eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: user99 (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
Посл.ответ Сообщение

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 31 марта 2018 12:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #1

Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 3 июля 2018 16:47 New!
Цитата · Личное сообщение · #2

TryAga1n пишет:
но лично я - домохозяйка.

Шалом, коллега!

TryAga1n пишет:
проты использовались с опциями защиты или просто как пакер?

Если есть способ узнать это у готовых исполняемых файлов, то могу спросить.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 3 июля 2018 19:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #3

4kusNick

Стандартное тестирование это и есть клацанье по гую и оценка его работы. По нормальному всякий код, не важно что он делает, ставится в критические условия, это например не корректные аргументы для какой то процедуры, асинхронный к ним доступ или например если это криптор(пакер етц не суть важно), то обкатывается всё это на не стандарт формате и как минимум потоке инструкций. Как выше сказали что из миллионов выборок где то пару раз отваливается - это тесты на стандартных параметрах, а значит это и не тесты никакие, а повторение заданной последовательности, так косяки не могут быть найдены. Хотя с другой стороны для анпакеров и прочих подобных инструментов является нормальным, если он работает на паре файлов из сотни. А что отваливается это всё через раз - так на это никто даже внимания не обращает, просто это не сушественно, работа тулза проходит локально в дебаг" моде.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 3 июля 2018 20:07 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #4

hypn0
Как же все-таки не хватает поддержки drag&drop при частом использовании)

Начал было тестить тулзу на кучке протов, но перестал, т.к. есть какая-то ошибка из-за которой иногда не сохраняются файлы после анпака в автоматическом режиме, но если произвести распаковку через Advanced->Analyze->Unpack то файл сохраняется.

Воспроизводится стабильно на этом файле например:
https://mega.nz/#!tR1ECYhK!ikBSNw_OGJ0Cuq2f8M-3NdvBtSZBXOj28NjiMkJi1mk

Вся софтина:
https://mega.nz/#!sc9WDSqZ!e71EZesoK2pP3ziDYF9gwJE9txad1ytmhpphlklriqo

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 4 июля 2018 09:46 New!
Цитата · Личное сообщение · #5

4kusNick пишет:
drag&drop при частом использовании

Вообще-то там есть консольная версия и с помощью её всё можно автоматизировать.

Что касается этих файлов: ACProtect принудительно отключен. При этом в Generic при вручную указанной OEP возможно и распакуется.

Что касается ошибок. Options - Log - можно включить варнинги, ошибки и т.п. Но лучше консольную версию использовать. Она создает аж два файла. Один с ошибками сообщениями при анализе, второй при распаковке.

for %%X in (*) do xvlkc -s -e -E -w "%%X"
Можно еще ключиков с информацией добавить.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 4 июля 2018 17:40 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #6

hypn0 пишет:
Вообще-то там есть консольная версия и с помощью её всё можно автоматизировать.

Про консольную версию знаю, но у меня не настолько много файлов чтобы автоматизировать и я время от времени что-то пробую анпакать, лень через консоль заморачиваться) Дропнуть на окошко и жмякнуть пару кнопочек - вот наше все =D
Ведь так и будет использовать вашу утилитку 95% пользователей и им тоже будет очень нехватать drag&drop)

hypn0 пишет:
ACProtect принудительно отключен

а можно весь список отключенных, чтобы зря не репортить?

Например с Alex Protector - аналогичная проблема - не распаковывает по Unpack в обычном режиме (не advanced), при этом логов никаких не создается, логи есть только в Advanced режиме.

В Advanced после Analyze в логе разные ошибки, напр такое:

Code:
  1. ...
  2. [Disasm] 438059: jmp 0x43805c
  3. [Error] Address: 0x43805c[0x43805c] Invalid instruction: ffff60eb03eb03c7ebfbe801000000
  4. [Exception] 43805c: SEH: Invalid instruction: ffff60eb03eb03c7ebfbe801000000
  5. [Exception] Handler address: 438012
  6. ...
  7. [Error] Address: 0x438365[0x438365] Invalid instruction: ffffe845feffff60eb03eb03c7ebfb
  8. [Error] Address: 0x438365[0x438365] Invalid memory read (UC_ERR_READ_UNMAPPED)
  9. [Error] Address: 0x438365[0x438365] Invalid memory read (UC_ERR_READ_UNMAPPED)
  10. [Error] Address: 0x438365[0x438365] Invalid memory read (UC_ERR_READ_UNMAPPED)
  11. [Exception] 438365: SEH: Invalid memory read (UC_ERR_READ_UNMAPPED)
  12. ...
  13. [Disasm] 20c57: popal
  14. [Disasm] 20c58: jmp 0x20c5b
  15. [Disasm] 20c5b: push 0x60043020
  16. [Disasm] 20c60: jmp 0x20c63
  17. [Disasm] 20c63: ret
  18. [Error] Address: 0x406b1b[0x60043020] COMCTL32.DLL#InitCommonControls
  19. [Info] Address: 0x6000301b[0x6000301b] Exit process


