Upx

Типы файлов UPX

Ассоциация основного файла UPX

.UPX

Формат файла: .upx
Тип файла: Ultimate Packer For eXecutables File

Исполняемый сжатый файл, созданный Ultimate Packer для исполняемых файлов (UPX), приложение, используемое для сжатия исполняемых файлов (таких как файлы .EXE), чтобы уменьшить их размеры при транспортировке через Интернет.

Создатель: Open Source
Категория файла: Сжатые файлы
Ключ реестра: HKEY_CLASSES_ROOT\.upx

Программные обеспечения, открывающие Ultimate Packer For eXecutables File:

PeaZip, разработчик — Open Source

Совместимый с:

Windows
Linux

Ultimate Packer for eXecutables (UPX), разработчик — Open Source

Совместимый с:

Windows
Linux

Ассоциации других файлов UPX

.UPX

Формат файла: .upx
Тип файла: Ulead Photo Express Saved Image File

Файл растровых изображений содержит сохраненный файл изображения, созданный Ulead Photo Express, фото редактор программного обеспечения для домашних пользователей, который способен легко редактировать и обмениваться цифровыми фотографиями.

Создатель: Ulead Systems
Категория файла: Файлы растровых изображений

Программы, открывающие файлы Ulead Photo Express Saved Image File :

Ulead Photo Express, разработчик — Ulead Systems

Совместимый с:

Windows

Анализ семпла malware01

На примере этого семпла мы разберем базовый алгоритм первичного анализа файла, поиска OEP, оригинального (незапакованного) кода, после чего файл можно будет легко сдампить на жесткий диск и, к примеру, открыть в IDA Pro для просмотра таблицы импорта всех функций.

Используемые инструменты:

  • PEiD (DiE);
  • OllyDbg v2;
  • IDA Pro.

Первым делом запускаем анализатор PEiD или DiE.


Результат сигнатурного анализа PE-анализатора

Итак, видим, что перед нами Win32-пpиложение, любезно запакованное PECompact, а сам бинарник скомпилирован Visual C++.
Идем дальше, грузим OllyDbg и закидываем в него наш семпл. Если дебаггер будет ругаться, потому что файл не опознан из-за упаковщика, — не обращаем внимания, щелкаем ОK и загружаем файл.


Окно OllyDbg после первичной загрузки семпла

Наш курсор встает на адресе 00405139 PUSHAD. Справа в окне можем просмотреть текущее значение регистров. Дальше ставим точку останова hardware on access на регистре ESP, после чего строка окрашивается в красный цвет. Жмем несколько раз F9, чтобы запустить программу, после чего она наткнется на наш брейк-пойнт и остановится. Что мы видим? Курсор остановился на адресе 0045013А CALL malware01.00405141, соответственно, это наш глaвный CALL.


Окно OllyDbg после установки точки останова

В правом окне регистров на значении ESP 0012FfA0 щелкаем правой клавишей и выбираем Follow Dump. После этого переключаемся в нижнее окно, где содержится Hex dump, и, выделив несколько элементов, также щелкаем правой клавишей на Breakpoint → memory on access. Запускаем выполнение программы F9. Ставим еще один брейк-пойнт: Breakpoint → Hardware on access → Dword. Далее выполнение кода останавливается на точке POPAD.


Окно OllyDbg в точке останoва POPAD

Если вернуться на шаг назад, то мы увидим распакованный оригинальный код, однако он будет в нечитаемом для нас виде.


Окно OllyDbg с нечитаемым кодом

Чтобы это исправить, жмем Ctrl + A и видим, как на глазах строки преобразуются в понятный набор инструкций.


Преобразованный код после нажатия Ctrl + A

После этого мы дампим процесс, открываем Plugins → OllyDmp → Dump → Debugged process, в открывшемся окне обязательно щелкаем Get EIP as OEP и потом кнопку Dump.


Окно OllyDbg с опциями дампа

В итоге получаем распакованный файл, который теперь легко можно закинуть в IDA Pro.


Распакованный файл загружен в IDA Pro

Comfort Clipboard — менеджер функции копирования

Для пока еще достаточно популярной версии Windows 7 есть специальная утилита для работы с копированием — Comfort Clipboard. Приложение поддерживает работу в операционных системах Windows 10, Windows 8.1, Windows 8.

