如何在不执行解压文件的情况下解压Win32文件柜自解压程序

Question

对于课程作业，我必须分析恶意软件。

它是.EXE Win32机柜自解压程序文件。(这就是windows的看法，它实际上是以4D 5A 00 03十六进制开头的)。运行时，解压创建的文件夹中的所有文件，运行恶意软件(批处理/VBS文件)，最后删除包含恶意软件文件的文件夹。

我想知道如何才能在不执行恶意软件的情况下解压？我使用了ProcDump32，但它告诉我：“进程不是32位的，或者无法加载，或者已经完成了!”

因此，我正在寻找一个应用程序，可以提取一个Win32出租车自解压文件的内容，而不执行输出文件，如果可能的话，给出提取的文件列表。

Answer 1

你也可以在自解压文件上使用/?，它应该显示/X:path或/T:path /C来解压内容(根据微软知识库262841和197147)

Answer 2

使用文件夹/C的/T:full路径。如果没有/C，将执行exe文件。

MySelfExtractingFile.exe /T:C:¥MySelfExtractingFile /C