Как распаковать установочный файл windows 311

Universal Extractor DreamLair v2.1.1

Universal Extractor — уникальная программа, предназначенная для извлечения данных из самых разнообразных
архивов, инсталляторов и других файлов.
Universal Extractor DreamLair — форк (модификация), в которой значительно расширен список поддерживаемых
архивов и инсталляторов, исправлен и откорректирован процесс распаковки, добавлено много других изменений и
улучшений.

Уникальные особенности DreamLair-релиза, которых нет в других модификациях программы:
— архиватор zpaq 6.26
— KGB Archiver 2.0.0.2.2
— препроцессор srep 3.92
— архиватор FreeArc 11.11.2013
— возможность распаковки файлов pcf
— возможность распаковки файлов srep
— распаковка консольных архивов uda
— возможность распаковки изображений gif
— скорректирована распаковка IShield 5-18
— precomp 0.37, 0.38, 0.40, 0.42 и 0.43
— поддержка precomp, delta, srep, 7-Zip во FreeArc
— оставлены только языковые файлы Eng-Ukr-Cz-Pol-Rus
— все файлы распаковщиков в составе сборке авторские
— инсталлятор UniExtractor без хитропопых паролей
— подкорректирован интерфейс, убраны звуковые сигналы
— убрано автообновление и подмена сторонними файлами
— инсталлятор можно просто распаковать, и получится портабл
— 7d2c2b00016bd7f6b08f69566ca35af7 *UEDreamLair_2.1.1.exe

Unique features of Release:
— updated zpaq 6.26
— KGB Archiver 2.0.0.2.2
— Preprocessor srep 3.92
— Arhiver FreeArc 11.11.2013
— added opportunity unpack files pcf
— added opportunity unpack files srep
— added opportunity unpack console uda
— added opportunity unpack images gif
— corrected unpack Install Shield 5-18
— added Precomp 0.37, 0.38, 0.40, 0.42, 0.43
— support precomp, delta, srep, 7-Zip in FreeArc
— languages — only English and Ukr-Cz-Pol-Rus
— files of unpackers replaced with original ones
— installer UniExtractor now without sly passwords
— slightly corrected program interface, removes sounds
— you can just unpack installer and get portable version
— 7d2c2b00016bd7f6b08f69566ca35af7 *UEDreamLair_2.1.1.exe

2014.01.05
Новое в версии 2.1.1
— исправлена распаковка precomp;
— удалён лишний файл;
— добавлен Readme-файл.

При желании вы можете инсталлировать Universal Extractor, и она встроется в контекстное меню файлов. А можете
просто распаковать архив-инсталлятор с программой и использовать портабельную версию.

Домашняя страница: https://dreamlair.net/dreamlair/2176-uniextractor-dreamlair.html

Universal Extractor v1.9.22.209 (by gora)

Universal Extractor — Программа, служащая для извлечения данных из установщиков, msi-инсталляторов и архивов практически любых типов.
Полный список поддерживаемых форматов можно посмотреть на странице программы. Имеет русский интерфейс.

Сайт программы: http://www.legroom.net/software/uniextract

Место установки: %PROGRAMFILES%\Universal Extractor\, может быть изменен при установке
Способ установки: SVCPACK, может использоваться и для установки на «живую» систему.
Предусмотрена возможность удаления программы через апплет ‘Установка и удаление программ’.

