如何提取 Win32 Cabinet Self-Extractor 而不执行提取的文件

Question

对于课程作业，我必须分析恶意软件。

它是一个 .EXE Win32 Cabinet 自解压文件。 （这就是 Windows 的看法，它实际上以 4D 5A 00 03 Hex 开头）。 运行时，它会提取创建的文件夹中的所有文件，运行恶意软件（批处理/VBS 文件），最后删除包含恶意软件文件的文件夹。

我想知道如何在不执行恶意软件的情况下提取数据？ 我使用 ProcDump32 但它给我：“进程不是 32 位或无法加载或已完成！”。

不知何故，我成功地卡住了 ProcDump32 并获取了该文件夹几秒钟，并在它“消失”之前复制了它，所以我得到了文件，但我不确定我是否收集了所有文件，我想以正确的方式做到这一点。

因此，我正在寻找一个应用程序，它可以提取 Win32 Cab 自解压器文件的内容，而不执行输出文件，并且如果可能的话，给出提取文件的列表。

Answer 1

您还可以在自解压文件上使用 /? ，它应该显示 /X:path 或 /T:path /C 来解压内容（根据 microsoft kb 262841 和 197147)

Answer 2

使用 /T: 文件夹 /C 的完整路径。如果没有 /C，exe 文件将被执行。

MySelfExtractingFile.exe /T:C:¥MySelfExtractingFile /C