Интересует такой вопрос. Как программно определить инсталеры? В данный момент меня не интересует детали реализации. Нужны идеи. Признаки по которым можно определить их. Признаки любые - от статического анализа, до анализа поведения таких программ ( обращение к реестру, файловой системе и т.д. ).
наличие оверлея. анализ кода ничего существенного не даст - как правило все инсталлеры используют скрипты, которые распаковывают из тела.
Кальные (некоторые говнсталлеры даже UPXом не пожаты) - по сигнатурам, нормальные - распаковать исполняемую часть инсталлера и опять по сигнатурам.
А как насчет анализа обращений к файловой системе или реестру? Какие будут идеи на этот счет? Можно ли определить опираясь на него.
sl0n Да неважно, как он жмёт. Важно, что у некоторых shitstaller'ов исполняемая часть, в которой сидит интерпретатор сценария и распаковщик вообще никак не ужата и притом весит дохрена. А если учесть, что большинство инсталляторов пихают собсно инсталлируемое в оверлей - уровень качества продукта очвеиден.
