Русский / Russian English / Английский

Сейчас на форуме: Bad_guy (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› Automatic New Binary Unpacker
Посл.ответ Сообщение


Ранг: 607.2 (!)
Статус: Участник
_Вечный_Студент_

Создано: 13 мая 2019 21:12 New!
Цитата · Личное сообщение · #1

ANBU (--> Automatic New Binary Unpacker <--) a tool to learn about --> Intel PIN <--and algorithms of generic unpacking

Собирается легко с помощью Visual Studio 2017 на машинах, где уже установлен intel PIN. Сам пробовал, да, таки собирается.
Автор утверждает, что работает на следующих пакерах:
Packers tested

•UPX
•AHPack
•MEW
•EZIP
•FSG
•Mpress
•Aspack
•Basic RunPE

Не пробовал еще, будем посмотреть.
Меня больше тут интересует source code и подход автора. Пока еще не имел времени сильно копать.
Кому интересно, смотрите, пишите отзывы. Надеюсь, что это что-то стоящее...

| Сообщение посчитали полезным: difexacaw



Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 мая 2019 21:36 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

plutos

На этих работает Intel SDE, на том же PIN'е. Проверял пару дней назад. На норм протах валится(SDE) в RTL.

А в общем такие инструменты(визоры) годные, они заменяют отладку и решают сложные задачи.

| Сообщение посчитали полезным: plutos



Ранг: 51.9 (постоянный)
Статус: Участник

Создано: 14 мая 2019 09:23 · Поправил: Adler New!
Цитата · Личное сообщение · #3

Поделитесь пожалуйста кто нибудь скомпилированным ANBU.dll, а то моя криворукость не позволила его собрать. Правда пробовал в VS2019, но думаю, что вряд ли дело в версии...

Ранг: 3.1 (гость)
Статус: Участник

Создано: 14 мая 2019 10:21 · Поправил: masterkey0 New!
Цитата · Личное сообщение · #4

Adler пишет:
Правда пробовал в VS2019, но думаю, что вряд ли дело в версии...


зря так думаешь. Да и зачем гадать, Visual Studio Express 2017 в виртуалке ещё ни раз пригодиться


Ранг: 51.9 (постоянный)
Статус: Участник

Создано: 14 мая 2019 10:54 New!
Цитата · Личное сообщение · #5

masterkey0, я уже понял, т.к. сперва он на отсутствующие .h ругался, думал, что чего-то не хватет в студии (я в C++ и особенностях его сборки не шарю). Но оказалось, что там просто пути к инклюдам абсолютные указаны, исправил и начало вылетать на ошибку компиляции. Из нагугленного нашел, что эта ошибка бывает когда версии не совпадают.

Ранг: 3.1 (гость)
Статус: Участник

Создано: 14 мая 2019 11:00 New!
Цитата · Личное сообщение · #6

Adler, вот-вот. Полезно, кончено, научиться такие ошибки править, но я пока что решил завести парк виртуалок с наиболее употребляемыми версиями студии )


Ранг: 51.9 (постоянный)
Статус: Участник

Создано: 14 мая 2019 23:02 · Поправил: Adler New!
Цитата · Личное сообщение · #7

Хм. Кое как собрал. Интересно, что ASpack распаковало без проблем, запускается, а обычный upx вроде распаковало без ошибки, но файл не запускается.
P.S. Еще один upx распаковал - запустился.

P.S.S. А в чем сакральный смысл делать смещение первой секции в 1000h вместо "стандартных" 400h?

К примеру, XVolkolak так не делает.
Кстати, XVolkolak так же не смог первый UPX файл распаковать корректно.
P.S.S.S. Первый файл и после распаковки самим upx не запускается, при том, что если его распаковать PE Explorer`ом, то он прекрасно запускается.
Что с ним не так?

{ Атач доступен только для участников форума } - BOOTICEx86_2016.06.17_v1.3.4.0.exe


Ранг: 271.5 (наставник)
Статус: Участник
RBC

Создано: 14 мая 2019 23:34 · Поправил: Kindly New!
Цитата · Личное сообщение · #8

Adler пишет:
BOOTICEx86_2016.06.17_v1.3.4.0.exe

а там чето фиксить в заголовке надо было отдельно, у меня в папке с upx два файла распакованных, один вроде мой, второй чей то:
https://www.sendspace.com/file/k3lozq


Ранг: 51.9 (постоянный)
Статус: Участник

Создано: 15 мая 2019 00:14 · Поправил: Adler New!
Цитата · Личное сообщение · #9

Kindly, ну BOOTICEx64.exe тот же XVolkolak распаковывает корректно. ANBU с 64 битами не дружит.
А вот BOOTICEx86 только PE Explorer осилил.

Добавлено спустя 9 часов 7 минут
Кстати, в VS 2019 тоже собирается, то я просто затупил, пытаясь его в Debug собрать, в котором чего то не донастроено.


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 15 мая 2019 13:56 · Поправил: difexacaw New!
Цитата · Личное сообщение · #10

Adler

А какой смысл распаковки и как она делается, тоесть запустить и сдампить ?

Тоесть каким то образом обождать событие EP и тогда секции выгрузить в файл, для этого и нужен эмулятор(без визора обнаружить событие EP нельзя) ?

Тогда это получается не имеющим смысла, тк образ на EP распакован, сохранять в файл может понадобиться только если нужно файл далее какими то инструментами обработать, идой к примеру.

Во всех прочих случаях когда дамп не возможен(а это любые протекторы немного сложнее чем upx) это не сработает. Именно по этой причине в списке только протекторы которые сами себя анпакают и можно дампить.


Ранг: 51.9 (постоянный)
Статус: Участник

Создано: 15 мая 2019 14:17 · Поправил: Adler New!
Цитата · Личное сообщение · #11

difexacaw, ну это вопросы явно не ко мне
С практической точки зрения, к примеру, недавно надо было утилиту перевести на русский с английского, а она ASpack`ом упакована. Т.е. надо, что бы после распаковки оно еще и запускалось. Распаковать в дебагере то я ее распаковал, ресурс вытянул, но с экспортом беда, моя криворукость не позволила его пофиксить. XVolkolak`ом все распаковалось отлично без танцев с бубном (в общем и quick unpack распаковал на другой ОС, но у меня он с Win10 x64 не подружился), ресурс переведен и заменен.
Этот распаковщик чисто для коллекции, может пригодится когда нибудь, если что-то другое по какой то причине не справится.


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 15 мая 2019 14:40 · Поправил: difexacaw New!
Цитата · Личное сообщение · #12

Adler

> Распаковать в дебагере то я ее распаковал, ресурс вытянул, но с экспортом беда, моя криворукость не позволила его пофиксить.

По мойму не правильный подход к задаче. Нужно было прицепить к запакованному модулю свой, который после распаковки внёс бы нужные изменения(в памяти а не в файле). Тогда не нужно было бы и думать про распаковку


Ранг: 51.9 (постоянный)
Статус: Участник

Создано: 15 мая 2019 14:43 · Поправил: Adler New!
Цитата · Личное сообщение · #13

difexacaw пишет:
Нужно было прицепить к запакованному модулю свой, который после распаковки внёс бы нужные изменения.

Если бы я еще что-то из этого понял
Ну в общем я приблизительно смысл понял, но как это реализуется даже примерно не представляю..

Ранг: 2.5 (гость)
Статус: Участник

Создано: 15 мая 2019 15:18 New!
Цитата · Личное сообщение · #14

difexacaw
> По мойму не правильный подход к задаче. Нужно было прицепить к запакованному модулю свой, который после распаковки внёс бы нужные изменения(в памяти а не в файле). Тогда не нужно было бы и думать про распаковку

Т.е. ты предлагаешь выискивать адреса строк в памяти, писать какие-то штуки, которые будут их заменять вместо того, чтобы расспаковать и в удобненьком *resource editor name* подправить? lol


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 15 мая 2019 15:29 New!
Цитата · Личное сообщение · #15

rthax

Ну мне например что бы в памяти что то пофиксить и собрать для этого билд нужен десяток минут. Тоесть для себя я не вижу смысла заниматься задродством с распаковкой. Но для вас, может это и lol, так как вы только кнопки можите жать в инструментах, наверно поэтому оно и нужно.
 eXeL@B —› Софт, инструменты —› Automatic New Binary Unpacker

Видеокурс ВЗЛОМ