بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابل حمل با ردیابی صفحات حافظه

تحلیل گران در گذشته جهت تشخیص بدافزار و تحلیل رفتار فایل اجرایی از مقایسه امضای فایل استفاده می کردند. نویسندگان بدافزارهای پیشرفته و جدید برای دور زدن بررسی امضا از روش های مبهم سازی جهت پنهان سازی اطلاعات استفاده کردند که بیشترین، مهم ترین و کارآمدترین روش مبهم سازی، بسته بندی کردن است. این روش بدون اینکه به رفتار فایل اجرایی اصلی صدمه ای بزند، ترتیب کدهای آن را به هم ریخته، رمزگذاری کرده و حتی کد را فشرده می کند و کد اصلی تا زمانی که اجرا نشده مبهم می ماند. روش هایی که هم اکنون برای بازگشایی این گونه فایل ها استفاده می کنند اغلب روش هایی هستند که به صورت خاص به ازای هر نوع بسته بندی کننده بازگشایی کننده مخصوص آن فایل را ایجاد می کنند. روش های دیگری نیز همچون Renovo، OmniUnpack برای بازگشایی وجود دارند که به عنوان   بازگشایی کننده های عمومی شناخته می شوند و در واقع ضعف روش های قبلی در رابطه با نیاز به دانش از نوع بسته بندی کننده را پوشش   می دهند، اما مشکل اصلی آن ها یافتن نقطه ورود اصلی برنامه یا همان انتهای بخش بازگشایی است. در اینجا برای برطرف کردن این مشکل روشی ارائه شد که با استفاده از ردیابی صفحات حافظه و پیگیری صفحات نوشته شده و سپس اجراشده این نقطه را شناسایی می کند و سپس از آن ناحیه فایل جدیدی که بازگشایی شده است ساخته می شود تا اولا نیازی به دانش از نوع بسته بندی کننده وجود نداشته باشد و دوما برای بسته بندی کننده هایی که در آینده ایجاد می شوند نیز بتواند مورد استفاده قرار گیرد. در نهایت در بخش ارزیابی نشان داده خواهد شد که درصد بسیار بالایی از بسته بندی کننده های فعلی را می توان با آن بازگشایی نمود (بالای 90%) و در موتور ضد بدافزارها از آن استفاده نمود.