» Universal Extractor (UniExtractor)

Поправил Shell.cmd, приложенный в этом сообщении, там немного неправильно была прописана команда "%~dp0". И приукрасил, заодно



Скачать

korosya

Цитата:

Судя по приведенным скринам в 2012_vcredist_x86 содержится сигнатура, соответствующая Caphyon Advanced Installer.

нет такой сигнатуры ( для AI вычислили, что это: 00 00 E9 79 FE FF FF ) в якобы "не поддающимся распаковке" - 2012_vcredist_x86.exe (из архива Nizaury )

MKN

Цитата:

нет такой  сигнатуры

Есть
Offset = 15182 (hex offset = 0x00003B4E)

korosya
пардон, не так искал... точно есть . ( Чтобы не было путаницы с AI, я детектирую с помощью GetFileVersionInfo - по FileDescription)

MKN

Выложенный мною архив 2012_vcredist_x86.exe - это оригинальный Microsoft Visual C++ 2012 Redistributable v11.0.61030 x86, с действительной цифровой подписью, скаченный с официального сайта.

korosya
Смена местами проверки Caphyon Advanced Installer на Microsoft Visual C++ Redistributable, наверное не только избавит от появляющегося окна Caphyon Advanced Installer, но и позволит распаковывать архив 2012 версии без его запуска на установку?!

Nizaury
Естественно. Поскольку в 2012_vcredist_x86.exe находится сигнатура, соответствующая Caphyon Advanced Installer, то 2012_vcredist_x86 определяется, как CAI и пытается распаковаться с помощью запуска с определенным ключом. Алгоритм работы UniExtractor:
1. Проверяем сигнатуру на CAI. Если совпадает - пытаемся распаковать, иначе - переходим далее.
2. Проверяем свойства файла на принадлежность к Microsoft Visual C++ Redistributable. Если совпадает - пытаемся распаковать, иначе - переходим далее.
Меняем местами пункты 1 и 2 и убираем ложное срабатывание на CIA

korosya

Принцип работы (поиска) подходящих сигнатур в UniExtract.au3 мне известен.
Язык AutoIt использует оператор If...Then...Else, подобно языкам программирования, либо подобно тому, как if...exists...else...goto, используется в bat-файлах.

Я предположил, что запуск на установку 2012_vcredist_x86.exe, а не его распаковка происходит из-за определения ошибочной сигнатуры. Так как:

1) При распаковке 2010_vcredist_x86.exe отображается:
Извлечение файлов из Microsoft хостфикса
2010_vcredist_x86.exe /q /x:"<outdir>"

2) При распаковке 2012_vcredist_x86.exe отображается:
Извлечение файлов из Caphyon Advanced Installer исполняемого файла
2012_vcredist_x86.exe /extract:"<outdir>"

3) При распаковке 2013_vcredist_x86.exe отображается:
Извлечение файлов из Microsoft Visual C++ Redistributable исполняемого файла

4) 2010_vcredist_x86.exe и 2013_vcredist_x86.exe распаковываются сразу без какого-либо запуска на установку.

Что вам впаривает ржавчина: https://www.virustotal.com/ru/file/d3291b1d7ba4653a1add351c860d26866968fecc661bdce2e59755c74c85cd27/analysis/1434591529/
И это не ложный детект ...

GORA2
Цитата:

И это не ложный детект ...

На чем основаны сии заявления? Ругается на папку BIN, там куча тулзов разных, в т.ч. упакованных.
И, честно говоря, я бы все эти 22 "антивируса" добавил в топ-лист по ложнякам.

Pasha_ZZZ

Цитата:

На чем основаны сии заявления?

1 Ругаются не на папку bin, а на конкретный файл.
2 В оригинальном UE на эту папку не ругается такая масса антивирусов.
3 Файл-источник ругани PEIDSO.exe. Каково его происхождение и что он делает в UE ?

Доводов достаточно?

GORA2
Цитата:

Доводов достаточно?

Может и так, но...
Цитата:

Каково его происхождение

http://forum.exetools.com/showthread.php?t=9527

Pasha_ZZZ
Ну а
Цитата:

что он делает в UE ?

А на нем отдельно детект не 22, а аж 33!
https://www.virustotal.com/ru/file/6ce66ba9732bc608eafcb21c826df20a8b7e9d7e55eaf8a12e28b62cb798b82b/analysis/1434604895/

GORA2
Цитата:

Ну а

А хз чо делает. Упакован крякерским пакером, вот всякое гамно на него и орет.
Цитата:

А на нем отдельно детект не 22, а аж 33!

Самое интересное - эти добавочные 11 гомноанвиров не смогли его в архиве найти? Это их тоже ничуть не красит, даже наоборот.
Какие-то честно пишут "Packed", многие определяют его своей кривой эвристикой как подозрительный ("BehavesLike...", "Suspicious...", "SuspPack...").
Отдельно выделяется группа совсем адового шлака, которая находит какие-то трояны, некоторые грят, что из семейства, а некоторые даже конкретные трояны находят.

Что за фигня:

Pasha_ZZZ 08:51 18-06-2015
Цитата:

Упакован крякерским пакером, вот всякое гамно на него и орет.

Вот-вот. Распакованный: https://www.virustotal.com/en/file/b3a9e120900ce067cd716b9eea01ac9a5f3a40dd529c23fac5238f2991da3afa/analysis/1434607698/
Без комментариев...

Друзья!
ЯДиск заблокировал мои файлы, причем не только сабж, но всё папку с конструкторами (Чувствуется ручка известного дятла-стукача с ником Двойная ЖОПА ).
Буду разбираться с администрацией ЯДиска. Если они не разблокируют - буду искать другое место. Может быть сегодня не смогу это сделать. Тогда уж только после выходных.
Всем приношу извинения за доставленные неудобства.

По поводу PEIDSO.exe. Данный файл служит для работы с userdb.txt. Непосредственно для работы UniExtractor-а не нужен. Оставлен из-за маленького веса. Для параноиков - можно удалить.

korosya
Цитата:

Если они не разблокируют - буду искать другое место. Может быть сегодня не смогу это сделать. Тогда уж только после выходных.

У меня есть аккаунт на box.com на 50GB (работает и через WebDAV). Я им не пользуюсь - могу отдать, дайте знать если нужен.

korosya

Список сайтов предлагающих большие размеры хранилища:

http://sfshare.se/home.html - 50 GB
https://mega.nz/ - 50 GB
http://www.promptfile.com/ - 250 GB
https://www.surdoc.com - 100 GB
http://www.weiyun.com - 10 TB (10240 GB) (инструкция на английском как зарегится и установить английский интерфейс)

I95
Большое спасибо. Это бесплатно? На сколько времени выдается хранилище?

Nizaury
Спасибо. Буду посмотреть.

Пока пытаюсь бороться с Ядиском. Там действительно заблокировали из-за файла UniExtract.7z, на который ругается virustotal.com. Интересно какая GOPA (в русской транскрипции ЖОПА - пусть никто не принимает на свой счет ) пожаловалась на этот файл ? Скорее всего я просто уберу PEIDSO.exe - пусть GOPA порадуется. Жалко, что Ядиск заблокировал всю папку, а не один файл. Но заниматься выкладыванием новых файлов смогу только вечером, если успею.

korosya
Цитата:

I95 Большое спасибо. Это бесплатно? На сколько времени выдается хранилище?

Бесплатно, пожизненно Единственное, ограничение на траффик в 10GB в месяц, обнуляется 1-ого числа.

В продолжение темы распаковщиков.

Имеются два NSIS инсталлятора разных версий одной программы. Оба прекрасно открываются в Far+Observer.

chmeditor-3.0.1.exe распаковывается нормально с помощью Universal Extractor 1.6.1.1004 от korosya
А файл chmeditor-3.0.0.exe распаковать не получается.

При распаковке chmeditor-3.0.1.exe появляется окно "Извлечение файлов из NSIS инсталлятора".
При распаковке chmeditor-3.0.0.exe появляется окно "Извлечение файлов из 7-Zip инсталлятора пакета".

Может опять дело в очередности определения сигнатур.

http://www80.zippyshare.com/v/qblsuItO/file.html

Цитата:

Может опять дело в очередности определения сигнатур.

Нет тут заковыка в другом.
PEiD определяет 3.0.1 как "Nullsoft PiMP Stub -> SFX [Nullsoft PiMP SFX] *", а 3.0.0 - как "Nullsoft PiMP Stub -> SFX [Overlay] *". Проверка на NSIS идет по выражению "Nullsoft PiMP SFX". Поэтому 3.0.1 распаковывается как NSIS, а 3.0.0 не определяется никак и просто пытается распаковаться с помощью 7zip-а. Но и это в общем-то не важно, т.к. NSIS все равно распаковывается с помощью 7zip-а .
А вот почему 7zip не может нормально распаковать 3.0.0 - я не знаю. Но это вопрос к 7zip-у с NSIS, а не к сабжу. Или, если будет консольный распаковщик подобных NSIS - сообщи, примотаю к сабжу.

мб целесообразнее переключить инструмент на exeinfope? корректнее работает с сигнатурами.

korosya

Цитата:

если будет консольный распаковщик подобных NSIS - сообщи, примотаю к сабжу

Пока на ум приходят только плагины к Far и к Total Commander.

P.S. Нашел в нете несколько консольных утилит, но они тоже не смогли распаковать 3.0.0.
Странно, ведь Observer же нормально извлекает...

distortion

Цитата:

мб целесообразнее переключить инструмент на exeinfope? корректнее работает с сигнатурами.

Поподробнее, плиз. Сейчас сигнатуры проверяются с помощью самого AutoIt - сигнатура или есть, или нет. Что здесь некорректного?

Nizaury

Цитата:

Пока на ум приходят только плагины к Far и к Total Commander.

К Far - не подходит - обсуждалось выше. К ТС - какой конкретно? Распаковывает ли проблемный инсталлятор?


Новая версия Universal Extractor
1.6.1.1005\2005 (24/06/2015)

Изменена очередность проверок на Microsoft Visual C++ Redistributable версии старше 2010 и на Caphyon Advanced Installer.
При тестировании EXE-файла утилитой PEiD теперь идет проверка на NSIS-инсталлятор по фразе 'Nullsoft PiMP' вместо 'Nullsoft PiMP SFX'..
Обновлен 7-zip до версии 15.05 beta
Обновлен innounp до версии 0.42
Обновлен Mhtunpack до версии 1.9.4
Обновлен TrID до версии 2.20 (база TrIDDefs.TRD 5936 Типов Файлов, 15.06.15)
Обновлен ZPAQ до версии 7.05
Исправлена ошибка (не создавалась папка назначения, если существовал файл с именем папки назначения)


Ссылка в шапке обновлена.

korosya 10:13 24-06-2015
Цитата:

Новая версия Universal Extractor
1.6.1.1005\2005 (24/06/2015)

этот-же инсталятор - его-же и распаковывает и от gora - сравнение (скрин)
так и должно быть?
или опять, только у меня так? (в ТС запускаю, параметр: %P%S /sub)

Цитата:

этот-же инсталятор - его-же и распаковывает и от gora - сравнение (скрин) так и должно быть?

Не понял вопроса. Что не так?

korosya
там (на скрине) с левой стороны (твоим распаковано), файлы с !!! (восклицательный знаком), -
- я про это, или где-то отключается, или...

omamont

Цитата:

файлы с !!! (восклицательный знаком),

Это SFX-модуль и файл конфигурации/комментария из SFX-архива. Возможность извлекать их добавлена еще в 1002/2002 версии. Возможности отключения нет, т.к. если надо извлечь только содержимое архива, то можно воспользоваться родными архиваторами.