对于课程作业,我必须分析恶意软件。
这是一个.EXE Win32 Cabinet Self-extractor文件。 (这就是窗户看到它,它实际上从4D 5A 00 03 Hex开始)。 运行时,它会提取创建的文件夹中的所有文件,运行恶意软件(批处理/ VBS文件),最后删除包含恶意软件文件的文件夹。
我想知道如何在没有执行恶意软件的情况下解压缩? 我使用了ProcDump32,但它给了我:“进程不是32位或无法加载或已经完成!”。
不知何故,我成功地卡住了ProcDump32并获得了几秒钟的文件夹并在它“消失”之前将其复制了所以我得到了文件,但我不确定我收集了所有文件但是我想在一个正确的方法。
所以我正在寻找一个可以在不执行输出文件的情况下提取Win32 Cab Self-Extractor文件内容的应用程序,如果可能的话,还会提供提取文件的列表。
答案 0 :(得分:1)
您还可以在自提取程序文件上使用/?
,它应显示/X:path
或/T:path /C
以提取内容(根据microsoft kb 262841和{{ 3}})
答案 1 :(得分:0)
使用/ T:文件夹/ C的完整路径。如果没有/ C,exe文件将被执行。
MySelfExtractingFile.exe / T:C:¥MySelfExtractingFile / C