После Unpack в Advanced режиме генерируется что-то, но оно валится при запуске.

Исходный файл:
https://mega.nz/#!UNVQiQbY!FIAbBrEN7ji0ADtlSU_af6AnKqCy9gELjNGFxiX05-g

Добавлено спустя 9 минут
Еще файлик, с !EPack 1.0: https://mega.nz/#!oN9RGCAD!jeE7Ss1HGhTG0GD23s0VRsDWU1a4FY_jhlxr63Neu_s
После распаковки не запускается (молча).

Логи без disasm и api:

Analyze
Code:
  1. [Info] Analyzing: !EPack 1.0.exe
  2. [Info] Get Original EntryPoint(OEP)
  3. [Info] Loading
  4. [Info] Memory allocating
  5. [Info] Handle GDT
  6. [Info] Create system structs
  7. [Info] Load PE
  8. [Info] Copy header
  9. [Info] Sections
  10. [Info] Import
  11. [Info] TLS
  12. [ThreadLocal] TLS rawdata
  13. [Info] Add hooks
  14. [Info] Running
  15. [Info] Address: 49d0ff
  16. [Error] Address: 0x40555d[0x60003352] KERNEL32.DLL#InterlockedDecrement
  17. [Info] Address: 0x6000301b[0x6000301b] Exit process


Unpack
Code:
  1. [Info] Unpacking: !EPack 1.0.exe
  2. [Info] Loading
  3. [Info] Memory allocating
  4. [Info] Handle GDT
  5. [Info] Create system structs
  6. [Info] Load PE
  7. [Info] Copy header
  8. [Info] Sections
  9. [Info] Import
  10. [Info] TLS
  11. [ThreadLocal] TLS rawdata
  12. [Info] Add hooks
  13. [Info] Running
  14. [Info] Address: 49d0ff
  15. [Error] Address: 0x40555d[0x60003352] KERNEL32.DLL#InterlockedDecrement
  16. [Info] Address: 0x6000301b[0x6000301b] Exit process
  17. [Info] Address: 6000301b
  18. [Info] Address: 0x6000301b[0x6000301b] Exit process
  19. [Info] Rebuilding
  20. [Info] Rebuild dump
  21. [Info] Set entry point
  22. [Info] Add import section
  23. [Info] Rename sections
  24. [Info] Fix checksum

| Сообщение посчитали полезным: hypn0


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 4 июля 2018 18:41 New!
Цитата · Личное сообщение · #7

4kusNick пишет:
а можно весь список отключенных

Пока только этот. Он был изначально добавлен как поддерживаемый (в списочке фигурировал), а потом убран.

4kusNick пишет:
Например с Alex Protector - аналогичная проблема

Может потому что он Protector?

На самом деле разных пакеров и протекторов очень много. Detect It Easy знает более 300 разных и это только для PE-exe. Нативная поддержка (чтоб в списочке было, а не через Generic) была добавлена только для относительно распространенных. Я просто взял несколько десятков тысяч пакованых файлов и рассортировал по упаковщикам. Чего было больше 100 штук, то и добавили. Но пока только пакеры. Протекторы будут добавляться уже в приватную версию. Да и пакеров сейчас больше 50 разных известно. В общем это всё требует время.

4kusNick пишет:
Еще файлик, с !EPack 1.0

Вот за это спасибо. Уже были случаи, когда что-то поддерживаемое не работало после распаковки.

По сути дела сейчас имеет смысл тестировать только то, что есть в списке. Если что-то заявлено как поддерживаемое, а не работает, тогда сразу слать файл. А что касается всего остального: если сработает в Generic - очень хорошо. Если не сработает - ждать когда добавится.

Большое спасибо за тестирование.

