我正在尝试从Google Chrome脱机安装程序中提取文件,作为反向工程练习

,所以我尝试在安装程序PE中提取数据。我尝试了pestudio,它向我展示了两个大型嵌入式资源,但是pestudio没有选择转储它们。提取带有7-zip的PE会显示一个名为~102的文件。

但是,7zip无法从~102文件中识别出任何内容。使用十六进制编辑器查看此文件显示该文件是tar存档,其中附加了大约20个字节的附加信息。删除这20个字节并不能将其提取。

我如何从二进制文件中提取文件?纠正我的错误,而不是否决我的问题。如果有人能告诉我一个可以从PE可执行文件中提取此类数据的工具,我也将不胜感激(而不是为此目的我对7-zip的使用非常可疑,但对于大量可执行文件也失败了。) >

评论

您能否说出您要实现的目标?还是仅用于培训?

您是否有特定的原因,而不是仅仅查看在安装程序中提取文件的代码以弄清楚是否打算将其用作RE练习?

ST3,百老汇大街,很多人(包括我本人)根本不喜欢安装程序。我们更喜欢手动提取程序文件。以前使用Chrome浏览器很容易,但是Google不喜欢用户可以控制自己的系统,因此他们混淆了安装程序,使得不运行安装程序而难以安装Chrome。
不幸的是,多年来,Google已成为法西斯主义者,他们修改了安装程序,以将臭名昭著的臭名昭著的Google Update强制用户使用。他们根本不允许人们使用Chrome,而不必让Google深入了解Google Update的诡异和侵入性根源。也就是说,可以找到Chrome安装程序sans-GU的副本,其中包含一个大型7-Zip文件,其中包含Chrome文件,而没有Google Update,但要获取它们并不容易。 (有趣的是,Google Update文件的名称类似于goopdate.dll,他们承认它是goop。☺)

#1 楼

我通过一个在线EXE检查器运行安装程序,该检查器告诉我102资源包含LZMA压缩数据。愚蠢的是,我关闭了该窗口以查找“ LZMA”是什么。我忘了记下此特定工具的URL,现在找不到了!太可惜了,因为这个提示至关重要。

然后我通过PEdump.me运行它,它允许一个人单独下载。为了解压缩LZMA压缩包,我使用了Stuffit Expander(用于OS X),但是您也可以使用7-Zip,您可能需要添加文件扩展名.lzma才能使其正常工作。

这给了我一个类似TAR的文件,其中包含更多可执行文件。我的本地tar无法对其进行进一步的解压缩(可能是标准tar的某种变体)。它的标题包含原始文件名及其大小以及其他数据。 TAR不会对生成的文件进行压缩,因此您只需要一个好的十六进制编辑器即可将其手动拆分为单独的程序。



..为此目的使用7-zip压缩文件,对于大量可执行文件也将失败。解压缩程序...也就是说:我发现7-zip对PE可执行文件的处理没有问题。

您可以使用PE Studio这样的工具来检查资源(您确定它不能提取它们吗?这看起来是一个基本功能);但是提取它们之后,您就可以自己了。没有压缩或混淆资源的“标准”方法。某些程序甚至可能包含用于提取其自身数据的自定义代码。 。

评论


浏览器历史记录将很有帮助!

– 0xec
2014年8月9日在11:43

@极端:令人讨厌。 Safari有一个“历史记录”,但似乎只在您的“主”窗口中保留该历史记录,我习惯在新窗口中打开链接。因此,这一切都表明我正在寻找“ LZMA”的含义。我也无法回忆起用于查找此特定EXE转储程序的确切Google查询。很遗憾,因为我尝试过的其他工具没有将资源识别为“打包的LZMA”,因此这确实是一个关键提示。

–杂件
2014年8月9日12:32

pestudio-www.winitor.com-可以绝对地提取/转储可执行文件的资源!

– mox
16年1月23日在20:10

#2 楼

如果您的目标实际上只是从脱机软件包中恢复安装程序文件,则可以避免麻烦。对我来说是%TEMP%的机器。

在Unix / Linux / OSX上,文件可能驻留在C:\Users\Troy\AppData\Local\Temp上。

评论


可能是将资源动态提取到%TEMP%目录中,这很可能,但是您仍然必须运行安装程序,这是不可取的,因为它可能会执行不需要的操作,例如安装Google Update或执行无人值守的安装。另外,虽然它可能不适用于Chrome安装程序(现在?),但该技术对可能包含病毒的其他内容并不适用。但是,如果使用的是一次性VM,则此技术很好,这是一种快速提取文件的相对快速,简便且安全的方法。

– Synetech
16-3-14在18:11