hasherezade/mal_unpack
GitHub: hasherezade/mal_unpack
基于PE-sieve的动态加壳卸载工具,自动触发、提取并转储恶意载荷。
Stars: 819 | Forks: 77
# mal_unpack

[](https://ci.appveyor.com/project/hasherezade/mal-unpack)
[](https://app.codacy.com/gh/hasherezade/mal_unpack/dashboard?branch=master)
[](https://github.com/hasherezade/mal_unpack/commits)
[](https://github.com/hasherezade/mal_unpack/commits)
[](https://github.com/hasherezade/mal_unpack/releases)
[](https://github.com/hasherezade/mal_unpack/releases)
[](https://github.com/hasherezade/mal_unpack/releases)
[](https://github.com/hasherezade/mal_unpack/releases)
[](https://github.com/hasherezade/mal_unpack/blob/master/LICENSE)
[](https://github.com/hasherezade/mal_unpack)
基于 [PE-sieve](https://github.com/hasherezade/pe-sieve.git) 的动态脱壳器( 📖 [了解更多](https://github.com/hasherezade/pe-sieve/wiki/1.-FAQ#pe-sieve-vs-malunpack---what-is-the-difference) )。
它会部署一个加壳的恶意软件,等待其释放 payload,提取出 payload,并终止原始进程。
## ⚙ 使用说明
基本用法:
```
mal_unpack.exe /exe /timeout
```
+ 默认情况下,它会导出植入的 PE。
+ 如果你想导出 shellcode,请使用选项:[`/shellc`](https://github.com/hasherezade/pe-sieve/wiki/4.1.-Detect-shellcodes-(shellc))。
+ 如果你想导出已修改/被 hook/已打补丁的 PE,请使用选项 `/hooks`。
+ 如果你想让脱壳器在超时时终止,而不是在发现第一个植入物时终止,请使用 `/trigger T`。
## 🛠 辅助工具和实用程序
+ 为了获得最佳性能,请安装 [MalUnpackCompanion 驱动](https://github.com/hasherezade/mal_unpack_drv)。
+ 另请查看 Python 封装器:[MalUnpack Runner](https://github.com/hasherezade/mal_unpack_py/tree/master/runner)
+ 查看 Python 库:[MalUnpack Lib](https://github.com/hasherezade/mal_unpack_py/tree/master/mal_unpack_lib)
## 克隆
使用 **递归克隆** 来获取包含子模块的仓库:
```
git clone --recursive https://github.com/hasherezade/mal_unpack.git
```
## 构建
下载最新的 [发布版](https://github.com/hasherezade/mal_unpack/releases)。
标签:DAST, PE文件, Windows, 主机友好, 内存提取, 动态脱壳, 安全工具, 客户端加密, 恶意软件分析