eXeLab
eXeL@B DVD 2016 !

Курс видеоуроков программирования и крэкерства 4.0
(актуальность: ноябрь 2016)
Свежие инструменты, новые видеоуроки!

  • 300+ видеоуроков
  • 800 инструментов
  • 80 свежих книг и статей

УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс DVD 2016
Новичку | Ссылки | Программирование | Интервью | Архив | Связь
Русский / Russian English / Английский

Сейчас на форуме: deman17051 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Dr.WEB FLY-CODE Unpacker
. 1 . 2 . >>
Посл.ответ Сообщение
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 16 декабря 2011 14:32:52 New!
· Личное сообщение · #1

Накатал на коленке утиль, использующую технологию FLY-CODE от Dr.WEB. Результаты хреновые, основная цель распаковщика - получить чистую секцию кода. Для работы антивируса этого наверное достаточно, а для исследовательских целей маловато. Многие говорили, что это супер распаковщик, ну вот можете оценить. Работает следующим образом, пытается распаковать файл, то что получилось снова анализируется и снова пытается распаковать. Бывает, что в распакованом файле он видит пакер и пытается анпакнуть, а бывает, что не может определить загрузчик пакера, эмулит его, определяет пакер и анпакает. В общем утиль сохраняется все промежуточные результаты. Может кому поиграться.

http://dump.ru/file/5511303
http://depositfiles.com/files/dwki7v2ky

| Сообщение посчитали полезным: satsura, mad_smoker82, tihiy_grom, ClockMan, Gideon Vi, zeppe1in, sendersu, Maximus, shadow_user, mak, NecroRU, obfuskator, yanus0, Dynamic, Hellspawn, hlmadip, SergX, Vnv, DimitarSerg, daFix, yagello, _ruzmaz_, ARCHANGEL, OnLyOnE, ff0h, Smon, vnekrilov, Dart Raiden, ==DJ==[ZLO], dimka_new, Kylak

ClockMan


Ранг: 447.2 (мудрец)
Статус: Участник
оптимист

Создано: 16 декабря 2011 16:15:54 New!
· Личное сообщение · #2

PE_Kill пишет:
ну вот можете оценить

Скажим так некоторые проты он вообще неопределяет и нерасспаковывает,на самых минимальных опциях расспаковал VM_PROT ,
PE_Kill пишет:
основная цель распаковщика - получить чистую секцию кода

На одном из подопытных получил чистую секцию,забитую нулями
А так за кодинг +1000
ARCHANGEL


Ранг: 622.5 (!)
Статус: Участник
ALIEN Hack Team

Создано: 16 декабря 2011 23:55:56 New!
· Личное сообщение · #3

На простеньких пакерах отрабатывает, а Арму не взял. Да и с пакерами - зачем-то берёт уже анпакнутый файл и чё-то пытается с ним сделать, именуя это "что-то" как FLY_CODE этап. В результате на выходе такая ерунда получается

Ну, чисто поржать разве что. Что-то нормальное так не распакуешь. За кодинг - присоединяюсь к спасибам

PE_Kill
Интересно, сколько ты времени убил на это чудо?
Vnv

Ранг: 84.4 (постоянный)
Статус: Участник

Создано: 17 декабря 2011 01:13:40 · Поправил: Vnv New!
· Личное сообщение · #4

ARCHANGEL пишет:
Интересно, сколько ты времени убил на это чудо?


PE_Kill пишет:
Накатал на коленке

т.е. 5-10 мин.
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 17 декабря 2011 07:37:31 · Поправил: PE_Kill New!
· Личное сообщение · #5

ARCHANGEL пишет:
Интересно, сколько ты времени убил на это чудо?

На полный ресерч пару дней. А чтобы из кусков собрать то что получилось где то час.

ARCHANGEL пишет:
В результате на выходе такая ерунда получается

Это не ко мне. Утиль только командует ядру проверить файл, а на этапах распаковки сохраняет файл.

ARCHANGEL пишет:
это "что-то" как FLY_CODE этап

FLY_CODE этап - это трассировка эмулятором кода, не похожего на EntryPoint нормальной программы. Ентри поинты забиты сигнатурами в ядро.
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 19 декабря 2011 10:41:32 New!
· Личное сообщение · #6

Обновил ядро и базы до версии 7.0 Некоторые пакеры стали заметно лучше анпакаться. Нашел баг. Некоторые пакеры не анпакаются с первого раза, выдает Unpack error. Надо тыкнуть Unpack еще раз, часто помогает. ХЗ что это, разбираться с этой поделкой в лом.

Engine 7.0, Interface 2.02:
http://dump.ru/file/5516149
http://depositfiles.com/files/614dn273v
http://www.sendspace.com/file/6r4ls4

| Сообщение посчитали полезным: negoday, CyberGod, ClockMan, obfuskator, tihiy_grom, yanus0, Vnv, Flint, _ruzmaz_, vnekrilov, hlmadip, Gideon Vi, sendersu, Dart Sergius, yagello, Dart Raiden, Smon, DimitarSerg

yoza

Ранг: 1.3 (гость)
Статус: Участник

Создано: 19 декабря 2011 13:05:32 New!
· Личное сообщение · #7

It's a great job!, Thank you PE_Kill.
Good luck and keep working...

Oh, BTW.. Have a nice day to all of you. Hopefully you always in a good healthy condition.

Best regards,
-=yoza=-
Lo

Ранг: 23.4 (новичок)
Статус: Участник

Создано: 19 декабря 2011 21:12:23 New!
· Личное сообщение · #8

Интересно, а почему не распаковывает ASPack даже со второго тычка, выдает "unpack error, ASPack", ограничение технологии FLY-CODE или еще что-то?
SaNX

Ранг: 417.8 (мудрец)
Статус: Участник
Android Reverser

Создано: 19 декабря 2011 21:57:34 New!
· Личное сообщение · #9

А где же клерк с заявлением, что пекилка неудачнег и не правильно разреверсил веба, раз хуйово распаковывает, а?
ARCHANGEL


Ранг: 622.5 (!)
Статус: Участник
ALIEN Hack Team

Создано: 19 декабря 2011 23:43:58 New!
· Личное сообщение · #10

Lo пишет:
Интересно, а почему не распаковывает ASPack даже со второго тычка

Да там множество пакеров не анпакается, я уж не говорю про протекторы.

SaNX пишет:
... хуйово распаковывает

Это ещё мягко сказано.

Всё это доказывает лишь то, что нет универсального решения на все случаи жизни, чтоб там Клерк ни пел.
ClockMan


Ранг: 447.2 (мудрец)
Статус: Участник
оптимист

Создано: 20 декабря 2011 01:04:05 New!
· Личное сообщение · #11

SaNX пишет:
А где же клерк с заявлением

Пишет на бумаге код и пытается его откомпелировать через сканнер

| Сообщение посчитали полезным: Dart Sergius

PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 20 декабря 2011 08:33:57 New!
· Личное сообщение · #12

Lo пишет:
Интересно, а почему не распаковывает ASPack даже со второго тычка

Где то я накосячил. Самое интересное, что под отладчиком со второго раза таки анпакается, что наводит на мысль о кривых колбеках работы с памятью. В любом случае не вижу смысла это обновлять и развивать.
Gideon Vi


Ранг: 1005.9 (!!!!)
Статус: Участник

Создано: 21 декабря 2011 02:53:17 · Поправил: Модератор New!
· Личное сообщение · #13

ARCHANGEL пишет:
Всё это доказывает лишь то, что нет универсального решения на все случаи жизни


Quick Unpack 3,0
От модератора: старьё же, даёшь 4.2!


PE_Kill пишет:
В любом случае не вижу смысла это обновлять и развивать.


а как по мне - забавная игрушка, спасибо за труд.
BoRoV


Ранг: 534.7 (!)
Статус: Uploader
retired

Создано: 21 декабря 2011 09:24:48 New!
· Личное сообщение · #14

Gideon Vi пишет:
Quick Unpack 3,0

А что такое есть? Где можно почитать?

| Сообщение посчитали полезным: vnekrilov

r99


Ранг: 317.5 (мудрец)
Статус: Участник

Создано: 21 декабря 2011 10:38:02 New!
· Личное сообщение · #15

как идентификатор протов- хороша?
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 21 декабря 2011 10:45:03 · Поправил: PE_Kill New!
· Личное сообщение · #16

r99 у меня была мысль сделать на базе DrWeb Fly-Code плагин для PEiD и DiE, для детекта протов (там и версию выводить можно). Но хз, нужен ли плагин на ~70 метров.
ClockMan


Ранг: 447.2 (мудрец)
Статус: Участник
оптимист

Создано: 21 декабря 2011 10:49:53 New!
· Личное сообщение · #17

PE_Kill пишет:
Но хз, нужен ли плагин на ~70 метров

В эпоху развития интернета и прогресса это маленький размер ещё

| Сообщение посчитали полезным: hlmadip, -Sanchez-

Hellspawn


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 21 декабря 2011 13:51:15 New!
· Личное сообщение · #18

пекилко, а исходники не хочешь зарелизить? если сам допиливать не будешь
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 21 декабря 2011 14:00:56 New!
· Личное сообщение · #19

мм, об этом я тоже думаю. Все таки это серьезный продукт ;)
GPcH


Ранг: 611.6 (!)
Статус: Участник
Автор VB Decompiler

Создано: 21 декабря 2011 21:34:02 New!
· Личное сообщение · #20

PE_Kill пишет:
у меня была мысль сделать на базе DrWeb Fly-Code плагин для PEiD и DiE