Эта программа предоставляет пользователям следующие функции:

  • Софт способен сохранять набранные сообщения в браузерах, например, в чатах или письмах. В них, как правило, нет таких функций, чтобы сохранить набранный текст, Comfort Clipboard выполняет это.
  • Программа настраивается таким образом, что копирование файлов происходит на определенную папку, которую вы укажите, что предотвращает возможность утери данных при перезагрузке или выключении компьютера.
  • Еще одной отличительной чертой программы является копирование без форматирования текста, то есть без выделений слов жирным шрифтом, наклона, подчеркивания и т. д.
  • Копирование HTML-текста и вставка с сохранением в том же виде HTML, нажимая соответствующий пункт в программе.

Программа для работы с буфером обмена Comfort Clipboard.

Программа имеет поддержку популярных языков, различные темы для настройки интерфейса, поддержка истории копирования. Comfort Clipboard Pro доступна в качестве однопользовательской лицензии за 990 рублей.

Анализ семпла malware03

А что же делать, если нам попалась малварь, которая запакована еще неизвестным пакером? Конечно, общий алгoритм действий сохраняется, но мыслить придется нестандартно, искать новые подходы и экспериментировать. Ниже мы разберем несложный пример того, как нужно проводить анализ, когда файл запакован тем, что в андеграунде называется hacker-packer.

Используемые инструменты:

  • PEiD;
  • OllyDbg.

Первым делом запускаем анализаторы PEiD/DiE/Pe-Scan, и что мы видим? Файл чем-то запакован :). Несмотря на то что PEiD все-таки распознал его сигнатуру, это нестандартный упаковщик, а в сигнатуры он попал потому, что уже устарел.


Результаты анализа PEiD

Анализ в DiE и пoпытка вычислить пакер в Pe-Scan

Грузим файл в OllyDbg, открываем диалог поиска по Ctrl-G, пишем VirtualAlloc, жмем OK и попадаем на нужную нам строку кода, на которой устанавливаем брейк-пойнт по F2.


Окно OllyDbg после поиска VirtualAlloc

Теперь смело по F9 запускаем программу, пока она не остановится на брейк-пойнте. В правом окне со значением регистров на значении EAX правый щелчок мышью и выбираем Follow in Dump.


Окно OllyDbg с регистрами при выполнении дампа

Теперь в нижнее окно, выделяем несколько байтов и снова щелкаем правой кнопкой Breakpoint → Hardware, write → Byte, после чего снова запускаем программу клавишей F9.


Выделяем байты в памяти и ставим новый брейк-пойнт

Повторяем это до тех пор, пока снова не упремся в точку останова. Что мы видим? Неужели это нужная нам PE-секция?


Окно OllyDbg после поиска OEP

Все же нет, потому что семпл многократно запакован, соответственно, у него несколько точек загрузки пакера. Повторяем запуск по F9 еще нeсколько раз. Для того чтобы добраться до оригинальной OEP, нужно каждый раз ставить новые брейк-пойнты, выбирать в секции регистров Follow in Dump. Наконец мы попадем на строчку POPAD и увидим оригинальный код.


Строка POPAD после многократного поиска

Теперь все, что нам осталось, — это сдампить образ из памяти в файл на жесткий диск, выбрав в нижнем окне несколько байтов и щелкнув правой кнопкой BackUp → Save data to file.

В какие мини игры на деньги можно поиграть на сайте UP-X

На сегодняшний день АП-ИКС предлагает испытать удачу в более чем 10-ти крутых мини играх:

