eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: -Sanchez-, SDK (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
Посл.ответ Сообщение

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 31 марта 2018 12:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #1

Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK



Ранг: 119.4 (ветеран)
Статус: Участник

Создано: 1 мая 2018 13:57 New!
Цитата · Личное сообщение · #2

Народ а чем вам VM Unpacker не нравится?
Может свежие версии будут ?

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 17 мая 2018 22:20 New!
Цитата · Личное сообщение · #3

SDK Похоже вы сами одним вопросом ответили на другой.
Кто знает, может быть XVolkolak когда-нибудь станет публичным в исходниках.

Добавлено спустя 2 минуты
Свежие версии, XVolkolak 0.17:

OS X: https://www.dropbox.com/s/uzx3pnbv329t7tk/xvlk_mac_portable_0.17.dmg?dl=1
Windows 7-10: https://www.dropbox.com/s/ddyop16zpjf948b/xvlk_win32_portable_0.17.zip?dl=1
Windows XP: https://www.dropbox.com/s/vet22akmovlkch6/xvlk_winxp_portable_0.17.zip?dl=1

| Сообщение посчитали полезным: hors, mak, v00doo


Ранг: 241.5 (наставник)
Статус: Участник

Создано: 18 мая 2018 09:42 New!
Цитата · Личное сообщение · #4

changelog?

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 18 мая 2018 11:57 New!
Цитата · Личное сообщение · #5

TryAga1n пишет:
changelog?

В основном исправление ошибок, зависонов на битых файлах и т.п.
Плюс распаковка PeX.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 30 мая 2018 09:10 · Поправил: hypn0 New!
Цитата · Личное сообщение · #6

XVolkolak 0.18
MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] Exefog
[+] Beroexepacker
[+] AHpacker
[*] bugfixes

| Сообщение посчитали полезным: hors, Ultras


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 6 июня 2018 23:37 New!
Цитата · Личное сообщение · #7

XVolkolak 0.19

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] nPack
[+] Fish PE Packer

| Сообщение посчитали полезным: hors, AKAB, v00doo, mak, XX-J



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 8 июня 2018 00:41 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #8

Потестил чуть на простых вещах (UPX, AsPack и проч) - работает (Win 10 x64), спасибо за годный инструмент.

P.S. по UX - не хватало драг-дропа
P.P.S - стоит ли репортить то что тулза не осилила из коробки, если оно официально не заявлено как поддерживаемое и если оно - не простой пакер, а прот-старичёк (со статик анпакерами в паблике)?

Добавлено спустя 43 минуты
Наткнулся таки на UPX с которым что-то идет не так.

Исходный файлик:
https://mega.nz/#!BJFQhZKa!vOO28yzDIxcvQRJwAaEwn_bEr7TVqANnsFgSx8S6buY

Анпакнутый сабжем в автоматическом режиме (не advanced) - при запуске эксепшн:
https://mega.nz/#!FNdUkKiR!YhCG3pzPM6sivwYpRjplit-ff0RV_LvtxhwuisKEogc

Анпакнутый через upx -d
https://mega.nz/#!URslRR5Y!k5ANw5Wi6ZvFY15diw4o6dJATQkIBCS37wPyLFw9Db8

| Сообщение посчитали полезным: hors


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 8 июня 2018 08:53 · Поправил: hypn0 New!
Цитата · Личное сообщение · #9

4kusNick пишет:
стоит ли репортить то что тулза не осилила из коробки

Конечно стоит. Спасибо.

Добавлено спустя 18 минут
4kusNick пишет:
- при запуске эксепшн:

Ну это не exception, но ошибка да, есть.

На самом деле очень много такого, что распаковалось, но криво запускается (фактически нет) как в этом случае.
Бывает и хуже, когда при запуске реальный exception (но это обычно если OEP криво определилась). А тут при запуске хоть пытается и даже лог создает.

Дело в том, что сейчас тестируем автоматически. Есть кучи файлов - запускаем через консольную версию. Если выходной файл создался - хорошо. При этом многое распакованное может не работать. Проверять вручную вообще не вариант (файлов десятки тысяч, а dll еще сложнее проверять).
А еще прога может проверять себя, в этом случае еще дольше разбираться.

Есть и более корректные тесты на специальных образцах и для этой версии UPX такой образец есть, видимо что-то пошло не так.
Но для многих пакеров/протекторов такие образцы не изготовить, так как нет в паблике самих пакеров. А значит потом каждый ошибочный файл придется смотреть вручную.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 8 июня 2018 11:11 New!
Цитата · Личное сообщение · #10

hypn0 пишет:
Конечно стоит. Спасибо.

Вот этот файлик тогда гляньте, там PESpin:
https://mega.nz/#!ENElEaSB!D9v_6d4VmjZyAEIhwR921QGVOYJUrCZ3Vy-d2TrUpb4

В логе:
Code:
  1. ...
  2. [Info] Add hooks
  3. [Info] Running
  4. [Info] Address: 140421d72
  5. [Error] Address: 0x140421fd3[0xc0003000] Read from invalid memory address:c0003000, size:1
  6. [Error] 140421fd3:(Memory error) Read from invalid memory address:c0003000, size:1
  7. [Error] Cannot unpack file(D:/Soft/SysInfo/RealBench/RealBench.exe)


Не уверен что надо, но на всякий случай вся софтина с остальными файлами:
https://mega.nz/#!9BFkADxQ!l0YWOpkb4pPH-fqKWqse9kVwxhJbv4CbbtRreh2XPAE

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 8 июня 2018 17:06 New!
Цитата · Личное сообщение · #11

4kusNick
Спасибо. Про PESpin в курсе. Он пока не поддерживается. Из протекторов сейчас под руками как минимум 60 разных, с десятками образцов каждый. Из них 2/3 пока не поддерживается.

Но с протекторами другая ситуация. Обещалось, что некоторые в паблик-сервии и не будут поддерживаться. И вот тут нужно решать какие всё-таки добавить, а какие не нужно. Конечно всякое старьё, которое сейчас можно снять автоматически, будет добавлено. Работы очень много, а процесс не быстрый и ускорить его не представляется возможным (даже донатами).

Ранг: 0.9 (гость)
Статус: Участник

Создано: 11 июня 2018 20:07 New!
Цитата · Личное сообщение · #12

Попробовал версию 0.19 на видео демках - только одна "fr-08" после распаковки запускается и отрабатывает полностью. Остальные даже не запускаются.
Вот архив с оригинальными и распакованными демками: http://ge.tt/6tObP7q2

| Сообщение посчитали полезным: hors



Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 11 июня 2018 20:32 New!
Цитата · Личное сообщение · #13

XX-J пишет:
Попробовал версию 0.19 на видео демках - только одна "fr-08" после распаковки запускается и отрабатывает полностью. Остальные даже не запускаются.
Вот архив с оригинальными и распакованными демками: http://ge.tt/6tObP7q2


Спасибо за файлы. Будем разбираться.

| Сообщение посчитали полезным: XX-J


Ранг: 0.9 (гость)
Статус: Участник

Создано: 14 июня 2018 21:01 New!
Цитата · Личное сообщение · #14

Зачем нужен 27-и КБ XVlk.exe ? Можно ли использовать XVolkolak без него, запуская XVlk.exe из папки base ?


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 14 июня 2018 23:38 New!
Цитата · Личное сообщение · #15

XX-J пишет:
Зачем нужен 27-и КБ XVlk.exe ?


Он просто запускает файл из base. Есть люди которые не могут найти файл который нужно запускать в большой папке.

XX-J пишет:
Можно ли использовать XVolkolak без него, запуская XVlk.exe из папки base ?


Можно.

| Сообщение посчитали полезным: XX-J, 4kusNick


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 28 июня 2018 21:27 · Поправил: hypn0 New!
Цитата · Личное сообщение · #16

XVolkolak 0.20

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] Packman
[+] kkrunchy

| Сообщение посчитали полезным: hors, Vintersorg, mak, v00doo, RevCred, 4kusNick, plutos, XX-J



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 29 июня 2018 10:27 New!
Цитата · Личное сообщение · #17

hypn0
При клике по ссылочкам в About ничего не происходит (Win 10 x64 1709, Default Browser: Chrome x64 67).
ПКМ -> Copy Link Location - работает

| Сообщение посчитали полезным: hors



Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 29 июня 2018 11:01 New!
Цитата · Личное сообщение · #18

4kusNick пишет:
hypn0
При клике по ссылочкам в About ничего не происходит (Win 10 x64 1709, Default Browser: Chrome x64 67).
ПКМ -> Copy Link Location - работает


Спасибо за тестирование. Это будет исправлено.

Ранг: 508.6 (!)
Статус: Модератор

Создано: 1 июля 2018 13:23 New!
Цитата · Личное сообщение · #19

красивая пасхалка! респект
правда непонятно что такое происходит через пару мин - http://i.prntscr.com/JdFRZKmZSZiW08i0FDDJnA.png
или так http://i.prntscr.com/Mj7h4bJlQo61qnLWzgNtoA.png
2) еще просьба добавить версионность
http://i.prntscr.com/HIIrzQUiTCOXNn2uspsF_g.png

ver 0.20

| Сообщение посчитали полезным: v00doo, 4kusNick, hors


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 1 июля 2018 15:02 New!
Цитата · Личное сообщение · #20

sendersu пишет:
красивая пасхалка! респект

Блин... Думали не найдут.
Там всё очень криво и падает. В следующей версии должно быть лучше.

Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 1 июля 2018 17:42 New!
Цитата · Личное сообщение · #21

hypn0 пишет:
Блин... Думали не найдут.
-> сообщение на форуме реверсеров

| Сообщение посчитали полезным: hors


Ранг: 241.5 (наставник)
Статус: Участник

Создано: 1 июля 2018 17:44 New!
Цитата · Личное сообщение · #22

hypn0, перебиндить бы пробел на вниз

| Сообщение посчитали полезным: hors


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 1 июля 2018 19:53 · Поправил: hypn0 New!
Цитата · Личное сообщение · #23

TryAga1n пишет:
перебиндить бы пробел на вниз

Он и так на вниз. Я же сказал, что там всё очень плохо.

Добавлено спустя 13 часов 59 минут
v00doo пишет:
сообщение на форуме реверсеров

Это больше похоже на поведение тестировщиков. Зачем людей в About понесло, да еще и кликать там по всему подряд?
Причем и версия софтины далеко не первая. Точно тут тайные тестеры обитают.

| Сообщение посчитали полезным: 4kusNick



Ранг: 291.1 (наставник)
Статус: Участник

Создано: 2 июля 2018 21:21 New!
Цитата · Личное сообщение · #24

hypn0

Тестировщиков ?

Не так это тестируется, это лишь указание на встреченный баг. Нормальное тестирование предполагает атаки(в частности синхро). До этого жертва изучается, а затем выполняется серия атак, только так что то может быть проверено на стабильность.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 2 июля 2018 23:52 New!
Цитата · Личное сообщение · #25

difexacaw пишет:
Не так это тестируется

Полностью согласен с вами, коллега. Но других тестировщиков у меня для вас нет.
Почему-то за последние три месяца никто тут (может в личке автору) не написал, что распаковщик падает на некоторых VMProtect. Причем падает как минимум по двум разным причинам (таких образцов уже штуки 4 набрали).
Следовательно, никому стабильность не нужна. Изучение окна About намного более интересно.


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 3 июля 2018 00:54 New!
Цитата · Личное сообщение · #26

hypn0 пишет:
Изучение окна About намного более интересно

а там безопасно, и пасхалки.
ну а так, конечно зачётный вывод.

| Сообщение посчитали полезным: 4kusNick



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 3 июля 2018 01:52 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #27

hypn0 пишет:
распаковщик падает на некоторых VMProtect


А что, так можно было?
Я как прочитал в шапке

However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:...

Так даже и не пытался испытывать тулзу на чем-то серьезном =\

Bronco пишет:
а там безопасно, и пасхалки.

Да, там всегда намного уютнее, и часто что-то интересное есть!

difexacaw
Какие-то варварские методы у вас)

Хорошие тестировщики не только на кнопочки жмякают, они как минимум автоматизируют это жмяканье, пишут воспроизводимые тесты, в том числе с параллельным совершением действий.
Грубыми атаками вы только все сломаете, так и не поняв что именно упало и почему (разве что разрабу придется ваши атаки пробовать повторять и в отладчике потом причины искать что моветон).
Тесты, тест-кейсы, как построенные в специализированном ПО так и написанные кодом (хорошие тестировщики умеют кодить, да) как раз позволяют отследить источник проблемы в возможностью воспроизвести баг после обнаружения.

Если только вы не называете тесты атаками, тогда вы почти верно все описали, просто как-то не по-людски)

| Сообщение посчитали полезным: TryAga1n, plutos, v00doo


Ранг: 241.5 (наставник)
Статус: Участник

Создано: 3 июля 2018 05:36 New!
Цитата · Личное сообщение · #28

hypn0, аналогичная с 4kusNick ситуация. Поскольку было написано, что паблик умеет только в пакеры, даже не пытался пропихивать ему проты. Если хотите масштабный тест, то выложили бы одну из приватных версий, тогда и тесты веселее пошли и обнаружились баги с протами

| Сообщение посчитали полезным: plutos, Bronco



Ранг: 482.5 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 3 июля 2018 05:51 New!
Цитата · Личное сообщение · #29

TryAga1n пишет:
Если хотите масштабный тест, то выложили бы одну из приватных версий, тогда и тесты веселее пошли и обнаружились баги с протами


+1!

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 3 июля 2018 09:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #30

TryAga1n пишет:
даже не пытался пропихивать ему

Эмм... А тут точно реверсеры?

TryAga1n пишет:
выложили бы одну из приватных версий

На самом деле эта версия сейчас единственная. Просто что-то принудительно отключено, а что-то изначально не распаковывается и пока не добавлялось.

Некоторые ранние VMProtect в Generic режиме отлично анпакаются. И вроде даже файл рабочий получается. Но не помню, может что-то другое было.

В любом случае никто не запрещает подсовывать любые файлы. Хоть даже не упакованные.

Что касается масштабного теста. В автомате протестировано на более чем 1 миллионе разных исполняемых файлах. Упакованных/защищенных из них было порядка 20%. Падения (exception) были только на 2-3. В общем всё работает очень стабильно. Сейчас нужен масштабный тест того, что поддерживается и рабочие ли файлы получаются.

Еще какие-то версии Armadillo в режиме Generic тоже распаковываются.

Ранг: 241.5 (наставник)
Статус: Участник

Создано: 3 июля 2018 11:37 New!
Цитата · Личное сообщение · #31

hypn0 пишет:
А тут точно реверсеры?

Не возьмусь говорить за всех, но лично я - домохозяйка.

hypn0 пишет:
Некоторые ранние VMProtect в Generic режиме отлично анпакаются

hypn0 пишет:
какие-то версии Armadillo в режиме Generic тоже распаковываются

Позвольте уточнить - проты использовались с опциями защиты или просто как пакер?
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS