使用 UPX 压缩 Windows 可执行文件有什么缺点吗？

Question

我之前曾使用 UPX 来减小 Windows 可执行文件的大小，但我必须承认我很天真这可能产生的任何负面影响。 所有这些打包/拆包的缺点是什么？

是否存在任何人会建议不要对可执行文件进行 UPX 处理的情况（例如，在编写 DLL、Windows 服务时或针对 Vista 或 Win7 时）？ 我的大部分代码都是用 Delphi 编写的，但我也使用 UPX 来压缩 C/C++ 可执行文件。

顺便说一句，我不运行 UPX 是为了保护我的 exe 免受反汇编程序的侵害，只是为了减小可执行文件的大小并防止粗略的篡改。

Answer 1

...也有缺点
使用 EXE 压缩器。 最值得注意的是：

• 启动压缩的 EXE/DLL 后，所有代码都会被
  从磁盘映像解压到
  一次性内存，这可能会导致
  如果系统电量不足，则会出现磁盘抖动
  内存并被迫访问
  交换文件。 与...对比
  未压缩的 EXE/DLL、操作系统
  为代码页分配内存
  需求（即执行时）。

• 压缩 EXE/DLL 的多个实例会创建多个
  内存中代码的实例。 如果
  你有一个压缩的 EXE
  包含 1 MB 代码（之前
  压缩）并且用户启动 5
  它的实例，大约 4 MB
  内存被浪费了。 同样，如果你
  有一个 1 MB 的 DLL 并且已使用
  通过 5 个正在运行的应用程序，
  大约 4 MB 内存
  浪费了。 使用未压缩的 EXE/DLL，
  代码仅在内存中存储一​​次并且
  在实例之间共享。

http://www.jrsoftware.org/striprlc.php#execomp

Answer 2

我很惊讶这一点尚未被提及，但使用 UPX 打包的可执行文件也会增加启发式防病毒软件产生误报的风险，因为从统计数据来看，许多恶意软件也使用 UPX。

Answer 3

存在三个缺点：

1. 整个代码将在虚拟内存中完全解压缩，而在常规 EXE 或 DLL 中，只有实际使用的代码加载到内存中。 如果每次运行时只使用 EXE/DLL 中的一小部分代码，这一点尤其重要。
2. 如果您的 DLL 和 EXE 的多个实例正在运行，则它们的代码无法在实例之间共享，因此您将使用更多内存。
3. 如果你的 EXE/DLL 已经在缓存中，或者在一个非常快的存储介质上，或者如果你运行的 CPU 很慢，你会遇到启动速度降低的情况，因为解压仍然需要进行，并且你不会受益于尺寸的减小。 对于将被重复调用多次的 EXE 来说尤其如此。

因此，如果您的 EXE 或 DLL 包含大量资源，上述缺点就更成问题，但除此之外，考虑到可执行文件和可用内存的相对大小，它们在实践中可能不是一个重要因素，除非您谈论的是 DLL被许多可执行文件（如系统 DLL）使用。

消除其他答案中的一些不正确信息：

• UPX 不会影响您在受 DEP 保护的计算机上运行的能力。
• UPX 不会影响主要防病毒软件的能力，因为它们支持 UPX 压缩的可执行文件（以及其他可执行压缩格式）。
• UPX 已经能够使用 LZMA 压缩一段时间了（7zip 的压缩算法），使用 --lzma 开关。

Answer 4

唯一影响大小的时间是从互联网下载期间。 如果您使用 UPX，那么您实际上会比使用 7-zip 获得更差的性能（基于我测试的 7-Zip 是 UPX 的两倍）。 然后，当它实际上在目标计算机上被压缩时，您的性能就会下降（请参阅拉尔斯的回答）。 所以UPX对于文件大小来说并不是一个好的解决方案。 只需将整个内容压缩 7zip 即可。

就防止篡改而言，它也是失败。 UPX也支持解压。 如果有人想修改 EXE，那么他们会看到它是用 UPX 压缩的，然后解压缩。 您可能减慢的破解者的百分比并不能证明付出的努力和性能损失是合理的。