  1. Краш – это классическая игра с умножающимся коэффициентом. После того, как вы сделали ставку, и началась игра, вы будете видеть стремительный рост кривой вверх. Ваша задача – указать коэффициент автостопа или самостоятельно выйти из игры в подходящий момент. На каком этапе кривой вы выходите из игры, на такой коэффициент и умножается ваша ставка. Если повезет, можно умножить свой депозит в 10, 30 или даже 50 раз.
  2. Рулетка – суть игры заключается в угадывании цвета рулетки. При выборе красного/черного ваша ставка в случае победы умножается в 2 раза, при выборе зеленого (зеро) – в 14 раз.
  3. Кейсы – это чемоданы разной стоимости. При их открытии случайным образом определяется выигрышная сумма. Например, открывая кейс за 10 слитков, вы можете выиграть от 1 до 300 слитков. Также при поднятии ранга вам будут давать соответствующие ранговые кейсы для открытия.
  4. Классик – это классическая быстрая лотерея на деньги с реальными людьми, в которой ваш шанс победы напрямую зависит от суммы ставки. Чем больше слитков вы ставите среди других игроков, тем больше у вас будет билетов (за 5 слитков вы получаете 1 билет) и выше вероятность забрать весь банк за вычетом 10% комиссии.
  5. Минер – суть игры заключается в проходе по минному полю. Чем дальше вы по нему заходите, тем больше коэффициент и ваш возможный выигрыш. Если вы попадаете на мину, вам зачисляется проигрыш, и вы теряете всю сумму ставки.
  6. Лесенка – идеологически это такая же игра, как и Минер. Вам необходимо поднимать вашего персонажа вверх по ячейкам, чтобы на него не упал камень. Чем выше вы забираетесь, тем больше коэффициент выигрыша.
  7. Монетка – это классическая игра на угадывание орла или решки. Только особенность заключается в том, что вы можете делать несколько прогнозов подряд, тем самым увеличивать свой коэффициент.
  8. Карточки – это беспроигрышная игра, суть которой заключается в угадывании одинаковых карточек. Всего на поле находится 9 карточек в перевернутом виде, из них нужно перевернуть 3 одинаковых, чтобы забрать максимальный приз. Сумма выигрыша зависит только от вашей удачи.
  9. Крестики-нолики – мини игра на деньги между реальными людьми. Необходимо раньше оппонента поставить 3 или 4 значка (крестика или нолика) в ряд или по диагонали, в зависимости от типа игры. Победитель забирает весь банк за вычетом 5% комиссии.
  10. КНБ – еще одна игра детства между реальными людьми. Необходимо выбрать один из 3 знаков – камень, ножницы или бумагу и дождаться выбора оппонента. Соответственно, камень бьет ножницы, ножницы режут бумагу, а бумага покрывает камень. Победитель забирает весь банк за вычетом 5% комиссии.
  11. Другие игры – этот раздел представляет собой сертифицированное казино. Здесь имеются слоты, покер, рулетка, карточные и настольные игры, блекджек и многое другое. Используя промокод «CASINO2020», вы получите 15% к сумме депозита при пополнении от 500 слитков.

Все игры на UP-X, как и на аналогичных сервисах, работают по схеме рандома (случайного события). Вы можете скопировать соль, число и хэш любой игры, а затем проверить ее с помощью независимых SHA-224 генераторов. Это позволяет лично удостовериться в честности и надежности проекта.

Преимущества и недостатки

Упаковка исполняемого файла позволяет уменьшить занимаемое программным обеспечением место (что может быть критично в случае передачи через сети или выпуске ПО на носителе ограниченной ёмкости).

Использование сегментов в памяти (в операционных системах Windows) не позволяет операционной системе высвобождать сегменты исполняемого кода без выгрузки содержимого в файл подкачки (что фактически увеличивает требования программы к оперативной памяти). Некоторые программы неспособны работать в сжатом виде, так как используют малодокументированные (или недокументированные) возможности операционной системы по работе с исполняемыми файлами. В случае распаковки во временный файл (UNIX-подобные системы) программа теряет возможность использовать argv, статус suid-бита игнорируется.

Самое весомое и неоспоримое преимущество — ускорение считывания и запуск сжатых файлов с носителей информации, а также высвобождение дополнительного свободного пространства на внешних накопителях. На сегодняшний день все внешние накопители информации по-прежнему остаются самыми медленными узлами современных вычислительных систем, «тормозящими» быстродействие системы в целом, как и на заре вычислительных технологий.
Поэтому нельзя не оценить эффект, возникающий при системном применении упаковщиков исполняемых файлов, таких как UPX. Вычислительная система затрачивает значительно меньше времени на считывание и распаковку сжатого файла в оперативной памяти, нежели на простое считывание этого же неупакованного файла (при считывании с внешнего накопителя время, затрачиваемое на операцию, исчисляется миллисекундами, а время на обработку данных в оперативной памяти — микро- и наносекундами).

List

The -l command prints out some information about the compressed files specified on the command line as parameters, eg upx -l yourfile.exe shows the compressed / uncompressed size and the compression ratio of yourfile.exe.

