بهبود روش OmniUnpack جهت بازگشايي عمومي فايل اجرايي قابل‌حمل با رديابي صفحات حافظه

تحليل­گران در گذشته جهت تشخيص بدافزار و تحليل رفتار فايل اجرايي از مقايسه امضاي فايل استفاده مي­كردند. نويسندگان بدافزارهاي پيشرفته و جديد براي دور زدن بررسي امضا از روش­هاي مبهم­سازي جهت پنهان­سازي اطلاعات استفاده كردند كه بيشترين، مهم­ترين و كارآمدترين روش مبهم­سازي، بسته­بندي كردن است. اين روش بدون اينكه به رفتار فايل اجرايي اصلي صدمه­اي بزند، ترتيب كدهاي آن را به‌هم ‌ريخته، رمزگذاري كرده و حتي كد را فشرده مي­كند و كد اصلي تا زماني كه اجرا نشده مبهم مي­ماند. روش­هايي كه هم‌اكنون براي بازگشايي اين‌گونه فايل­ها استفاده مي­كنند اغلب روش­هايي هستند كه به‌صورت خاص به­ازاي هر نوع بسته­بندي­كننده بازگشايي­كننده مخصوص آن فايل را ايجاد مي­كنند. روش­هاي ديگري نيز همچون Renovo، OmniUnpack براي بازگشايي وجود دارند كه به‌عنوان   بازگشايي­كننده­هاي عمومي شناخته مي­شوند و در واقع ضعف روش­هاي قبلي در رابطه با نياز به دانش از نوع بسته­بندي­كننده را پوشش   مي­دهند، اما مشكل اصلي آن‌ها يافتن نقطه ورود اصلي برنامه يا همان انتهاي بخش بازگشايي است. در اينجا براي برطرف كردن اين مشكل روشي ارائه شد كه با استفاده از رديابي صفحات حافظه و پيگيري صفحات نوشته‌شده و سپس اجراشده اين نقطه را شناسايي مي­كند و سپس از آن ناحيه فايل جديدي كه بازگشايي ‌شده است ساخته مي­شود تا اولاً نيازي به دانش از نوع بسته­بندي­كننده وجود نداشته باشد و دوما براي بسته­بندي­كننده­هايي كه در آينده ايجاد مي­شوند نيز بتواند مورد استفاده قرار گيرد. در نهايت در بخش ارزيابي نشان داده خواهد شد كه درصد بسيار بالايي از بسته­بندي­كننده­هاي فعلي را مي­توان با آن بازگشايي نمود (بالاي ۹۰%) و در موتور ضد بدافزارها از آن استفاده نمود.