Програмное определение инсталеров

Тема в разделе "WASM.RESEARCH", создана пользователем Forever, 28 авг 2008.

  1. Forever

    Forever Виталий

    Публикаций:
    0
    Регистрация:
    12 апр 2008
    Сообщения:
    244
    Интересует такой вопрос. Как программно определить инсталеры? В данный момент меня не интересует детали реализации. Нужны идеи. Признаки по которым можно определить их. Признаки любые - от статического анализа, до анализа поведения таких программ ( обращение к реестру, файловой системе и т.д. ).
     
  2. AkKort

    AkKort New Member

    Публикаций:
    0
    Регистрация:
    22 янв 2008
    Сообщения:
    15
    наличие оверлея.
    анализ кода ничего существенного не даст - как правило все инсталлеры используют скрипты, которые распаковывают из тела.
     
  3. CyberManiac

    CyberManiac New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2003
    Сообщения:
    2.473
    Адрес:
    Russia
    Кальные (некоторые говнсталлеры даже UPXом не пожаты) - по сигнатурам, нормальные - распаковать исполняемую часть инсталлера и опять по сигнатурам.
     
  4. Ra_

    Ra_ New Member

    Публикаций:
    0
    Регистрация:
    4 мар 2007
    Сообщения:
    289
    Можно и в реализованном подсмотреть - uniextract
     
  5. censored

    censored New Member

    Публикаций:
    0
    Регистрация:
    5 июл 2005
    Сообщения:
    1.615
    Адрес:
    деревня "Анонимные Прокси"
    Интересно, IS это гуан или нет?
     
  6. Forever

    Forever Виталий

    Публикаций:
    0
    Регистрация:
    12 апр 2008
    Сообщения:
    244
    А как насчет анализа обращений к файловой системе или реестру? Какие будут идеи на этот счет? Можно ли определить опираясь на него.
     
  7. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    nsis и без упх хорошо жмет нафик он там ?
     
  8. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    нет это всеравно что антивирус делоть =) опираться нельзя на такие вещи
     
  9. CyberManiac

    CyberManiac New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2003
    Сообщения:
    2.473
    Адрес:
    Russia
    sl0n
    Да неважно, как он жмёт. Важно, что у некоторых shitstaller'ов исполняемая часть, в которой сидит интерпретатор сценария и распаковщик вообще никак не ужата и притом весит дохрена. А если учесть, что большинство инсталляторов пихают собсно инсталлируемое в оверлей - уровень качества продукта очвеиден.