OPTIONS

-q: be quiet, suppress warnings

-q -q (or -qq): be very quiet, suppress errors

-q -q -q (or -qqq): produce no output at all

—help: prints the help

—version: print the version of UPX

—exact: when compressing, require to be able to get a byte-identical file after decompression with option -d.

[ …to be written… — type `upx —help‘ for now ]

COMPRESSION LEVELS & TUNING

UPX offers ten different compression levels from -1 to -9, and —best. The default compression level is -8 for files smaller than 512 KiB, and -7 otherwise.

  • Compression levels 1, 2 and 3 are pretty fast.

  • Compression levels 4, 5 and 6 achieve a good time/ratio performance.

  • Compression levels 7, 8 and 9 favor compression ratio over speed.

  • Compression level —best may take a long time.

Note that compression level —best can be somewhat slow for large files, but you definitely should use it when releasing a final version of your program.

Quick info for achieving the best compression ratio:

  • Try upx —brute myfile.exe or even upx —ultra-brute myfile.exe.

  • Try if —overlay=strip works.

  • For win32/pe programs there’s —strip-relocs=0. See notes below.

OVERLAY HANDLING OPTIONS

Info: An «overlay» means auxiliary data attached after the logical end of an executable, and it often contains application specific data (this is a common practice to avoid an extra data file, though it would be better to use resource sections).

UPX handles overlays like many other executable packers do: it simply copies the overlay after the compressed image. This works with some files, but doesn’t work with others, depending on how an application actually accesses this overlayed data.

ENVIRONMENT

The environment variable UPX can hold a set of default options for UPX. These options are interpreted first and can be overwritten by explicit command line parameters. For example:

Under DOS/Windows you must use ‘#’ instead of ‘=’ when setting the environment variable because of a COMMAND.COM limitation.

Not all of the options are valid in the environment variable — UPX will tell you.

You can explicitly use the —no-env option to ignore the environment variable.

Анализ семпла malware02

А теперь — более сложный вариант предыдущего семпла, затруднять жизнь нам будет испорченный PE-заголовок. Однако и на него есть решение.

Используемые инструменты:

  • PEiD;
  • OllyDbg;
  • Import REConstructor;
  • IDA Pro.

PEiD нам говорит, что семпл зашифрован UnPack.


Сигнатурный анализ с помощью PE-анализаторов

Если попытаться открыть его в IDA Pro, PEview или в ранних версиях OllyDbg без плагинов, получим сообщение о некорректности файла. А в IDA Pro у открытого файла напрочь будет отсутствовать таблица импорта, все, что мы сможем увидеть, — это функции LoadLibraryA и GetProcAddress, через которые пакер будет грузить оригинальный код.


Семпл malware02, загруженный в IDA Pro

Неплохой трюк, правда? Открываем OllyDbg и грузим туда наш файл. По клавишам Ctrl-G открывaем окно поиска, в котором вводим LoadLibraryA, переходим на соответствующую строку кода и ставим бpейк-пойнт по F2.


Окно OllyDbg с искомой строкой кoда

После этого запускаем выполнение и видим, что после загрузки библиотеки kernel32.dll сразу подгpужается advapi32.dll, а также commctrl.dll. Выскакиваем на строчку PUSH EBP, в правой колонке наблюдаем вызов функций kernel32.GetVersion и kernel32.GetCommandLineA — вуаля, попадаем на распакованный оригинальный код.


Окно OllyDbg после перехода на PUSH EBP

По аналогии с прошлым вариантом мы можем сдампить файл, однако, если это сделать, сохранение произойдет с ошибками. Помнишь, я говорил про битый PE header? Именно в нем причина. В нaшем случае нужно восстановить таблицу импорта (IAT) с помощью программы Import REConstructor. Запускаем тулзу, выбираем нужный нам процесс из памяти, жмем последовательно IAT autosearch, Get Imports и Fix Dump.


Окно программы Import REConstructor с восстановлением таблицы импорта

Вот наконец мы и получили распакованный файл, с которым дальше можно делать все, что угодно.

