eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: ajax (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
Посл.ответ Сообщение

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 31 марта 2018 12:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #1

Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK



Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 31 марта 2018 14:16 New!
Цитата · Личное сообщение · #2

Интересно. drag'n'drop не хватает.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 1 апреля 2018 11:36 New!
Цитата · Личное сообщение · #3

Если отталкиваться от практического применения, то все эти пляски с эмуляцией нужны разве что аверам. Думаю, что соответствующие инструменты у них есть.
В остальном же профит скорее отрицательный.


Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 1 апреля 2018 13:01 · Поправил: difexacaw New!
Цитата · Личное сообщение · #4

Эмулит qemu.

Это апп не визор и не песочница. Это не понятно что. Если нет полной изоляции или контроля на сервисном уровне, то опасный код может покинуть среду вм.

Добавлено спустя 28 минут
Криптован чем то примитивным, upx вроде, но при этом сам себя распаковать не способен. Что бы выяснить как этот сомнительный инструмент работает следует собрать простейший пример, накрыть известным ему слоем криптора и отследить любой ядерный вызов. При использовании вм вариант лишь один - оно напрямую запускает ядерные сервисы, тоесть допускает прямое выполнение кода. Иначе должны быть массивные ядерные фильтры, этого нет в приложении. Таким образом это просто набор костылей, заколхоженных в кучу - capstone, qemu etc, которые не контролируют запуск апп, не смотря на рекламу.

| Сообщение посчитали полезным: hors



Ранг: 133.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 1 апреля 2018 19:09 · Поправил: hors New!
Цитата · Личное сообщение · #5

difexacaw пишет:
Что бы выяснить как этот сомнительный инструмент работает следует собрать простейший пример, накрыть известным ему слоем криптора и отследить любой ядерный вызов.


Собрал простейший пример, накрыл известным слоем криптора. Теперь осталось отследить любой ядерный вызов.
Напиши как это лучше сделать. Давай вместе разоблачим автора этого сомнительного инструмента чтобы он больше не обманывал людей.

| Сообщение посчитали полезным: daFix, v00doo



Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 1 апреля 2018 21:14 New!
Цитата · Личное сообщение · #6

Что-то я сильно сомневаюсь, что вмпротект, аспротект и прочие вот так легко поддадутся. Автору бы неплохо снять хотя бы видео и выложить какой-нибудь анпакми (упакованный и распакованный), а то как-то неубедительно.


Ранг: 133.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 1 апреля 2018 22:18 · Поправил: hors New!
Цитата · Личное сообщение · #7

ARCHANGEL пишет:
Что-то я сильно сомневаюсь, что вмпротект, аспротект и прочие вот так легко поддадутся. Автору бы неплохо снять хотя бы видео и выложить какой-нибудь анпакми (упакованный и распакованный), а то как-то неубедительно.


А кроме видео и каких-нибудь анпакми больше ничего не нужно?

Ты друг вероятно что-то перепутал. Автор не нуждается в дешёвой популярности и не собирается здесь кому-то что-то доказывать.
Если лично тебе что-то кажется сомнительным, то это конечно очень плохо и неприятно, но к большому сожалению не является проблемами автора.


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 2 апреля 2018 01:13 New!
Цитата · Личное сообщение · #8

hors

Автор может меньше понтоваться? Вот те very easy упаковщики как-то уж снимали и без его тулы. Нет, за тулу автору спасибо, какое бы оно там ни было, но оно в паблике и бесплатно. Потому тут никаких наездов быть не может. Но, как я понимаю, автор собирается дальше продавать версию для анпака протекторов? Или что автор собирается? И долго мы будем говорить об авторе в третьем лице?


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 2 апреля 2018 02:46 New!
Цитата · Личное сообщение · #9

ARCHANGEL пишет:
Автор может меньше понтоваться?


понты дороже денег.

| Сообщение посчитали полезным: hors


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 2 апреля 2018 10:29 · Поправил: hypn0 New!
Цитата · Личное сообщение · #10

Вы чего на автора наехали? Это я рассказал про релиз, на меня и наезжайте. hors просто сделал анонс у себя на сайте, я увидел и рассказал. Мог бы не делать, предыдущие версии и так сразу получаю.

ARCHANGEL Вот не в обиду, но рекомендую почитать книгу: Даниел Канеман "Думай медленно, решай быстро". Она поможет мыслить немного корректнее. Я до сих пор не могу понять откуда взялось предположение о том, что hors хочет что-то продавать. Было сказано то, что для протекторов в паблике не появится. Не нужно додумывать то, чего не было сказано. В книжке как раз много подобных примеров.

difexacaw На основании чего были сделаны выводы, что это всё "набор костылей"? Неужели так быстро всё смогли разобрать и понять что там внутри? Может проще сначала спросить у автора? В общем эту же книжку порекомендую.