Пункт ‘Извлечь с помощью UniExtract’ в контекстное меню добавляется всегда.
Дополнительные ярлыки могут быть созданы:

• Установка на ‘живую’ систему:
UExtract.exe ярлык в меню ‘Отправить’

• Ключи для ‘тихой’ установки:
UExtract.exe -y -gm2 -fm0 ярлык в меню ‘Отправить’
UExtract.exe -ai0 -gm2 без дополнительных ярлыков
UExtract.exe -ai01 -gm2 ярлык в меню ‘Отправить’
UExtract.exe -ai02 -gm2 ярлык в меню Пуск->Программы->Утилиты
UExtract.exe -ai03 -gm2 ярлык на рабочем столе
UExtract.exe -ai04 -gm2 ярлык на панели быстрого запуска

• Ключи можно комбинировать:
UExtract.exe -ai01234 -gm2 установит все ярлыки

• Установка на ‘живую’ систему нажатием ‘OK’, с удерживанием клавиши [Shift], или с ключом:
UExtract.exe -ai

При этом будет произведена простая распаковка программы в папку и Вы получите портативную версию. Ни каких записей в ОС, ярлыков, пунктов в контекстном меню, создано не будет.

Поддержка кроссплатформенности: имеется

Для уменьшения размера аддона документация удалена (но может быть добавлена без пересборки 7z SFX архива), и все файлы распакованы UPX-ом.

Источник: http://forum.oszone.net/thread-81059-64.html / http://gora.7zsfx.info/addons

Universal Extractor v1.9.21.209b (by Gora/Vandit)

Universal Extractor — is a program designed to decompress and extract files from any type of archive or installer, such as ZIP or RAR files, self-extracting EXE files, application installers, etc. The full list of supported formats can be found in the table below. It’s able to support so many varied file formats by utilizing the many backend utilities listed in the credits at the bottom of the page.
Please note that Universal Extractor is not intended to be a general purpose archiving program. It cannot (and never will) create archives, and therefore cannot fully replace archivers such as 7-Zip or WinRAR. What it will do, however, is allow you to extract files from virtually any type of archive, regardless of source, file format, compression method, etc.

• Created by Gora [R.I.P]
• modified by Vandit

Supported Languages:
ar,bg,br,cz,de,en,es,fi,fr,hr,hu,it,nl,pl,ru,sk,sv,tr,uk,vn

arameters for unattended installation
/VERYSILENT /LANG=Spanish
Supported languages
Dutch,English,French,German,Italian,Russian,Spanis h
Additional tasks
/TASKS=»desktopicon,pin

Universal Extractor 1.9.22.209b 2018.03.14
TridDefs.trd 9775 2018.03.14
== Name ================ Version ====== Date ==
7z.exe 18.3.0.0 2018.03.04
arc.exe 5.21.10.1926 2017.11.18
ExeInfoPe.exe 0.0.4.8 2017.12.18
lzip.exe 1.11 * 2017.11.18
pea.exe 0.64.0.0 2018.02.09
upx.exe 3.94.0.0 2017.11.18
7z_New\7z.exe 18.3.0.0 2018.03.04
7z_Old\7z.exe 18.1.0.0 2018.01.28
===============================================
7z.dll 18.3.0.0 2018.03.04
7z_New\7z.dll 18.3.0.0 2018.03.04
7z_Old\7z.dll 18.1.0.0 2018.01.28
===============================================

Source: https://www.wincert.net/forum/index.php?/files/file/43-universal-extractor-1921209b-by-goravandit/
Source: https://www.wincert.net/forum/files/file/43-universal-extractor-1921209b-by-goravandit/
Source: https://repacks.de/index.php?file/291-universal-extractors/

Universal Extractor v1.6.1.2029 (by dev2null) (mod by korosya)

Universal Extractor — программа позволяет извлекать файлы не только из популярных архивов, но также из инсталляционных пакетов INNO, NSIS, WISE, MS, INSTALLSHIELD и некоторых других.

————————————
Типа псевдопортабель сборки от koros. Добавлять/удалять в контекстное меню батником ue_setup_ru.cmd (на осях с вкл. UAC запускать от админа). Часть программ в сборке и сам UniExtract.exe пересобраны по моему вкусу (в UniExtract только заменена иконка, а то родная не очень нравится, остальные в основном для уменьшения размера).

Модификация (korosya):
* 02.05.2018: исправлена распаковка Wix installer (спасибо rinat84):
http://forum.ru-board.com/topic.cgi?forum=5&topic=20420&start=2260#2

* 01.05.2018: обновлены 7-Zip, MHTUnp.wcx и TrIDDefs.TRD.

* 16.04.2018: обновлена сборка до 1.6.1.2029 (16/04/2018) от автора:
1. Исправлена ошибка (для rar-архивов — неправильное определение с помощью TrID и распаковка запароленных)(спасибо rinat84).

* 15.04.2018: обновлён TrIDDefs.TRD + фикс детекта RAR и работы с запароленными rar5-архивами (спасибо rinat84):
http://forum.ru-board.com/topic.cgi?forum=5&topic=20420&start=2240#3

* 09.04.2018: обновлена сборка до 1.6.1.2028 от автора:
1. Добавлено: Распаковка инсталляторов сделанных с помощью Ghost Installer Studio. Определяется утилитами Exeinfo PE, Detect-It-Easy, PEiD по фразе ‘Ghost Installer’ и распаковывается с помощью xor v0.2 (автор Luigi Auriema) (спасибо rinat84).

Universal Extractor v1.6.1.1032 (by korosya)

Universal Extractor — программа позволяет извлекать файлы не только из популярных архивов, но также из инсталляционных пакетов INNO, NSIS, WISE, MS, INSTALLSHIELD и некоторых других.

Модификация (korosya):
1.6.1.1032 (21/08/2018) mod by koros aka ya158
1. Оптимизация скрипта (функция EnvParse() изменена, Секция Case «iso» в Func extract($arctype, $arcdisp) удалена)(спасибо nikzzzz).
2. Исправлена ошибка (при удачной распаковке в лог попадала строка «Распаковка %s в %s успешно завершена» без раскрытия %s (спасибо nikzzzz).
3. Изменена иконка сообщения об удачной распаковке (спасибо nikzzzz).
4. Добавлен пункт «Поверх всех окон» меню Настройки.
5. Обновлен Exeinfo PE до версии v0.0.5.0 — 2018 (1015 + 67 signatures x64).
6. Обновлен innounp до версии 0.47.

Universal Extractor v1.6.1.2032 AU (by korosya)

Universal Extractor — программа для извлечения файлов практически из любых типов архивов и инсталляционных пакетов, например из пакетов INNO, NSIS, WISE, MS, INSTALLSHIELD и многих других.

Модификация (korosya):
. Добавлена возможность декомпиляции скомпилированных AutoIt-скриптов. Теперь будут две версии (из-за требований oszone.net) 1.6.1.2xxx и 1.6.1.1xxx — с и без этой возможностью.
1.6.1.2032 (21/08/2018) mod by koros aka ya158
1. Оптимизация скрипта (функция EnvParse() изменена, Секция Case «iso» в Func extract($arctype, $arcdisp) удалена)(спасибо nikzzzz).
2. Исправлена ошибка (при удачной распаковке в лог попадала строка «Распаковка %s в %s успешно завершена» без раскрытия %s (спасибо nikzzzz).
3. Изменена иконка сообщения об удачной распаковке (спасибо nikzzzz).
4. Добавлен пункт «Поверх всех окон» меню Настройки.
5. Обновлен Exeinfo PE до версии v0.0.5.0 — 2018 (1015 + 67 signatures x64).
6. Обновлен innounp до версии 0.47.

UniEx DreamLair v20.6 (by LonerD)

UniEx DreamLair — Форк by LonerD форка by koros aka ya158
Переделывалось под себя, и с предложения korosya выкладывается на всеобщее обозрение. Только портабельная версия, установщика нет. Активного развития не обещается. Весь исходный код прилагается.

Universal Extractor DreamLair 20.6
Based on mod by koros aka ya158 v1.6.1.2035

— UPX updated v3.96
— pea updated v0.72
— userdb.txt updated
— TrIDDefs.TRD updated
— jsMSIx updated v1.19
— innounp updated v0.48
— lessmsi updated v1.6.91
— Xpdf tools updated v4.02
— Exeinfo PE updated v0.0.6.0
— EnigmaVBUnpacker updated v0.58
— UNUHARC06 replaced with UHARC06
— WiX Toolset updated v3.11.2.4516
— lessmsi moved to separate directory
— Renamed Stix_w32.exe (original name)
— Renamed and updated MHTUnpack.wcx 2.2
— Original 7-Zip replaced with 7-Zip ZS
— Added many file types supported by 7-Zip
— Added GIFWCX plugin for GIF files support
— Added precomp 0.4.7 and pcf files support
— Removed dbxplug.wcx (replaced with 7-Zip)
— Updated Detect It Easy 2.04 (thanx rinat84)
— InstallExplorer replaced with original version
— All decompressed files replaced with originals
— Removed bootimg.exe (probably it was unworkable)
— Small interface changes and improvements

MD5: 0de61fce3c41e9bd1d4c17e898a751f3 *UniEx.7z

Скачать: UniEx DreamLair v20.6 [08-06-2020]

Universal Extractor v1.6.1 R11 (by Lupo)

Universal Extractor — It allows you to extract files from many types of archive files, including ZIP, RAR, ARJ, LZH, MSI, EXE created using various installer packages such as Wise, Inno Setup, NSIS etc. It is great for testing apps for portability because you can extract files directly from installer packages without having to go through the installation process.

Universal Extractor v2.0.0 RC1 (by Bioruebe)

Universal Extractor 2 — is an unofficial updated and extended version of the original UniExtract by Jared Breland. It brings several hundred changes including community-wanted ones such as a batch mode, auto-updater and scan-only-functionality.

New features:
— Batch mode
— Silent mode, not showing any prompts
— Scan only mode to determine file types without extracting
— Integrated updater
— 100+ new supported file types
— Audio and video extraction for multimedia files
— Cascading context menu
— Support for password list for common archives
— Improved optional status box with progress indicator
— New detection methods + more detailed output and error messages
— Support for some extractors not shipping with UniExtract as plugins
— Resource usage/speed improvements, lots of fixes
— Auto-using 64 bit versions of extractors if supported by OS

Распаковка исполняемых файлов

Привет, хабровчане. В рамках курса «Reverse-Engineering. Basic» Александр Колесников (специалист по комплексной защите объектов информатизации) подготовил авторскую статью.

Также приглашаем всех желающих на открытый вебинар по теме «Эксплуатация уязвимостей в драйвере. Часть 1». Участники вебинара вместе с экспертом разберут уязвимости переполнения в драйверах и особенности разработки эксплойтов в режиме ядра.

Статья расскажет о подходах к анализу запакованных исполняемых файлов с помощью простых средств для обратной разработки. Будут рассмотрены некоторые пакеры, которые применяются для упаковки исполняемых файлов. Все примеры будут проведены в ОС Windows, однако изучаемые подходы можно легко портировать на любую ОС.

Инструментарий и настройка ОС

Для тестов будем использовать виртуальную машину под управлением ОС Windows. Инструментарий будет содержать следующие приложения:

установленный по умолчанию плагин x64dbg Scylla;

Самый быстрый и простой способ провести распаковку любого исполняемого файла — применить отладчик. Но так как мы будем также рассматривать язык программирования Python, то может понадобится проект:

uncompile6 проект, который позволяет разобрать байткод виртуальной машины Python;

pyinstallerExtractor инструмент для распаковки архива pyInstaller.

Общие методы снятия паковки

Разберемся, что же такое паковка. В большинстве случаев исполняемые файлы современных языков программирования имеют довольно большой размер при минимальном наборе функций. Чтобы оптимизировать данную величину, можно применить паковку или сжатие. Наиболее распространенный на сегодняшний день пакер — UPX. Ниже приведен пример того, как пакер проводит сжатие исполняемого файла.

На картинке может показаться, что файл стал по размеру больше, однако это не всегда так. Большинство файлов за счет такой модификации могут уменьшить свой размер до 1.5 раз от исходного объема.

Что же от этого реверс-инженеру? Почему надо знать и уметь определять, что файл упакован? Приведу наглядный пример. Ниже приведен снимок файла, который не запакован:

И файл, который был пропущен через алгоритм UPX:

Изменения коснулись в этом случае двух основных точек исполняемого файла:

Точка входа — в случае с упакованным файлом это начало алгоритма распаковки, настоящий алгоритм программы будет работать только после того, как будет распакован оригинальный файл;

Код оригинального файла: теперь не найти паттернов, которые можно сразу разбирать как команды.

Итак, чтобы снова анализировать оригинальный файл, нужно найти настоящую или оригинальную точку входа. Для этого нужно разбить алгоритм на основные этапы:

Этап подготовки исполнения файла — загрузчик ОС настраивает окружение, загружает файл в оперативную память;

Сохранение контекста — упаковщик сохраняет контекст исполнения файла (набор значений регистров общего назначения, которые были установлены загрузчиком ОС);

Распаковка оригинального файла;

Передача управления оригинальному файлу.

Все описанные выше этапы можно легко отследить в отладчике. Особенно может выделяться процедура сохранения контекста. Для нее в разных архитектурах могут быть использованы команды pushad/popad или множественное использование команды push . Поэтому всегда приложение трассируют до первого изменения регистра ESP/RSP, и ставят «Hardware Breakpoint» на адрес, который был помещен в регистр в первый раз. Второе обращение этому адресу будет в момент восстановления контекста, который заполнил загрузчик ОС. Без него приложение завершится с ошибкой.

Пример UPX

Попробуем с помощью отладчика найти оригинальную точку входа для приложения. Запечатлим оригинальную точку входа до упаковки UPX:

Как та же точка входа выглядит после упаковки:

Запустим отладчик и попробуем найти место сохранения контекста:

Ждем первого использования ESP — в отладчике при этом значение регистра подсветится красным цветом. Затем устанавливаем точку останова на адрес и просто запускаем приложение:

В результате попадаем на оригинальную точку входа:

Вот так просто, теперь используя плагин Scylla Hide можно сохранить результирующий файл на жесткий диск и продолжить его анализ.

Подобный метод можно применять для любого упаковщика, который сохраняет контекст на стек.

Пример PyInstaller

Не всегда подобный подход работает для приложений, которые используют более сложную структуру исполняемого файла. Рассмотрим файл, который был создан с помощью PyInstaller — пакет, который позволяет преобразовать Python скрипт в исполняемый файл. При генерации исполняемого файла создается архив, который содержит виртуальную машину Python и все необходимые библиотеки. Сам исходный код приложения при этом преобразуется в байт код и его нельзя дезассемблировать.

Попробуем все же получить что-то читаемое. Создадим простое приложение на Python и упакуем с помощью PyInstaller. Исходный код приложения:

Установим пакет pyInstaller и создадим exe файл:

Итак, проведем сбор информации о том, что в итоге получилось. У нас есть архив, который должен запустить виртуальную машину, и код, который мы записали в виде скрипта. Попробуем восстановить исходник и просто его прочесть даже без запуска.

После выполнения команд выше, у вас должна создаться директория ./dist/test.exe . Откроем последовательно файл с помощью pyinstallerextractor и uncompile3 :

Наш скрипт находится в директории, которая создается в результате распаковки. Наименование файла должно соответствовать названию exe файла. В нашем случае это test.pyc . Откроем его в hiew :

Декомпиляция стандартными средствами невозможна, так как инструменты просто не умеют работать с байткодом Python. Применим специализированный инструмент — uncompile6 .

Таким образом можно снова получить исходный код.

Смотреть открытый вебинар по теме «Эксплуатация уязвимостей в драйвере. Часть 1».