Распаковка вредоносных программ

Плагин для распаковки UPX содержит механизм распаковки файлов, которые подверглись модификации после сжатия. Такие файлы не могут быть распакованы стандартными средствами самого UPX, поскольку была изменена внутренняя структура файла. Например, имя секции UPX переименовано в XYZ, или версия формата UPX исправлено с 1.20 на 3.21. Эта техника часто используется вирусмейкерами для маскировки и защиты от распаковки.

Чтобы распаковать такой EXE файл самостоятельно, вам бы пришлось запустить его и снять дамп запакованных участков памяти с последующей записью на жёсткий диск после того, как файл полностью распакуется в памяти компьютера.

PE Explorer полностью избавляет вас от необходимости этим заниматься. Всё, что нужно, чтобы распаковать подобный обфусцированный файл — это просто открыть его в PE Explorer. Все операции по распаковке происходят автоматически.

Более того, плагин для распаковки UPX предпринимает попытку восстановить исходный файл, даже если в сжатом файле отсутствует оригинальный PE заголовок. Обычно отсутствие заголовка у PE файла делает его полностью неработоспособным и не подлежащим восстановлению. Однако, используя PE Explorer, вы получаете неплохой шанс на восстановление и анализ таких файлов.

Краткое руководство по анализу

Типовой набор действий банален: определение сигнатуры упаковщика, поиск OEP, дамп программы на диск, восстановление таблицы импорта, восстановление релоков, пересборка. А если же файл не просто был запакован, а еще и обработан протектором, то могут потребоваться дополнительные действия, такие, например, как удаление мусорных инструкций, обход антиотладочных приемов, изоляции функций проверки целостности кода CRC.

Несколько слов о динaмических библиотеках. Распаковка DLL практически не отличается от распaковки EXE-файла. У DLL, как и у EXE, есть точка входа в код программы — Entry Point, созданная пакeром, и оригинальная OEP. Таким образом, нужно остановиться на DLL в Entry Point, распарсить и оттуда идти к единствeнно верной OEP нашей DLL. Дальше можно стандартно дампить.

И еще пара коротких абзацев из матчасти, которая сегодня нам пригодится.

Несколько слов о breakpoints (точках останова)

Точки останова — часто используемый и незаменимый прием любого реверс-аналитика. Основные режимы — это:

  • останов при чтении;
  • останов при записи;
  • выполнение памяти по заданнoму адресу.

Команда CALL $+5 POP REG характерна для защитных механизмов, к примеру копирующих себя на стек. А часто возникающая инструкция PUSHFD присутствует в самотрассирующихся программах и антиотладочных защитных механизмах.

OllyDbg поддерживает несколько видов брейк-пойнтов:

  • обычный брейк-пойнт, первый байт команды, на которой мы хотим остановиться, заменяется специальной командой INT3, вызывается по клавише F2 или из контекстного меню;
  • условный брейк-пойнт (Shift + F2) — обычный INT3 брейк-пойнт со связанным услoвием;
  • условный брейк-пойнт с записью (Shift + F4) — условный брейк-пойнт с возможностью регистрации значения некоторого выражения или параметров известной функции.

Шпаргалка: способы адресации

Немного о том, как передать управление в другую часть кода.

1-й способ:

2-й способ:

3-й способ:

4-й способ:

5-й способ:

Все эти примеры могут нам пригодиться при нахождении OEP.

Немного о структуре PE-файла

Обзор структуры PE-файла выходит за рамки данной статьи, поэтому не будем лезть в дебри, однако полностью обойти эту тему нельзя, и знание матчасти в дальнейшем нам хорошо поможет. Могу посоветовать следующие статьи по анатомии PE-файлов на Хабре, хороший гайд по полному пониманию Win32- и Win64-файлов и небольшой ликбeз на ExeL@b.

Как видишь, вопросу внутреннего устройства PE-файла посвящено большое количество теоретического материала, и это неслучайно: его структура довольно богата, а умение хорошо ориентироваться в ней позволяет проводить более сложный и глубокий анализ. Но, повторюсь, эта тема выходит за рамки нашей статьи, поэтому скажем о ней весьма кратко. Если упрощенно, то PE-файл — исполняемый EXE-файл, кoторый содержит непосредственно исполняемый код и данные, необходимые для корректного выполнения программы в системе. Обычно содержимое PE-файла разбито на несколько секций, которые описываются в заголовке. Это что-то типа оглавления к книге. Попробую объяснить пару важных нюансов.

