hasherezade/mal_unpack

GitHub: hasherezade/mal_unpack

基于PE-sieve的动态加壳卸载工具,自动触发、提取并转储恶意载荷。

Stars: 819 | Forks: 77

# mal_unpack ![](https://raw.githubusercontent.com/hasherezade/mal_unpack/master/logo/logo.png) [![构建状态](https://ci.appveyor.com/api/projects/status/3cqqlah6unfhasik?svg=true)](https://ci.appveyor.com/project/hasherezade/mal-unpack) [![Codacy 徽章](https://app.codacy.com/project/badge/Grade/fedbe124aa694761907bbe51bfc8d6f9)](https://app.codacy.com/gh/hasherezade/mal_unpack/dashboard?branch=master) [![提交活动](https://img.shields.io/github/commit-activity/m/hasherezade/mal_unpack)](https://github.com/hasherezade/mal_unpack/commits) [![最近提交](https://img.shields.io/github/last-commit/hasherezade/mal_unpack/master)](https://github.com/hasherezade/mal_unpack/commits) [![GitHub 发布版](https://img.shields.io/github/release/hasherezade/mal_unpack.svg)](https://github.com/hasherezade/mal_unpack/releases) [![GitHub 发布日期](https://img.shields.io/github/release-date/hasherezade/mal_unpack?color=blue)](https://github.com/hasherezade/mal_unpack/releases) [![GitHub 所有发布版](https://img.shields.io/github/downloads/hasherezade/mal_unpack/total.svg)](https://github.com/hasherezade/mal_unpack/releases) [![GitHub 最新发布版](https://img.shields.io/github/downloads/hasherezade/mal_unpack/latest/total.svg)](https://github.com/hasherezade/mal_unpack/releases) [![许可证](https://img.shields.io/badge/License-BSD%202--Clause-blue.svg)](https://github.com/hasherezade/mal_unpack/blob/master/LICENSE) [![平台徽章](https://img.shields.io/badge/Windows-0078D6?logo=windows)](https://github.com/hasherezade/mal_unpack) 基于 [PE-sieve](https://github.com/hasherezade/pe-sieve.git) 的动态脱壳器( 📖 [了解更多](https://github.com/hasherezade/pe-sieve/wiki/1.-FAQ#pe-sieve-vs-malunpack---what-is-the-difference) )。 它会部署一个加壳的恶意软件,等待其释放 payload,提取出 payload,并终止原始进程。 ## ⚙ 使用说明 基本用法: ``` mal_unpack.exe /exe /timeout ``` + 默认情况下,它会导出植入的 PE。 + 如果你想导出 shellcode,请使用选项:[`/shellc`](https://github.com/hasherezade/pe-sieve/wiki/4.1.-Detect-shellcodes-(shellc))。 + 如果你想导出已修改/被 hook/已打补丁的 PE,请使用选项 `/hooks`。 + 如果你想让脱壳器在超时时终止,而不是在发现第一个植入物时终止,请使用 `/trigger T`。 ## 🛠 辅助工具和实用程序 + 为了获得最佳性能,请安装 [MalUnpackCompanion 驱动](https://github.com/hasherezade/mal_unpack_drv)。 + 另请查看 Python 封装器:[MalUnpack Runner](https://github.com/hasherezade/mal_unpack_py/tree/master/runner) + 查看 Python 库:[MalUnpack Lib](https://github.com/hasherezade/mal_unpack_py/tree/master/mal_unpack_lib) ## 克隆 使用 **递归克隆** 来获取包含子模块的仓库: ``` git clone --recursive https://github.com/hasherezade/mal_unpack.git ``` ## 构建 下载最新的 [发布版](https://github.com/hasherezade/mal_unpack/releases)。
标签:DAST, PE文件, Windows, 主机友好, 内存提取, 动态脱壳, 安全工具, 客户端加密, 恶意软件分析