Добавлено спустя 12 минут
4kusNick пишет:
Еще файлик, с !EPack 1.0

Сейчас глянул. Не может найти OEP, поэтому и падает. Об этом консольная версия сказала, в GUI видимо не добавили такую ошибку. Зато в GUI пустое поле OEP, а после анализа оно не должно быть пустое.

| Сообщение посчитали полезным: 4kusNick



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 4 июля 2018 19:06 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #8

Еще кейс где не находит OEP похоже.

Файл под ANDpakk2 (используется в демосцене в т.ч.):
https://mega.nz/#!sVdGFSBS!q4cdX0e0Uq9fUfda77Wna0wsaPmzoIYUjXyfnazaKjg

Сам пакер:
https://mega.nz/#!oQEwiICA!UJWnhxR-IA-rcmXwsFSwsZhzd_NS_9b-GPz4VglEJbE

После анпака не запускается, но забавно выглядит распакованный 18мб файл из 50кб источника (ох уж эта демосцена!) =)

Логи:

Code:
  1. [Info] Analyzing: ANDpakk2/intros/squish_apk2.exe
  2. [Info] Get Original EntryPoint(OEP)
  3. [Info] Loading
  4. [Info] Memory allocating
  5. [Info] Handle GDT
  6. [Info] Create system structs
  7. [Info] Load PE
  8. [Info] Copy header
  9. [Info] Sections
  10. [Info] Import
  11. [Info] Add hooks
  12. [Info] Running
  13. [Info] Address: 40c485
  14. [Error] Winapi fails
  15. [Error] Address: 0x15e006d[0x6002302e] USER32.DLL#GetSystemMetrics
  16. [Info] Address: 0x6000301b[0x6000301b] Exit process


Code:
  1. [Info] Unpacking: ANDpakk2/intros/squish_apk2.exe
  2. [Info] Loading
  3. [Info] Memory allocating
  4. [Info] Handle GDT
  5. [Info] Create system structs
  6. [Info] Load PE
  7. [Info] Copy header
  8. [Info] Sections
  9. [Info] Import
  10. [Info] Add hooks
  11. [Info] Running
  12. [Info] Address: 40c485
  13. [Error] Winapi fails
  14. [Error] Address: 0x15e006d[0x6002302e] USER32.DLL#GetSystemMetrics
  15. [Info] Address: 0x6000301b[0x6000301b] Exit process
  16. [Info] Address: 6000301b
  17. [Info] Address: 0x6000301b[0x6000301b] Exit process
  18. [Info] Rebuilding
  19. [Info] Rebuild dump
  20. [Info] Set entry point
  21. [Info] Add import section
  22. [Info] Rename sections
  23. [Info] Fix checksum


Что примечательно, при попытке анпака этот файла не через Advanced режим - результат неинформативен. Обычно ожидаешь что-то из:
- распакованный файл рядом с оригиналом
- сообщение об ошибке распаковки

Но ни того, ни другого нет. И не понятно что произошло - выполнился уже анпак или нет, получилось что-то или нет.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 4 июля 2018 19:18 New!
Цитата · Личное сообщение · #9

4kusNick пишет:
Файл под ANDpakk2

Спасибо.

4kusNick пишет:
забавно выглядит распакованный 18мб файл из 50кб источника (ох уж эта демосцена!)

Она может быть и ни при чем. Регулярно попадаются файлы, которые из небольшого размера распухают до гигантских размеров. Борьба с такими есть в планах.

У ANDpakk2 тоже не может OEP найти, поэтому и не работает. Кстати сам файл распаковывается. Думаю, что если вручную указать правильную EP, то возможно даже запустится.

Добавлено спустя 28 минут
4kusNick пишет:
Alex Protector - аналогичная проблема

У него проблема серьезнее. Попробовал упаковать два разных файла - каждый падает при запуске. Какой-то кривой протектор.
То есть сейчас единственный рабочий образец - это он сам.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 4 июля 2018 20:25 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #10

Еще немного экзотики)

EZIP 1.0, сам пакер - он же семпл
https://mega.nz/#!pVsDgCDT!NaN2TzC7kggek_HHx8nbOmLmK8b8WhoMrZK-WlJTrVM
Не работает после распаковки.

Еще семпл накрытый им (лол стал больше в размере чем оригинал):
https://mega.nz/#!ZQ9TiCYa!1OQ1uNXXFl8JCPoc_z_4lYO5sOinDIhyo5A1dGBbSpE
Тоже не запускается после анпака.

Добавлено спустя 8 минут
Fish PE Packer 1.04
https://mega.nz/#!sF1nBQ4Y!cBrOv06ikDnb4c2N_doDIZn8KNc89AXkU12h8VVTIno

Сам собой упакован, анпакается нормально.
Но семпл накрытый им не запускается после распаковки с настройками по умолчанию:
https://mega.nz/#!4Qk1gIxI!hsJ1g1OMpuQXvbvUfd5Z5RhjBz8WOo2Px3tL9zCMbaU

Ошибок в логах нет.

Если руками все API в импорте отметить (часть по умолчанию не отмечена) - семпл исправно работает после распаковки.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 4 июля 2018 20:46 New!
Цитата · Личное сообщение · #11

4kusNick пишет:
EZIP 1.0

Писец.. Жесть какая. Я бы это назвал SFX, а не пакер.

4kusNick пишет:
Fish PE Packer

Спасибо. Подправим.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 4 июля 2018 22:55 New!
Цитата · Личное сообщение · #12

Еще чуть фидбэка:

- пожал сэмпл kkrunchy 0.23 alpha 2, файл вышел нерабочий, ради интереса попробовал распаковать - анализ уже 11 минут идет, это норм? если нет, то вот тот нерабочий выхлоп:
https://mega.nz/#!pYFywA5T!qwgn3AjdQzzjSrZyBrHvFFyKlW-dNJLypsgI4KRmrj0

---

mario PACKer (mPack)

Сам пакер, он же семпл:
https://mega.nz/#!cF1HGYrC!HRA0PNFrA1-1K--RwSJTVbYA0T0SxqOpFra-0i7MWZ8

На выходе с дефолтными настройками получается нерабочий файл, в логах есть ошибки.
И еще заметил баг в самом UI вкладки с логом - если тыкнуть Analyze, потом Unpack, то результат анализа дублируется в логе дважды.

---

Такой вопрос - а вещи типа MoleBox в будущем будут поддерживаться?

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 4 июля 2018 23:26 New!
Цитата · Личное сообщение · #13

4kusNick пишет:
Еще чуть фидбэка

Спасибо. Будем разбираться.

4kusNick пишет:
анализ уже 11 минут идет, это норм?

Для такого размера файла не норм.

4kusNick пишет:
И еще заметил баг в самом UI вкладки с логом

Не смотрел что там, но скорее всего не баг. Дело в том, что анализ от распаковки практически не отличается. При анализе ищется OEP. То есть распаковщик эмулируется два раза, один раз при анализе, второй при распаковке. Соттветственно все ошибки/сообщения при анализе будут и при распаковке.

4kusNick пишет:
а вещи типа MoleBox в будущем будут поддерживаться?

Конечно. Правда может не в публичной версии. Но пока с пакерами бы разобраться, чтоб всё как часы работало.
Я не знаю насколько сейчас сложен Molebox, но помню, что в 1999-2000-х годах он был примитивен и я снимал его также легко как и PKLITE. Конечно если они сейчас там наворотили API, с вызовом которых компилировался исходный файл, то могут возникнуть некоторые сложности. А если просто поверх накручивается, то проблем быть не должно.

Добавлено спустя 16 минут
Ой, вру. Не снимал я Molebox. Делал лоадер, который в памяти уже нужное правил. Но всё равно простой был, раз позволял такие вещи делать.


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 4 июля 2018 23:58 New!
Цитата · Личное сообщение · #14

Распаковались:
PE-PACK v1.0
RLPack Basic Edition v1.18
В прошлый раз под "кое-что" был FishPE.
Все 3 не определяет но распаковывает.

и нет:
PETite v2.2, PETite v2.4 он же или им упакованный XMPlay.
Nakedpack

| Сообщение посчитали полезным: hypn0



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 5 июля 2018 00:43 New!
Цитата · Личное сообщение · #15

hypn0 пишет:
Не смотрел что там, но скорее всего не баг. Дело в том, что анализ от распаковки практически не отличается. При анализе ищется OEP. То есть распаковщик эмулируется два раза, один раз при анализе, второй при распаковке. Соттветственно все ошибки/сообщения при анализе будут и при распаковке.

Если почистить лог и нажать только Unpack - в логе не будет инфы про анализ.
Если сперва Analyze потом Unpack - то в логе результат Analyze выводится дважды.
Все-таки что-то тут не так %)

hypn0 пишет:
..Molebox..проблем быть не должно

Кул!

---

PECompact 0.92
https://mega.nz/#!UVc03IJA!moF1dbWrvMjCyDWhw9Y8jBNYB1HUQ4OYNRE6aYmgLC8

Сэмпл, пожат с дефолтными опциями кроме Merge Sections (выкл):
https://mega.nz/#!AEUQSCCI!m4I_k-btLYwdto3MpJCy7c_nM6sE4VBC_z7PbxbWeSQ

При анализе ошибка, OEP не детектится:
Code:
  1. [Info] Running
  2. [Info] Address: 66e9ba
  3. [Error] Address: 0x2c0588[0x38f000] Write to invalid memory address:38f000, size:1, value:3d
  4. [Error] 2c0588:(Memory error) Write to invalid memory address:38f000, size:1, value:3d


PECompact 0.93, 0.94b - аналогично, тоже OEP не находит и похожая ошибка при анализе, их сэмплы не кидаю т.к. там думаю причина такая же.

---

У некоторых окошек (опции, прогресс анализа \ распаковки, about) стиль с кнопкой ? в заголовке, но контекстные подсказки нигде не работают.

---

Petite 2.2
https://mega.nz/#!Yd9H0Cwa!F70i1yEM_qSlrGldFaA3Ej-z1VfQ1rd_t_mm3zORlFs

Сэмпл:
https://mega.nz/#!1BtD2KrK!w6yC8v7vVknlEJzP4O47RBO-44K1R4QNHxXcRBQ1r9Y

При анализе в логе ошибки, после распаковки файл нерабочий. OEP находит, но что-то идет не так в другом месте.

Code:
  1. [Info] Address: 67010b
  2. [Error] Address: 0x670217[0x400000] Write to invalid non-writeable address:400000, size:1, value:0
  3. [Exception] 670217: SEH: Write to invalid non-writeable address:400000, size:1, value:0
  4. [Exception] Handler address: 417000
  5. [Error] Address: 0x41709e[0x41709e] Interrupt: 1
  6. [Exception] 41709e: SEH: Interrupt: 1
  7. [Exception] Handler address: 4172d1
  8. [Error] Address: 0x417000[0x60033023] USER32.DLL#wsprintfA
  9. [Info] Address: 0x6000301b[0x6000301b] Exit process



Petite 2.3
https://mega.nz/#!pc8XESzI!2cukSDIgSwT0z_PWsQ-61uXUwns17Z04231Kc1l8dr8

Сэмпл
https://mega.nz/#!8c1RkCIB!ZcmxilgVBatpmMeDc3I-VnY_6RCRqukVQ4M3cyhTjo0

Аналогично, только ошибок намного больше и анализ орывается слишком быстро, на всякий случай пример прицепил для проверки.

---

Какая-то самобальная экзотика с сорцами QuickPack_0.1:
https://mega.nz/#!QI8n2aCI!RZLla1hJGXFI7ZpCbHk9BwOIYnRSjIpsYb0pl9K7_F0

Сэмпл:
https://mega.nz/#!MNtHjaaB!F-r2yuYlfyepTCodpy9jtHzZ6wn6EOTTo2vRAVasxag

Не находит OEP.

---

/offtop
Попробовал REVProt (Revenge) - апначит до тех пор пока не вкл опцию защиты ипорта (с ней импорт не находит), лордег молодец! =D

---

RLPack_1.21
https://mega.nz/#!4AsCyAKS!z1FIowJneZSTw72PEeyjms23PPV97_No7l6gJuSgLko

Сэмпл:
https://mega.nz/#!wMlEka7b!v9rNIhLUS32Kz7mcW7Y_Tm9WgDELd8LyJXpQl53qC6A

При запуске распакованного - крашится с ошибкой
Точка входа в процедуру MZ не найдена в библиотеке DLL
SuperPI_RLPack_1.21.unp.exe.


RLPack 1.20.1 и 1.20 - аналогично

А вот RLPack 1.19 - анпачится нормально.

Ну и все на сегодня, много noname и совсем редких вещей тулза осилила, все перечислять нет смысла.

| Сообщение посчитали полезным: hors


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 5 июля 2018 08:15 New!
Цитата · Личное сообщение · #16

4kusNick пишет:
Попробовал REVProt (Revenge)

А есть сам протектор? Можно будет и с защитой добавить.

За остальное спасибо. Будем разбираться.

Добавлено спустя 1 минуту
mysterio пишет:
Nakedpack

Есть сам пакер?