Вот глядя на такую реакцию я очень сомневаюсь, что hors будет релизить следующие версии. Так как критика должна быть конструктивной, а не в виде основанных на догадках наездах.

Сейчас наброситесь на меня. Набрасывайтесь. Расстраиваться не буду.

| Сообщение посчитали полезным: hors


Ранг: 8.9 (гость)
Статус: Участник

Создано: 2 апреля 2018 10:29 · Поправил: dsrabot1 New!
Цитата · Личное сообщение · #11

ARCHANGEL
Так hors же автор, просто, видимо любит о себе в 3м лице

ARCHANGEL пишет:
автор собирается дальше продавать версию для анпака протекторов

Тоже не понятно... Думаю не собирается, по крайней мере для всяких noname'ов с форумов. Возможно, каким-то АВ-конторам можно продаться с поддержкой, Хорс, может прольешь лучик света на идею сего творения ?

По теме: на паре сэмплов отработал отлично (на заявленных NSPack/ASPack), больше не тестил.

add: hors, в паблик то понятно, что не появится, а на счет в личку таргет, от тебя анпак, такой вариант возможен ?


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 2 апреля 2018 10:36 New!
Цитата · Личное сообщение · #12

hypn0, думаю, что hors сам прекрасно справится с любой критикой.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 2 апреля 2018 17:35 New!
Цитата · Личное сообщение · #13

ARCHANGEL пишет: Что-то я сильно сомневаюсь, что вмпротект, аспротект и прочие вот так легко поддадутся

С чего вы решили, что vmprotect сложно обработать в эмуляторе? В нём нет какой-то злой антиотладки, вся сложность это разбор самой vm. Сабж это эмулятор и набор правил для пакеров с протами, описание выхода на oep и сигнатуры oep (это не точно, сабж не смотрел), если автор разобрал vm, какая тогда разница эмулятор это или трейсер на debug-api.

difexacaw пишет: Это апп не визор и не песочница.

Разве утверждалось обратное? Это не визор и не песочница, а зачем она для простого анпакера простых пакеров? Это не av продукт, а анпакер, последнему не страшен побег из под эмуляции, а если кто-то анпачит малварь на живой системы то он идиот.

| Сообщение посчитали полезным: CyberGod, hors



Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 2 апреля 2018 18:16 New!
Цитата · Личное сообщение · #14

hypn0

> На основании чего были сделаны выводы, что это всё "набор костылей"? Неужели так быстро всё смогли разобрать и понять что там внутри?

Я в теме довольно много лет, более десяти, если вы смотрите на дату реги - то этот акк один из клононов. Имея соответствующий опыт и вы сможите за минуты листая дизасм понять как оно устроено.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 2 апреля 2018 18:56 New!
Цитата · Личное сообщение · #15

difexacaw От всей души поздравляю.

А мне не нужно, я и так знаю что там внутри.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 3 апреля 2018 03:04 New!
Цитата · Личное сообщение · #16

shellstorm пишет:
Это не av продукт, а анпакер, последнему не страшен побег из под эмуляции


не отрицая глупость работы на живой системе, процитирую автора

hypn0 пишет:
You can safely unpack malware for further investigation without the risk of damaging the system.


что, впринципе, вполне возможно, учитывая настолько полную эмуляцию

hypn0 пишет:
It is possible to unpack 64 bit files on 32 operating systems.


только вот оно из-за этого медленное, что ппц. Трясите лучше Арчи, чтобы побыстрее QU x64 расчехлял

Ранг: 0.0 (гость)
Статус: Участник

Создано: 3 апреля 2018 07:52 New!
Цитата · Личное сообщение · #17

Gideon Vi пишет: только вот оно из-за этого медленное, что ппц.

qemu всегда был слоупочным, драйвер виртуализации для qemu немного добавляет скорости. С безопасным исполнением у qemu не очень, не так давно (в этом году) был свежий эксплоит под него, которых и без него целый вагон. Проект очень старый и сказывается легаси, очень много старого, некачественного кода. Толку трясти, там практически всё нужно переписывать, вплоть до парсера pe с сидовским драйвером (очень грязный проект, если судить по стриперу), сомневаюсь, что арчер будет тратить время. Мне собственно не нужен анпакер с волшебной кнопкой лично мне, но такие проекты хороши тем, что избавляют форум от тем, а почему у меня upx не распаковывается или не получается сдампить.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 3 апреля 2018 10:05 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #18

shellstorm пишет:
с сидовским драйвером


насколько я помню, там уже переписано Арчером. Остальное тоже на уровне. Хотя, сейчас придёт difexacaw и...