Хорошая мысль. Размер тут не критичен - игры для андроида и те по 500-600 мегабайт идут и качаются через телефон. А тут нужный софт.
sendersu

Ранг: 427.3 (мудрец)
Статус: Участник

Создано: 22 декабря 2011 00:29:17 New!
· Личное сообщение · #21

PE_Kill
классная идея, спасибо
новые базы веббера можно подкидать, или надо пересобирать утиль
DrGolova


Ранг: 199.6 (ветеран)
Статус: Участник
www.uinc.ru

Создано: 22 декабря 2011 07:30:01 New!
· Личное сообщение · #22

market bullshit этот fly-code
я тоже было повелся, что он рвёт все пакеры на британский флаг. проверил - обычный эмулятор, который пытается искать возможные точки входа, чтобы класть позиционно-зависимые сигнатуры. видимо до потоковых поисковых деревьев в дохтуре еще не доросли.
Учитывая эмуляторную природу на говнокрипторах оно должно сосать, на протекторах что тырят ЕР оно должно сосать... много где должно сосать... аспак с upx может и возьмет, хотя с последним не факт - там переход на EP может быть в той же странице, что и декомпрессор.
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 22 декабря 2011 07:54:11 · Поправил: PE_Kill New!
· Личное сообщение · #23

DrGolova это не обычный эмулятор. Там есть зачатки подпроцедур, уникальных для пакера/прота. UPX там в статике анпакается. Там просто помойка из накиданного кода. Такое ощущение, что пишется всё на асме дефайнами.

PS Но само убили текстовые сигнатуры, выдернутые не то с PEiD не то с PETools, которые при инициализации конвертятся в бинарное представление
Gideon Vi


Ранг: 1005.9 (!!!!)
Статус: Участник

Создано: 1 января 2012 13:13:15 New!
· Личное сообщение · #24

PE_Kill, а на какой системе лучше гонять?

File packed by ENIGMA
Save STEP1_ENIGMA.exe... OK
File packed by FLY-CODE
Save STEP2_FLY-CODE.exe... OK
File packed by BINARYRES
File packed by FLY-CODE
Save STEP4_FLY-CODE.exe... OK
Unpack error.
PE_Kill


Ранг: 791.4 (! !)
Статус: Участник
Шаман

Создано: 1 января 2012 13:46:35 New!
· Личное сообщение · #25

Gideon Vi пишет:
а на какой системе лучше гонять?

Без разницы, он же статический.

У себя на сайте http://peco.at.ua/ я сделал опрос "Нужно ли развивать распаковщик на базе DrWeb FLY-CODE?" (слева снизу), проголосуйте.
Gideon Vi


Ранг: 1005.9 (!!!!)
Статус: Участник

Создано: 1 января 2012 14:08:17 New!
· Личное сообщение · #26

PE_Kill пишет:
(слева снизу), проголосуйте


проголосовал за первый вариант, хотя и второй тоже подходит.
yagello

Ранг: 72.1 (постоянный)
Статус: Участник

Создано: 1 января 2012 14:58:32 New!
· Личное сообщение · #27

PE_Kill пишет:
У себя на сайте http://peco.at.ua/ я сделал опрос

попробовал проголосовать:
Code:
  1. Page Not Found (404)
  2. Страница "http://peco.at.ua/?answer=2&id=2&a=1&ajax=752" не найдена.
Kaimi

Ранг: 59.5 (постоянный)
Статус: Участник

Создано: 1 января 2012 15:33:21 New!
· Личное сообщение · #28

yagello пишет:
попробовал проголосовать:
Code:

Page Not Found (404)
Страница "http://peco.at.ua/?answer=2&id=2&a=1&ajax=752" не найдена.

NoScript часом не стоит в браузере?

| Сообщение посчитали полезным: yagello

Jupiter


Ранг: 498.1 (мудрец)
Статус: Модератор
Research & Development

Создано: 1 января 2012 18:41:25 New!
· Личное сообщение · #29

yagello пишет:
попробовал проголосовать


Должен быть разрешён JavaScript для ucoz.net

| Сообщение посчитали полезным: yagello

Hexxx


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 11 января 2012 18:40:18 · Поправил: Hexxx New!
· Личное сообщение · #30

Molebox не может распаковать
Code:
  1. File packed by MOLEBOX
  2.  Save STEP1_MOLEBOX.exe... OK
  3. File packed by BINARYRES
  4. Unpack error.

это оно так многослойное показывает?
. 1 . 2 . >>
 eXeL@B —› Софт, инструменты —› Dr.WEB FLY-CODE Unpacker

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS