Entwickler-Ecke :: Thema anzeigen - UPX komprimierte Dateien erkennen per Auslesen des Header???

CB - Mi 12.06.02 10:41
Titel: UPX komprimierte Dateien erkennen per Auslesen des Header???

Hi!

Vielleicht kennt der ein oder andere den Executable Packer UPX. Da es sich bei diesem Programm um ein Kommandozeilen Tool handelt, habe ich eine GUI dafür programmiert, so dass es sich besser benutzen lässt.
Des weiteren habe ich eine ShellExtension dafür geschrieben, die zwei neue Einträge im Kontextmenü erstellt, welches erscheint, wenn man auf eine ausführbare Datei mit der rechten Maustaste klickt (z.B. im Windows Explorer).
Die zwei Einträge dienen zum Starten meiner GUI mit der angeklickten Datei als Parameter bzw. zum direkten Komprimieren mit UPX. Nun möchte ich, falls die ausgewählte Datei schon mit UPX komprimiert ist, die Einträge natürlich zum Dekomprimieren benutzen. Allerdings muss ich nun erkennen können, ob eine Datei mit UPX komprimiert ist.
Das scheint über die PE Header der Datei zu gehen. Allerdings hab ich keine Ahnung, wie man die ausliest. (Wenn möglich auch noch ohne Benutzung der VCL, da sonst die ShellExtension viel zu groß wird.)

Also meine Frage: Wie kann man per Code herausfinden, ob eine Datei mit UPX komprimiert wurde?

Danke schonmal für Antworten...

Ach ja...falls sich jemand da Programm ansehen will. Ihr findet es unter Download auf [url]http://www.thebartels.de[/url]

toms - Mi 12.06.02 12:01

Hi,

Die Funktion IsUPXPacked durchsucht den Anfang der Exe-Datei
nach dem String UPX.
Vielleicht gibt's noch andere/bessere Methoden.

Delphi-Quelltext

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:

function IsUPXPacked(const FileName: TFileName): Boolean;
var
  l: Longint;
  sUPX: string;
  f: file;
begin
  Result := False;
  sUPX := 'UPX';
  AssignFile(f, FileName);
  Reset(f, 1);
  for l := 0 to 600 do
  begin
    Seek(f, l);
    BlockRead(f, sUPX[1], Length(sUPX));
    if sUPX = 'UPX' then
    begin
      Result := True;
      Break;
    end;
  end;
  CloseFile(f);
end;

Moderiert von raziel: Code- durch Delphi-Tags ersetzt.

d3g - Do 20.06.02 20:53

Hi Leute,

mein erster Post im neuen Forum :)

Eine weitere Möglichkeit ist es, UPX aufzurufen und den Konsolen-Output zu lesen. Es kommt schließlich zu einer Fehlermeldung, wenn UPX Komprimierungsdaten für einen ungepackten File auslesen will (Paramater -l). Das ist eine ziemlich sichere und, wie ich finde, nicht unelegeante Art.

Hier ein Code, der das bewerkstelligen könnte (Grundlage dieses Codes ist das Anonymous Pipes-Beispiel von NicoDE):

Delphi-Quelltext

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:

function CheckIfFileCompressed(AUPXPath, AFileName: String): Boolean;
var
  SecAttr: TSecurityAttributes;
  dwPipeRead: DWORD;
  dwPipeWrite: DWORD;
  StartInfo: TStartupInfo;
  ProcInfo: TProcessInformation;
  Buffer: array [0..1024] of Char;
  dwBytesRead: DWORD;
  szStringRead: String;
begin
  Result := True;
  try
    SecAttr.nLength := SizeOf(TSecurityAttributes);
    SecAttr.lpSecurityDescriptor := nil;
    // create anonymous pipe
    SecAttr.bInheritHandle := True;
    // initialize the startup info for the new process
    if CreatePipe(dwPipeRead, dwPipeWrite, @SecAttr, 0) then begin
      FillChar(StartInfo, SizeOf(TStartupInfo), 0);
      StartInfo.cb := SizeOf(TStartupInfo);
      StartInfo.dwFlags := STARTF_USESHOWWINDOW or STARTF_USESTDHANDLES;
      StartInfo.hStdOutput := dwPipeWrite;  // route output to pipe
      StartInfo.hStdError := dwPipeWrite;   // route output to pipe
      StartInfo.wShowWindow := SW_HIDE;     // this flag says that the commandprompt will be hidden

      // create the process, Inherited  has to be true, so the pipe handles will
      // be available in new process
      if CreateProcess(nil, PChar('"' + AUPXPath + '\upx.exe" -l "' + AFileName + '"'),
                       nil, nil, True, CREATE_NEW_CONSOLE, nil, nil, StartInfo,
                       ProcInfo)
      then begin
        // close the handles which will be created in the createProcess method
        // we don't need them anyway
        CloseHandle(ProcInfo.hProcess);
        CloseHandle(ProcInfo.hThread);
        // Close the pipe for writing
        // now the anonymous pipe knows in which direction to work
        // anonyme pipes only work in one direction
        CloseHandle(dwPipeWrite);

        // do it again and again to get all output generated by the program
        while True do begin
          Application.ProcessMessages;
          FillChar(Buffer, SizeOf(Buffer), 0);
          if ReadFile(dwPipeRead, Buffer, SizeOf(Buffer) - 1, dwBytesRead, nil) then begin
            szStringRead := szStringRead + String(Buffer);
            // check if file is packed
            if (Pos('NotPackedException', szStringRead) > 0) then
      Result := False;
          end else
            Break;
        end;
      end;
      // release pipehandles
      CloseHandle(dwPipeRead);
    end;
  except
    CloseHandle(dwPipeRead);
  end;
end;

Der Code ist nur ein Ansatz, da er absolut nicht iditoensicher ist (UPX-Path kann falsch sein, FileNotFoundException muss abgefangen werden, usw.). Das dürfte aber eigentlich leicht zu integrieren sein.

MfG,
d3g

Post Scriptum: Ist es möglich, das Forum so umzuschreiben, dass man auch innerhalb von Code formatieren kann? Der [i]-Tag-Bug fällt zwar weg, aber so ganz ohne Formatierungen find ich es auch nicht so übersichtlich...

Moderiert von raziel: Code- durch Delphi-Tags ersetzt.

Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!