Значения RVA/VA

RVA (Relative Virtual Address) переводится как относительный виртуальный адрес. Его относительность заключается в том, что он отсчитывается от адреса загрузки, который может быть, а может и не быть равен ImageBase.
RVA вычисляется так:

где VA (Virtual Address) — виртуальный адрес элемента в памяти, а адрес загрузки берется из поля OptionalHeader.ImageBase в том случае, если он равен ImageBase, либо вычисляется лoадером.

Общий алгоритм распаковки большинства файлов таков:

  1. Находим RVA OEP.
  2. Дампим программу.
  3. Восстанавливаем таблицу импорта.
  4. Меняем точку входа на оригинальную.

Значение OEP

OEP (Original Entry Point) — это адрес, с которого бы начала выполняться программа, если бы не была упакована. Virtual Address (VA) — виртуальный адрес элемента в памяти. Relative Virtual Adress (RVA) — относительный виртуальный адрес. Адрес относительно ImageBase. К примеру, мы нашли OEP, равный 00301000, а ImageBase равно 00300000, тогда RVA OEP будет 1000. Значение ImageBase можно узнать, посмотрев в любом редакторе PE-заголовков.

Исследование системы

Образы

За что мне нравится исследовать образы – это очень удобно. По целому ряду причин:

  1. Мы можем повторить исследование неоднократно без опаски исказить или испортить, если монтировать образ к системе в режиме “только чтение”.
  2. Можем передать образ другому лицу (как Серёга передал мне), с жёстким диском было бы сложнее.
  3. Многие программы позволяют работать непосредственно с образом. Если нет – монтируем и получаем “виртуальный жёсткий диск”.
  4. Жёсткий диск может получить бэд-блок в нужном нам месте или вообще выйти из строя, образ лишён этого недостатка (не рассматриваем случай, когда вылетит сектор нашего жёсткого диска, на котором лежит образ – можно сделать копию образа на съёмный диск).

Поиск удалённой информации

Наиболее полная картина будет, когда мы откроем содержимое диска не через проводник Windows, а программами, использующими свой драйвер файловой системы – WinHEX, R-Studio – это позволит обходить права доступа к каталогам, получать удалённые файлы да и вообще сделает работу намного удобнее.

В разных случаях я использую различные программы, но R-Studio как правило всегда.

“Горячие точки”

Даже если на первый взгляд ничего необычного нет, (хотя у нас уже не всё ладно), поиск следов начинаем с экспресс-проверки “горячих точек” – мест, где наиболее вероятно появление различного рода вредоносного ПО:

  • Корень раздела;
  • Каталог Windows, Windows\System32, Program Files;
  • Каталоги Temp (в корне раздела, в каталоге Windows, в каталоге AppData пользователя);
  • Сам каталог AppData разных пользователей;
  • Каталог запланированных задач (Tasks), их два, если что;
  • Каталоги автозагрузки пользователей;

Если система была заражена, то 99% в одном из этих мест будет что-нибудь необычное и нехорошее, заметное даже при беглом взгляде. Все следы тщательно документируем и смотрим метки времени, особенно даты создания файлов. По этим датам ищем уже в других каталогах, R-Studio позволяет это сделать. Ну а потом начинаем “разматывать” в обе стороны – ранее и позднее от времени маркера, ищем так сказать причины и последствия :). И смотреть, что интересное есть в тех же каталогах.

Автоматическая распаковка файлов, сжатых UPX

Кроме того, PE Explorer поддерживает распаковку файлов, которые после сжатия UPX подверглись модификации с использованием так называемых UPX-скрэмблеров: Advanced UPX Scrambler, UPoLyX, UPX Lock. Так же PE Explorer поддерживает распаковку Upack и NSPack.

Теперь вы можете открывать файлы, сжатые UPX, и даже не заметить, что они были сжаты!

В случае, если открываемый исполняемый файл оказывается запакован UPX, плагин для распаковки UPX автоматически распаковывает файл и воссоздаёт его в его оригинальной несжатой форме, что позволяет вам проводить дальнейший анализ файла в PE Explorer.

При сохранении на диск файл записывается так же в распакованном виде. PE Explorer не запаковывает файл обратно. По этой причине размер файла до и после открытия может существенно отличатся, даже если вы не вносили в него никаких изменений.

Плагин для распаковки UPX отображает всю информацию о ходе процесса декомпрессии файла в нижней панели лога:

Преимущества и недостатки

Упаковка исполняемого файла позволяет уменьшить занимаемое программным обеспечением место (что может быть критично в случае передачи через сети или выпуске ПО на носителе ограниченной ёмкости).

Использование сегментов в памяти (в операционных системах Windows) не позволяет операционной системе высвобождать сегменты исполняемого кода без выгрузки содержимого в файл подкачки (что фактически увеличивает требования программы к оперативной памяти). Некоторые программы неспособны работать в сжатом виде, так как используют малодокументированные (или недокументированные) возможности операционной системы по работе с исполняемыми файлами. В случае распаковки во временный файл (UNIX-подобные системы) программа теряет возможность использовать argv, статус suid-бита игнорируется.

Самое весомое и неоспоримое преимущество — ускорение считывания и запуск сжатых файлов с носителей информации, а также высвобождение дополнительного свободного пространства на внешних накопителях. На сегодняшний день все внешние накопители информации по-прежнему остаются самыми медленными узлами современных вычислительных систем, «тормозящими» быстродействие системы в целом, как и на заре вычислительных технологий.
Поэтому нельзя не оценить эффект, возникающий при системном применении упаковщиков исполняемых файлов, таких как UPX. Вычислительная система затрачивает значительно меньше времени на считывание и распаковку сжатого файла в оперативной памяти, нежели на простое считывание этого же неупакованного файла (при считывании с внешнего накопителя время, затрачиваемое на операцию, исчисляется миллисекундами, а время на обработку данных в оперативной памяти — микро- и наносекундами).

Резюме файла UPX

Расширение файла UPX имеет два тип (-ов) файла (-ов) и связано с три различными программными обеспечениями, но главным образом с PeaZip, разработанным Open Source. Часто они представлены в формате Ultimate Packer For eXecutables File.
В большинстве случаев эти файлы относятся к Compressed Files, но они также могут относиться к Raster Image Files.

Расширение файла UPX поддерживается Windows и Linux. Данные типы файлов можно найти в основном на настольных компьютерах и некоторых мобильных устройствах.

Рейтинг популярности файлов UPX составляет «Низкий». Это означает, что они не часто встречаются на большинстве устройств.

NOTES FOR WIN32/PE

The PE support in UPX is quite stable now, but probably there are still some incompatibilities with some files.

Because of the way UPX (and other packers for this format) works, you can see increased memory usage of your compressed files because the whole program is loaded into memory at startup. If you start several instances of huge compressed programs you’re wasting memory because the common segments of the program won’t get shared across the instances. On the other hand if you’re compressing only smaller programs, or running only one instance of larger programs, then this penalty is smaller, but it’s still there.

If you’re running executables from network, then compressed programs will load faster, and require less bandwidth during execution.

DLLs are supported. But UPX compressed DLLs can not share common data and code when they got used by multiple applications. So compressing msvcrt.dll is a waste of memory, but compressing the dll plugins of a particular application may be a better idea.

Screensavers are supported, with the restriction that the filename must end with «.scr» (as screensavers are handled slightly different than normal exe files).

UPX compressed PE files have some minor memory overhead (usually in the 10 — 30 KiB range) which can be seen by specifying the «-i» command line switch during compression.

Extra options available for this executable format:

DIAGNOSTICS

Exit status is normally 0; if an error occurs, exit status is 1. If a warning occurs, exit status is 2.

UPX‘s diagnostics are intended to be self-explanatory.

COPYRIGHT

Copyright (C) 1996-2020 Markus Franz Xaver Johannes Oberhumer

Copyright (C) 1996-2020 Laszlo Molnar

Copyright (C) 2000-2020 John F. Reiser

Copyright (C) 2002-2020 Jens Medoch

This program may be used freely, and you are welcome to redistribute it under certain conditions.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the UPX License Agreement for more details.

You should have received a copy of the UPX License Agreement along with this program; see the file LICENSE. If not, visit the UPX home page.

Несколько дельных советов по работе с сайтом АП-ИКС

Многие люди, прочитав данную статью, наверняка подумали, что можно обмануть систему – создать несколько аккаунтов, получать с них бонусы, собирая промо-коды, и тем самым нахаляву зарабатывать деньги на UP-X.

Но поспешу вас огорчить. Администрация проекта тщательно следит за созданием мультиаккаунтов и блокирует таких пользователей с потерей всех денежных средств на балансе. Так что можете даже не тратить свое время впустую.

Кроме того, не существует никаких беспроигрышных тактик Ап Икс. Если вам в личке ВКонтакте предлагают какие-то способы раскрутки аккаунта и другие сомнительные схемы – сразу обходите их стороной. Вы можете лишится и аккаунта, и денежных средств.

Вводная информация о сервисе мини игр на деньги с выводом UP-X

Сайт UP-X представляет собой очень крупный, популярный и востребованный сервис мини игр на деньги онлайн с выводом. Старт проекта состоялся в декабре 2019 года и за 5 месяцев существования он добился немалых показателей:

  • на сайте с мини играми на деньги АП-ИКС зарегистрировалось более 1.6 миллионов пользователей;
  • за все время было проведено свыше 61 миллиона игр, число которых стремительно увеличивается с каждым днем;
  • средний онлайн на сайте составляет около 1000 человек;
  • общая сумма ежедневного выигрыша достигает отметки в 50 миллионов рублей.

Перед регистрацией и играми на сайте UP-X вам необходимо знать следующие важные особенности данного сервиса:

  • все внутренние мини игры на деньги онлайн проходят за слитки. Это такая виртуальная внутренняя валюта сервиса, курс которой составляет: 1 слиток = 1 рубль;
  • на сегодняшний день в сервисе АП-ИКС насчитывается больше 10 мгновенных мини игр на деньги, среди которых такие известные как Краш, Рулетка, Кейсы, Минер, КНБ, Крестики-Нолики и другие. Еще 4 игры находятся прямо сейчас в разработке и появятся уже в скором будущем;
  • поиграть в мини игры на деньги на сайте UP-X можно даже бесплатно. Такая возможность существует за счет бонусов и регулярных UP-X промокодов;
  • активно играя на UP-X, вы будете получать очки и тем самым продвигаться по прогрессивной ранговой системе. За каждый новый ранг полагается награда в виде n-го количества слитков и открытия ранговых кейсов;
  • игроки с топовыми рангами получает бонус к депозиту в размере 3% и 5%;
  • каждую неделю среди активных игроков, набравших больше всего очков, разыгрываются слитки. За 1-2-3 место в топе можно получить 5000-2500-1000 слитков соответственно;
  • ежедневно каждый пользователь UP-X получает кэшбек по своему балансу. Чем больше средств на вашем внутреннем счету, тем больше процентная ставка вам присваивается, и соответственно тем выше сумма кэшбека;
  • на проекте имеется партнерская программа, которая позволяет организовать пассивный заработок на UP-X за счет привлечения других игроков;
  • совсем скоро появится официальное приложение UP-X на Android, в котором будет доступен весь функционал сайта.

Когда вы немного ознакомились с особенностями и возможностями проекта, предлагаю рассмотреть процесс регистрации на официальном сайте Ап Икс, по завершению которой вы и получите доступ к мини играм на реальные деньги.

Вывод денег с UP-X

Если вы хотите заказать выплату денег из проекта, перейдите в личный кабинет (кликните по аватарке) и в блоке «Баланс» нажмите кнопку «Вывести». Здесь необходимо выбрать способ вывода, указать сумму и платежные реквизиты, после чего нажать кнопку «Заказать выплату».

Минимальная сумма для выплаты составляет 150 слитков (рублей). А размер комиссии в зависимости от выбранной платежной системы варьируется в пределах 0.95-2.5%. Под указанием суммы для выплаты есть вся необходимая информация.

Обратите внимание, что для заказа выплаты необходимо выполнить несколько условий. Во-первых, за последнюю неделю требуется провести не менее 10 игр

Во-вторых, за последние две недели необходимо как минимум раз пополнить свой баланс. В-третьих, как я уже отмечал ранее, требуется отыгрывать бонусы, которые вы получали за счет промокодов на Ап Икс.

Все запрошенные заявки на выплату средств, как правило, обрабатываются в течение 48 часов. Проект платит честно, в этом можете даже не сомневаться. Вот моя недавняя выплата, которую я наиграл на UP-X с промокодов и благополучно вывел на свой Payeer кошелек:

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий