В заметке про пропавший из Foxit PDF Reader PDF-принтер (копия) я упомянул, что хотел расковырять старый инсталлятор, чтоб принтер оттуда вытащить (если это возможно).
Пользователь спросил, а как, собственно, распаковать инсталлятор, что ж, постараюсь кратко пояснить.
Примечание: это не инструкция «как распаковать совсем вообще любой инсталлятор», ибо типов инсталляторов довольно много и появляются новые, а бывают вообще самописные со свистелками и вувузелами, так что покажу общий подход и совсем простой пример, на том же инсталляторе Foxit PDF Reader’а
Ссылки на все инструменты в конце заметки.
Как я сказал, типов инсталляторов очень много: Nullsoft Installer, WISE, Inno Setup, Microsoft Installer (MSI), InstallShield, и это те, которые я вспомнил просто так, не посещая гугль.
Соответственно, надо определить, с чем мы имеем дело. Как говорится, знай своего врага в лицо. И это не только первый принцип разведчика, но и первый принцип реверсера, т.е. того, кто занимается обратным инженерингом, или, говоря вульгарно, взломом, крякингом программ. За «крякиннг», котики, от настоящего реверсера можно получить кружкой пива по голове. Крякают утки, а мы будем исследовать. Но что-то я запизделся.
С виду тип инсталлятора определить довольно непросто (хотя гуру могут), так что воспользуемся специальной программой DiE (Detect it easy) 2.05, которая пришла на смену PEiD. Что это такое? Это специальная утилита, способная определять что за экзешник перед нами: тип инсталлятора (если это инсталлятор), тип компилятора, которым экзешник скомпилирован, EXE-упаковщик или т.н. «навесную защиту», если экзешник упакован или защищен от взлома специальной программой. Делает это он также, как антивирус определяет наличие вируса, по сигнатурам, т.е. определенным последовательностям байт, характерных для того или иного компилятора, упаковщика, инсталлятора и т.д.
Итак, запускаем DiE и скармливаем ей наш инсталлятор:
Как видим, инсталлятор создан в Inno Setup, осталось найти распаковщик, и в данном случае это просто (потому и взял, как простой пример). Распаковщик есть. Кладем инсталлятор в отдельную папку, копируем распаковщик в нее же, или же в папку, которая есть в переменной PATH
и выполняем:
innounp -x FoxitReader806.909_prom_L10N_Setup.exe
Идет распаковка:
В результате образовалась структура каталогов, характерных для этого инсталлятора, где каталог {app}
, то, что будет распаковано в каталог программы (например C:\Program Files\Foxit Reader
), каталог {sd}
— ProgramData
, а каталог {tmp}
, то, что будет распаковано во временный каталог системы. К тому же есть и install_script.iss
— скрипт установщика (в его формате, и оттуда можно почерпнуть информацию, как и что делает установщик, если знаете формат скрипта).
А еще его можно интегрировать в Far-manager, см. Readme.
Ну вот, это был маленький урок реверсинга для комментатора, определили установщик и его распаковали.
Заодно, если вы хотите заняться реверсингом, рекомендую посетить сайт https://exelab.ru/
DiE (Detect it easy):
— На Exelab
— C Mega.nz
innounp:
— Официальный сайт
— Мой пакет (innounp
распаковывается в C:\Windows
)
Pingback: Анализ и распаковка установщика QTInstaller вручную. С помощью HEX-редактора и такой-то матери. | Персональный блог Толика Панкова