Ранг: 245.5 (наставник)
Статус: Участник

Создано: 3 апреля 2018 15:11 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #19

Снова вы срачики разводите.

Вопрос к автору:
Упаковал дефлтный делфи апп простейшим пакером от TMX !EPack 1.4 final
Переход на ЕП производится через:
0045F036 B8 E0CF4400 mov eax, Project1.0044CFE0
0045F03B FFE0 jmp eax

При анализе и попытке распаковки получаю
[Error] Read from invalid memory address:190000, size:4
[Error] 45f035Memory error) Read from invalid memory address:190000, size:4

hors, в чем кроется трабла? Семпл и логи в аттаче.

{ Атач доступен только для участников форума } - trouble.rar

p.s.: затестил еще на ACProtect 2.0 с дефолтными опциями - та же ошибка, хотя прот вроде заявлен как поддерживаемый
p.p.s.: если в имени таргета есть точка, то распакованый файл получает кривое имя (было upx3.08.exe, стало upx3.unp.08.exe), хотя имена логов имеют нормальное имя

| Сообщение посчитали полезным: 4kusNick, hors, mak



Ранг: 133.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 4 апреля 2018 11:33 · Поправил: hors New!
Цитата · Личное сообщение · #20

TryAga1n пишет:
hors, в чем кроется трабла? Семпл и логи в аттаче.


Спасибо за багрепорт и логи.

Новая версия.

--> Link <--

[+] Добавлен обработчик для !EP(Exe Pack)
[+] Исправлена ошибка с именем распакованного файла.
[-] ACProtect удален(for obvious reasons).

| Сообщение посчитали полезным: CyberGod, Orlyonok


Ранг: 245.5 (наставник)
Статус: Участник

Создано: 4 апреля 2018 11:37 New!
Цитата · Личное сообщение · #21

hors, а вообще расширение набора конкретных пакеров-протов нужно или вы стремитесь к универсальности? Потому что у меня большая коллекция и могу еще много тестов провести.


Ранг: 133.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 4 апреля 2018 12:11 · Поправил: hors New!
Цитата · Личное сообщение · #22

TryAga1n пишет:
hors, а вообще расширение набора конкретных пакеров-протов нужно или вы стремитесь к универсальности? Потому что у меня большая коллекция и могу еще много тестов провести.


Расширение набора конкретных пакеров нужно, но только если упаковщик более-менее распрастранённый. Думаю нет смысла добавлять какой-нибудь "ABC123 private Crypt0r" если шансов его встретить очень мало.

Система работает так - определяется упаковщик, если есть обработчик для него, то он используется, если нет то используется метод "generic". Generic не может распаковывать всё, так как иногда бывают нюансы которые учитываются только в отдельных обработчиках.

Ранг: 245.5 (наставник)
Статус: Участник

Создано: 4 апреля 2018 21:32 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #23

Потестил вечерком на АСПрах 1.00-2.51 с разными опциями, ни один не анпакнулся.
https://www.sendspace.com/file/abkafy

Вроде сигнатура аспра детектится программой, но при анализе и распаковке, как я понял, работает generic. Это нормально?

| Сообщение посчитали полезным: hypn0, hors


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 5 апреля 2018 01:10 New!
Цитата · Личное сообщение · #24

TryAga1n Правильно. Написано же, что коммерческие протекторы публичная версия не будет распаковывать.
Сейчас задача хотя бы обычные пакеры проверить. Даже с UPX возникают незначительные проблемы, но тем не менее их нужно устранять и на это нужно время.

А за образцы спасибо.

| Сообщение посчитали полезным: hors


Ранг: 245.5 (наставник)
Статус: Участник

Создано: 5 апреля 2018 18:40 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #25

Небольшой багрепорт, сегодня без логов, но если на какие-то моменты нужно, то сделаю.

Что удалось анпакнуть generic'ом:
AHPacker v0.1 by FEUERRADER
BeRoEXEPacker 1.0
dpe 0.1 by deroko
DYAMAR Protector 1.3.6
JDpack 1.01
Packman 0.0.0.1
PEncrypt 4.0p
Petite 1.2
Petite 1.3
Petite 1.4

Баги:
При распаковке некоторых пакеров по кнопке Unpack получаем облом, а если сделать анализ и затем анпак, тогда распаковывает. Думаю так не должно быть.
FSG 1.0, 1.1, 1.2 - автоматом определяется как UPX, нужно явно указывать и упакованый 15кб, а распакованый 1,1мб
FSG 1.3, 1.3.1, 1.3.3 - упакованый 15кб, а распакованый 1,1мб
При попытке распаковать что-нибудь с антиотладочным SEH-триком, а-ля y0da's crypter или Goat's PE Mutilator, получаем бесконечный анализ(ждал больше 2 часов)
hmimys-Packer 1.0(hmimys Protect 1.0) - семпл задетектился, но в распакованном файле криво встал ОЕП. После ручного исправления ЕП получился рабочий анпак.
ORiEN 2.11, 2.12 - создается распакованый файл, но он не распакован.
PECompact 2.79 - определился, но не распаковался
PESpin 0.1, 0.3, 0.7 - детектится как 1.0-1.2, не распаковывает
PESpin 1.1 - детектится(значит обработчик есть?), но не распаковывается. PESpin 1.3, 1.304, 1.33 - не детектится и не распаковывается

| Сообщение посчитали полезным: hors


Ранг: 0.0 (гость)
Статус: Участник

Создано: 5 апреля 2018 18:48 New!
Цитата · Личное сообщение · #26

раз автор принимает реквесты, тогда и я спрошу, автор планирует поддержку дропперов (установщики дропающие файлы из оверлея и ресурсов)? подзадобал делфийский кастом, когда в оверлее zlib с кастомным хидером и анпакера таких установщиков нет.


Ранг: 133.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 5 апреля 2018 19:17 New!
Цитата · Личное сообщение · #27

TryAga1n, Спасибо за багрепорт!

TryAga1n пишет:
FSG 1.0, 1.1, 1.2 - автоматом определяется как UPX, нужно явно указывать и упакованый 15кб, а распакованый 1,1мб
FSG 1.3, 1.3.1, 1.3.3 - упакованый 15кб, а распакованый 1,1мб


Можешь пример такого файла скинуть?

У меня вроде нормальные размеры получаются.



Добавлено спустя 2 минуты
shellstorm пишет:
раз автор принимает реквесты, тогда и я спрошу, автор планирует поддержку дропперов (установщики дропающие файлы из оверлея и ресурсов)? подзадобал делфийский кастом, когда в оверлее zlib с кастомным хидером и анпакера таких установщиков нет.


Если дроппер распространенный, то добавлю его поддержку.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 5 апреля 2018 19:37 New!
Цитата · Личное сообщение · #28

hors пишет: Если дроппер распространенный

В этом и проблема, что подобные установщики могут быть в единственном числе, на софте одного производителя, но функционал общий для них, создании папки, запаси\перемещение (если дроп в папку temp) удаление файлов, запись\удаление веток реестра. Хотелось бы дженерик, который перенаправляет запись файлов в папку soft_name_unpacked, а ключи реестра с попытками что-то удалить\перезаписать в текстовый файл, в идеале json. Детект можно делать по энтропии указывающей, что оверлей сжат, аномально большому оверлею или секции ресурсов, последнее не обязательно, адекватные установщики редко используют ресурсы, это не нравится av.

Ранг: 245.5 (наставник)
Статус: Участник

Создано: 5 апреля 2018 21:03 New!
Цитата · Личное сообщение · #29

hors, тестил на бинарниках самого упаковщика. хз, может какая-то особенность файлов, но уж слишком он сильно разрастается после распаковки, по сравнению с оригиналом.

{ Атач доступен только для участников форума } - FSG.rar

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 5 апреля 2018 22:01 New!
Цитата · Личное сообщение · #30

TryAga1n Про сильное увеличение размера распакованного файла в курсе. Надо править. Такое и на UPX-ах случается.
Если что-то удалось анпакнуть, то это очень хорошо.
В любом случае образцы куда-нибудь выложите, если не сложно.

И не смотря ни на что, кое-какие коммерческие протекторы также удается распаковать публичной версией. Ну конечно не этой, чуть постарше, но всё же.

Добавлено спустя 11 минут
shellstorm Немного не понял. Вам что нужно, распаковать дистрибутив или конкретный исполняемый файл?
Если файл, то почему бы не написать свой распаковщик? zlib отлично определяется и распаковывается.
Что касается "дженерика", который бы что-то там делал и куда-то складывал. Не нужно ждать когда за вас что-то сделают. Распаковывайте сами. Если ваш дистрибутив будет полностью запакован, тогда одно, но если что-то там распаковывается во время исполнения, тогда ищите решение сами.
Конечно можно распаковать всё что угодно. Можно написать распаковщик всего чего угодно. А толку то?

Хвастаться не хорошо, но я могу распаковать практически любой архив или SFX. На это я потратил годы. Зато сейчас могу. Присылайте образец, распакую.

| Сообщение посчитали полезным: hors

. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS