关于file-unpumper

file-unpumper是一款针对PE（可移植可执行）文件的安全分析工具，可以帮助广大研究人员轻松对PE文件执行安全分析与审计任务。

file-unpumper是一款功能强大的命令行实用程序，旨在清理和分析可移植可执行(PE)文件。它提供了一系列功能，可帮助开发人员和安全专业人员更有效地处理PE文件。

功能介绍

1、PE Header Fixing：file-unpumper可以修复和对齐给定可执行文件的PE Header。这对于解决由修改Header的加壳程序或混淆程序引起的问题特别有用。

2、资源提取：该工具可以从PE文件中提取嵌入的资源，例如图标、位图或其他数据资源。这对于逆向工程或分析可执行文件的内容很有帮助。

3、元数据分析：file-unpumper对PE文件的元数据进行全面分析，包括有关机器架构、节数、时间戳、子系统、图像库和节详细信息的信息。

4、文件清理：file-unpumper的核心功能是从PE文件中删除任何“抽取”或填充的数据，从而生成可执行文件的干净版本。这有助于恶意软件分析、逆向工程，或者只是减小文件的大小。

5、并行处理：为了确保高效的性能，file-unpumper利用并行处理功能使其能够轻松处理大文件。

6、进度跟踪：在文件清理过程中，会显示进度条，以直观的方式显示操作进度和预计剩余时间。

工具要求

Rust

Cargo

工具安装

Cargo安装

file-unpumper是用 Rust 编写的，可以使用 Cargo 包管理器轻松安装：

cargo install file-unpumper

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/0x11DFE/file-unpumper.git

工具使用

<INPUT>：输入目标PE文件的路径。

选项

--fix-headers：修复并对齐输入文件的 PE 头。

--extract-resources：从输入文件中提取嵌入的资源。

--analyze-metadata：分析并显示PE文件的元数据。

-h, --help：打印帮助信息。

-V, --version：打印版本信息。

工具使用样例

清理 PE 文件并删除所有“抽取”的数据：

file-unpumper path/to/input.exe

修复 PE 头并分析文件的元数据：

file-unpumper --fix-headers --analyze-metadata path/to/input.exe

从 PE 文件中提取资源：

file-unpumper --extract-resources path/to/input.exe

对文件执行所有可用的操作：

file-unpumper --fix-headers --extract-resources --analyze-metadata path/to/input.exe

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

file-unpumper：【GitHub传送门】