更好的解决方案是使用二进制签名或至少只是哈希。 一个简单的哈希验证系统是获取二进制文件的哈希值和秘密值（通常是 guid）。 只有您的 EXE 知道秘密值，因此当它重新计算哈希值进行验证时，它可以再次使用它。 这并不完美（可以检索秘密值）。 理想的情况是使用证书和签名。

Answer 5

如今，磁盘上可执行文件的最终大小基本上无关紧要。 您的程序加载速度可能会快几毫秒，但一旦开始运行，差异就无法区分。

有些人可能会因为您的可执行文件是用 UPX 压缩而更加怀疑它。 根据您的最终用户，这可能是也可能不是一个重要的考虑因素。

Answer 6

上次我尝试在托管程序集上使用它时，它的性能非常糟糕，以至于运行时拒绝加载它。 这是我唯一一次想到你不想使用它（而且，实际上，自从我尝试以来已经很久了，现在情况可能会更好）。 我过去在所有类型的非托管二进制文件上广泛使用它，并且从未遇到过问题。

Answer 7

如果您唯一感兴趣的是减小可执行文件的大小，那么您是否尝试过比较带运行时包和不带运行时包的可执行文件的大小？ 当然，您还必须包括整个包的大小以及可执行文件，但如果您有多个使用相同基础包的可执行文件，那么您的节省会相当高。

另一件需要注意的事情是您在程序中使用的图形/字形。 通过将它们合并到全局数据模块中包含的单个 Timagelist，而不是在每个表单上重复它们，可以节省相当多的空间。 我相信每个图像都以十六进制形式存储在表单资源中，因此这意味着每个字节占用两个字节...您可以通过使用 TResourceStream 从 RCData 资源加载图像来缩小这一点。

Answer 8

没有任何缺点。

但仅供参考，关于 UPX 有一个非常常见的误解，即

资源不仅仅是被压缩，

本质上您正在构建一个具有“加载器”职责的新可执行文件，而“真正的”可执行文件正在被部分剥离和压缩，作为加载器可执行文件的二进制数据资源放置（无论原始可执行文件中的资源类型如何）。

使用逆向工程方法和工具用于教育目的或其他显示有关“加载器可执行文件”的信息，而不是有关原始可执行文件的变量信息。

Answer 9

恕我直言，常规的 UPXing 是没有意义的，但原因在上面已经阐明，主要是内存比磁盘更昂贵。

Erik：LZMA 存根可能更大。 即使算法更好，也并不总是净利。

Answer 10

查找“未知”病毒的病毒扫描程序可以将 UPX 压缩的可执行文件标记为带有病毒。 有人告诉我这是因为一些病毒使用 UPX 来隐藏自己。 我在软件上使用了 UPX，McAfee 会将文件标记为有病毒。

Answer 11

UPX 之所以出现如此多的误报，是因为它的开放许可允许恶意软件作者使用和修改它而不受惩罚。 当然，这个问题是行业固有的，但遗憾的是伟大的 UPX 项目却受到这个问题的困扰。

更新：请注意，随着 Taggant 项目的完成，假设 UPX 支持，使用 UPX（或其他任何东西）而不导致误报的能力将会增强。

Answer 12

我相信它可能无法在具有 DEP（数据执行保护）的计算机上运行） 打开。

Answer 13

当 Windows 加载二进制文件时，它所做的第一件事就是导入/导出表解析。 即，无论导入表中指示什么API和DLL，它都会首先将DLL加载到随机生成的基地址中。 并且使用基地址加上DLL函数的偏移量，该信息将被更新到导入表中。

EXE没有导出表。

所有这些甚至在跳转到原始入口点执行之前就发生了。

然后从入口点开始执行后，EXE将在开始解压缩算法之前运行一小段代码。 这段小代码也意味着所需的 Windows API 会非常小，从而导致导入表很小。

但是在二进制文件解压后，如果它开始使用任何之前未解析的 Windows API，那么它很可能会崩溃。 因此，在执行解压缩代码之前，解压缩例程必须解析并更新解压缩代码内所有引用的 Window API 的导入表。

参考文献：

https ://malwaretips.com/threads/malware-analysis-2-pe-imports-static-analysis.62135/