Küsimus:
Failide väljavõtmine Google Chrome'i võrguühenduseta installiprogrammist
user2064000
2014-06-16 17:05:50 UTC
view on stackexchange narkive permalink

Püüan faile Google Chrome'i võrguühenduseta installiprogrammist hankida vastupidise inseneritööna.

Nii et proovisin andmeid hankida installiprogrammi PE-st. Proovisin pestudio, mis näitas mulle kahte suurt varjatud ressurssi, kuid pestudios polnud võimalust neid maha visata. PE-i 7-zip-failiga ekstraheerimisel kuvatakse fail nimega ~102.

Kuid fail 7zip ei suuda failist ~ 102 midagi välja teha . Selle faili vaatamine hex-redaktoriga näitab, et see on tõrvaarhiiv, kuhu on ette valmistatud umbes 20 baiti lisateavet. Nende 20 baiti eemaldamine ei muuda seda siiski väljapakitavaks.

Kuidas faile binaarist välja tõmmata?

Olen pöördtehnoloogias täielik noob, seega parandage minu minu küsimuse alahääletamise asemel vigu. Samuti oleksin tänulik, kui keegi oskab mulle öelda tööriista, mis saab selliseid andmeid PE-käivitajatest välja tõmmata (selle asemel, et minu eesmärkide jaoks 7-zip-i kasutamine sellel otstarbel ebaõnnestuks, mis ka paljude rakenduste puhul ebaõnnestub). >

Kas saaksite öelda, mida soovite sellega saavutada? Või on see mõeldud ainult _treeninguteks_?
Kas teil on mõni konkreetne põhjus, miks te ei vaata lihtsalt koodi, mis failis faili installijast välja võtab, et aru saada, kas see on mõeldud RE-harjutuseks?
ST3, teerada, paljudele inimestele (ka mina kaasa arvatud) lihtsalt ei meeldi installijad. Eelistame programmi failide käsitsi väljavõtmist. Varem oli see Chrome'i abil lihtne, kuid Google ei meeldi, et kasutajatel on oma süsteemide üle kontroll, nii et nad segasid installijat, et muuta Chrome'i installimist installija käivitamiseta veidi keerulisemaks.
Kahjuks on Google muutunud aastatega üsna fašistlikuks ja nad muutsid installerit, et sundida kasutajatele kurikuulsalt kurikuulsat Google Update'i. Nad lihtsalt ei luba inimestel Chrome'i kasutada, laskmata ka Google'il Google Update'i reetlikke ja pealetükkivaid juuri teie süsteemisse kaevata. See tähendab, et on võimalik leida Chrome'i installiprogrammi sans-GU koopiaid, mis sisaldavad suurt 7-zip-faili, mis sisaldab Chrome'i faile ja ei sisalda Google Update'i, kuid nende hankimine pole lihtne. (Lõbus fakt, et Google Update'i failidel on nimed nagu "goopdate.dll" - nad tunnistavad, et see on goop. "☺")
Kaks vastused:
usr2564301
2014-08-09 16:23:56 UTC
view on stackexchange narkive permalink

Käivitasin installeri veebipõhise EXE-inspektori kaudu, kes ütles, et ressurss 102 sisaldas LZMA tihendatud andmeid . Rumalalt sulgesin selle akna, et otsida, mis see LZMA on. Unustasin selle konkreetse tööriista URL-i märkida ja nüüd ei leia ma seda enam! Nii kahju, sest see vihje oli oluline > / /

Seejärel jooksin selle läbi PEdump.me, mis võimaldab selle eraldi alla laadida . LZMA-pakkimise pakkimiseks kasutasin Stuffit Expanderit (OS X-i jaoks), kuid tõenäoliselt võite kasutada ka 7-Zip-i - selle toimimiseks peate võib-olla lisama faililaiendi .lzma .

See andis mulle TAR-laadse faili, mis sisaldas veel mõnda käivitatavat faili. Minu kohalik tar ei suutnud seda enam lahti pakkida (võib-olla on see mõni standardse tar) variant.

TAR-failivorming on ümbris liita mitu faili ühte; selle päised sisaldavad muu hulgas ka algset failinime ja suurust. TAR ei rakenda saadud failil tihendamist, nii et selle käsitsi eraldamiseks eraldi programmidesse on vaja ainult head hex-redaktorit.

.. 7-zip-i kasutamine selle jaoks väga küsitav, mis ebaõnnestub ka paljude käivitatavate failide puhul.

Võimalus näidata Windowsi käivitatava faili PE-sektsioone on üsna haruldane funktsioon üldise tihendamis- / tihendamisprogrammi jaoks ... See ütles: Ma ei leidnud 7-zipi PE-käivitatavate failide käsitsemisel viga. See jagab nad jaotisteks ja ei tee midagi enamat.

Ressursside kontrollimiseks saate kasutada sellist tööriista nagu PE Studio (kas olete kindel, et see ei saa neid välja tõmmata? Tundub selline põhifunktsioon); kuid pärast nende väljavõtmist olete omaette. Ressursside kokkusurumiseks või muul moel segamiseks pole ühtegi standardset viisi; mõned programmid võivad oma andmete eraldamiseks sisaldada isegi kohandatud koodi.

Seejärel vähendatakse ressursi vormingu äratundmist üldisemaks "failivormingu tuvastamiseks", mis on omaette äärmiselt lai teema.

Brauseri ajaloost oleks abi!
@Extreme: * uskumatult * tüütu. Safaril on "ajalugu", kuid tundub, et see hoiab seda ainult teie "peaakna" jaoks ja mul on kombeks avada lingid * uues * aknas. Nii et kõik, mida see näitab, on see, et ma otsin "LZMA" tähendust. Ma ei mäleta ka täpset Google'i päringut, mida ma selle konkreetse EXE kalluri leidmiseks kasutasin. See on häbi, sest muud proovitud tööriistad ei tunnistanud ressurssi "LZMA-ga pakituna", nii et see oli tõesti ülioluline vihje.
pestudio - www.winitor.com - suudab käivitatavate failide ressursse lõplikult välja võtta / tühjendada!
TroyDowling
2014-07-10 09:56:25 UTC
view on stackexchange narkive permalink

Kui teie eesmärk on tõepoolest ainult installimisfailide taastamine võrguühenduseta paketist, võite tõenäoliselt ise sellest probleemist säästa.

Võimalik, et ressursid eraldatakse käigult % TEMP% kataloog Windowsi masinas, mis on minu jaoks C: \ Users \ Troy \ AppData \ Local \ Temp .

Unix / Linux / OSX-is failid asuvad tõenäoliselt aadressil /tmp.

Failid on tõenäoliselt saadaval ainult siis, kui installer käivitab.

"Koefitsient on see, et ressursid tõmmatakse kiirelt kataloogi% TEMP%. Jah, ilmselt, kuid peate siiski installija installima, mis on ebasoovitav, kuna see võib teha soovimatuid asju, näiteks installida Google Update'i või isegi installida järelevalveta. Kuigi see tehnika ei pruugi kehtida Chrome'i installiprogrammi suhtes (praegu?), Ei ole see tehnika hea muude viirusi sisaldavate asjade jaoks. Kuid see tehnika sobib, kui kasutate ühekordset VM-i, siis on see failide kiireks väljavõtmiseks suhteliselt kiire, lihtne ja ohutu viis.


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...