Üldine määratlus

Binaarpakendajad muudavad algseid binaarandmeid ja taastavad (enam-vähem) enne käivitamist.

Nende erinevad nimed sõltuvad rohkem nende omadustest: seda on raske eristage selgelt, kuna silumisvastase ja Xori silmuse panemine muudaks pakendaja ka kaitsjaks ja krüptoriks.

tüübid

laiendus

lisapakkuja kood käivitatakse

• kompressor: vähendage algandmete suurust
  • levinud: aPLib (FSG,, LZMA, NRV (UPX)
  • muud: JCALG1, BriefLZ , LZMAT
• kaitsja: muudab pöördtehnoloogia raskemaks
  • vastumeetmed:
    • silumisvastane: IsDebuggerPresent, ...
    • anti-virtualiseerimine: tuvastage VmWare, ...
    • dumpingu tõkestamine: päise kustutamine mälust ...
    • võltsimise vältimine kontrollsummade kaudu
      • levinud : jooksev kontrollsumma, CRC32, md5, sha1, adler, md4
      • muud: Tiiger, Whirlpool, md4, adler
• krüptor: krüpteerib algandmed
  • levinud: bitipõhine operato rs (XOR / ROL / ...), LCG, RC4, tee
  • teised: DES, AES, Blowfish, Trivium, IDEA, ElGamal

teisendamine

algne kood kirjutatakse ümber

• virtualiseerija: muudab algse koodi sisseehitatud virtuaalmasinaga virtuaalseks koodiks
• mutater: muudab kood - sama käskude komplekt ja arhitektuur, kuid muudetud:
  • peegeldav
  • oligomorfism

lisafunktsioonid

• kogum: faili kukutamine koos API konksuga (et mitme failiga programm toimiks ühe failina)

Need graafikad võivad aidata edasise viitena.

Definition

Määratleme pakendaja käivitatava kompressorina.

Pakendajad vähendavad pakitava faili füüsilist suurust. Seejärel kinnitatakse dekompressioonipistik parasiitselt käivitatava faili külge. Käivitusajal laiendab dekompressiooni tõmme algset rakendust ja teisaldab juhtimise algsesse sisestuspunkti .

Peaaegu kõigi tänapäevaste platvormide jaoks on olemas pakkijad. Pakkijaid on kahte põhitüüpi:

• kohapeal (mälus)
• kettale kirjutamine

Kohapealsed pakkijad teevad seda, mida nimetatakse kohapealseks dekompressiooniks, kus dekompresseeritud kood ja andmed satuvad samasse kohta, kuhu need laaditi. Nendele tihendatud käivitatavatele failidele lisatud dekrüpteerimise pistik edastab juhtimise algsesse rakenduse sisestuspunkti käitamise ajal pärast dekompresseerimise lõppu.

Kirjutamine kettale pakenditel on dekrüpteerimise pistik (või kogu moodul), mis kirjutab töötamise ajal dekompressitud rakenduse failisüsteemi või mäluplokisse ja seejärel edastab need kontroll algsele rakendusele rakenduse koodi käivitamise kaudu tavaliste API-kõnede kaudu.

Kasutab

Käivitatavate kompressorite algne eesmärk oli vähendada salvestusnõudeid (kettal olev maht) tagasi kettale ruum oli lisatasu eest. Samuti võivad nad vähendada edastatud tihendatud käivitatavate failide võrgu ribalaiuse jalajälge, vähemalt siis, kui võrguliiklus muidu tihendatud pole.

Tänapäeval pole kettaruumis lisatasu, mistõttu nende kasutamine on vähem levinud. Neid kasutatakse kõige sagedamini pöördtehnoloogia vastase kaitsesüsteemi osana. Kurb on levinud ka kuritarvitamine.

Väärkasutus

Pahavara autorid kuritarvitavad mõnda pakendajat, püüdes varjata pahavara skannerite eest. Enamik skannereid suudab skaneerida pakendatud käivitatavaid faile "sisemiselt" (lahti pakkida). Irooniline, et pakkijate kasutamine pahavaras on sageli kahjulik, kuna see muudab pahavara kahtlaseks ja muudab selle seetõttu põhjalikumaks analüüsiks.

Lisafunktsioonid

Lisafunktsioonid, näiteks pakkijale saab lisada kaitset pöördtehnoloogia eest, muutes pakkija ka kaitsjaks. Kokkusurumisprotsess on iseenesest hägustumise ja abstraktsiooni vorm, mis on oma olemuselt teatud kaitse.