnalisés, il est important de prêter une attention particulière aux remarques et aux directives fournies dans la description des fonctions et des types dans le fichier d'aide de PE Explorer. En suivant ces directives, vous garantissez la compatibilité de votre code avec les futures versions de PE Explorer, car l'API des plug-ins peut être étendue ou mise à jour au fil du temps.

En respectant les directives et en maintenant la compatibilité de votre code, vous pouvez vous assurer que vos plug-ins personnalisés fonctionnent de manière efficace avec PE Explorer et bénéficient de toutes les améliorations ou évolutions futures de l'API des plug-ins.

précédent | suivant >