Все никак не могу доехать, как же проверить факт упакованности exe-шниника. Каких-то универсальных функций (типа как в ольке) не вижу, вижу только решение в лоб - коллекционирование сигнатур упаковщиков.

самая простая проверка упакованности - попытка упаковать и оценить степень сжатия.

dumb, а может перенесенная в конец файла точка входа? Или не все упаковщики крепятся в конец?

Упаковщики как раз никуда не крепятся - они и есть программа.
Сама программа - данные.
Одной из особенностью упаковщиков можно считать использование первых 100h байт. У обычных программ там DOS секция. Упаковщики обычно на неё плюют и используют под собственные нужды.
Также в секции импорта упакованных программ находятся только LoadLibraryA и GetProcAddress.
Но это всё признаки. Гарантию даст только знание сигнатур. Которые, впрочем меняются.
Но по признакам можно определить с вероятностью 95% и выше.

Добавлено @ 23:55 
И dumb прав. На худой конец можно попробовать и сжать. Обычные программы (> 4кб) хорошо жмутся. А упакованные процентов на 5 - не больше.

alexeis1, брр.. причем тут EP? просто оцениваем степень сжатия любым упаковщиком - хоть winrar'ом: упакованные/покриптованные данные практически не жмутся.

простейший упаковщик можно и в конец секции какой-либо запихать, но насчет нормальных ты прав - все в конце(те, что видел во всяком случае). теоретически можно в любое место, но практически никто не парится... 

А если файл большой? Ведь паковка в тот же зип займет несколько секунд времени.

Добавлено @ 00:08 

Осталось только придумать как их вычислять.   


Странно, но сейчас в упакованной проге нашел весьма солидную import table с кучей функций.   

Так я так и понял, что речь идет о программной проверке. Т.е. чтоб это работало быстро. А проверить указатель на точку входа и сравнить ее с размером файла можно быстро. Распаковщики (сори за очипятку) же занимают обычно не более 1кб. Если к EP добавить 1кб то для упакованой программы эта величина должна превышать размер экзешника на диске.

Это сообщение отредактировал(а) alexeis1 - 6.9.2006, 00:13

Я написал только? Я имел ввиду обычно только.
ExitProcess можно не считать.
Обычно там больше функций, если упаковщик поддерживает защиту - обычно он для этого импортирует функции advapi.
UPX легко определить. У него обязательно в первых 220h байт находятся сигнатуры UPX0 и UPX1.
Пожалуё это один из немногих упаковщиков, не использующих первые 100h байт.
Можно ygbcfnm небольшую эвристику на анализ первых 100h байт. Если процент нулей меньше 80% - упакован.
Если эвристика и наличие UPX не обнаружены - пробовать пожать первые 32 кило. Жать весь файл незачем.
Коэффициэнт слабый - пожат.

Добавлено @ 00:30 
alexeis1, к примеру, UPX так не отличишь - он выглядит вполне честно. Никаких смещений.

Добавлено @ 00:31 
Опять же повторю - упаковщик не приклеивается к программе - он сам программа.

а что энтропию проверить нельзя?

Это я знаю, имел ввиду распаковщик. Что у UPX распаковщик не крепится в конец экзешника?

Нет конечно.
Он в самом начале сидит - там, где и положено находиться нормальной программе - по адресу 100h.

oleg1973, вопрос как найти быстрое решение.

проще пошитать циферки в файлике чем собирать сигнатуры

А что это даст?

Та же фигня что и упаковка, только в профиль