Для курсовой мне нужно проанализировать вредоносное ПО.
Это самораспаковывающийся файл .EXE Win32 Cabinet. (так его видят окна, на самом деле он начинается с 4D 5A 00 03 Hex). При запуске он извлекает все файлы в созданной папке, запускает вредоносное ПО (пакетные/VBS-файлы), которое в конце удаляет папку с файлами вредоносного ПО.
Мне было интересно, как можно извлечь без запуска вредоносного ПО? Я использовал ProcDump32, но он выдает: «Процесс не 32-битный, не может быть загружен или уже завершен!».
Каким-то образом мне удалось застрять в ProcDump32, получить папку на несколько секунд и скопировать ее до того, как она «исчезнет», поэтому я получил файлы, но я не уверен, что собрал их все, и я хотел бы сделать это правильно. .
Поэтому я ищу приложение, которое может извлекать содержимое файла Win32 Cab Self-Extractor без выполнения выходных файлов и, если возможно, предоставления списка извлеченных файлов.
.CABбез их выполнения. - person Cody Gray schedule 24.02.2011