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 5 июля 2018 09:36 · Поправил: mysterio New!
Цитата · Личное сообщение · #17

Есть sample им упакованный, pass: 123
В версии 0.20 пропала возможность указывать OEP вручную (поле не активно) ?
Много чего не распаковывает (тот же UPX, ASPack - бывает через раз и только в Advanced режиме если принудительно выставить опции) при небольшом изменении хидера.
Некоторые пакеры стремно проверять, один из таких популярный в начале 2000-х NeoLite v2.0 Trial (или некоторые версии FishPE).

4kusNick пишет:
Fish PE Packer 1.04

Эта версия (сам пакер) - не отправляет систему в синьку ? Есть v1.03 и v1.04b при запуске которых все виснет наглухо с отличным шансом не загрузиться потом.

Ранг: 27.5 (посетитель)
Статус: Участник

Создано: 5 июля 2018 10:25 New!
Цитата · Личное сообщение · #18

xmplay petit 2.4 распаковывает нормально, просто там в оригинале импорт у пару модулей поксореный


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 5 июля 2018 11:30 New!
Цитата · Личное сообщение · #19

mysterio пишет:
Эта версия (сам пакер) - не отправляет систему в синьку ?

Нет, все нормально работает у меня (Win 10 x64 с посл. апдейтами), сам пакер запускается, пакует другие файлы, без нареканий.

У меня еще 1.02 и 1.03 версии лежат, их запускать не пробовал и чет теперь не охота))

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 5 июля 2018 11:54 New!
Цитата · Личное сообщение · #20

mysterio пишет:
Есть v1.03 и v1.04b при запуске которых все виснет наглухо с отличным шансом не загрузиться потом.

Ужас какой. У меня всё нормально под Win7x64.

4kusNick пишет:
их запускать не пробовал и чет теперь не охота))

Да давай... Заодно и проверим.


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 5 июля 2018 12:20 · Поправил: mysterio New!
Цитата · Личное сообщение · #21

С v1.02 проблем не было, v1.03.
У кого есть возможность и желание проведите тест на запуск v1.03 на Win XP SP 2 или SP 3 на виртуалке.
Очень давно пробывал, дважды, на SP2 систему бросало BSOD с обнулением всех открытых файлов - с тех пор не горю желанием повторять тест.
NeoLite желательно тоже проверить, только уже распакованные после него файлы.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 5 июля 2018 12:31 New!
Цитата · Личное сообщение · #22

Немного подытожу:

В большинстве своем, если пакер есть в списке (то есть поддерживается), с вероятностью 99% он будет распакован. Проблема может быть только в определении OEP. У нас сейчас есть спецверсия и специальные образцы, которые укручиваем разными пакерами и тестируем. Спецверсия не только распаковывает файл, но и выполняет спецобразец до конца и потом сравнивает цифирки. В первую очередь это тестируется эмуляция. И как показывает практика, всё работает как надо.
С Fish PE и сэмплом на VB есть проблема, так как xvlk не распознал некоторые API и посчитал их ненужными. Это исправим.

Если что-то распаковывается, но потом не запускается, значит OEP не найдена автоматически (в GUI-версии это видно после анализа, когда поле OEP пустое). Сложно объяснить проге то, что мы сразу определяем визуально. Скорее всего придется перейти от детекта OEP по характерным командам (типа jmp eax и т.п.) к сигнатурному детекту "жопки" распаковщика перед переходом на OEP.

В любом случае, если файл распаковался, но EP автоматически не установилась, её можно попробовать указать вручную и с большой вероятностью файл запустится. Думаю это лучше, чем возиться вручную.

Кто-то может сказать, что какой смысл тогда в такой универсальной софтине, когда нужно обучать конкретному пакеру. Смысл есть хотя бы в том, что сам пакер знает как правильно распаковать прогу. Так как в противном случае, мы будем вынуждены вникать в особенности работы пакера. А сейчас можно просто пробежаться отладчиком не вникая в дебри.

Добавлено спустя 3 минуты
mysterio пишет:
С v1.02 проблем не было, v1.03.

Win7x64 - полет нормальный. Сам распаковывается и сэмпл им сделанный тоже. Всё работоспособное.

Ранг: 287.7 (наставник)
Статус: Модератор
CrackLab

Создано: 5 июля 2018 19:00 New!
Цитата · Личное сообщение · #23

4kusNick пишет:
hypn0 пишет:
..Molebox..проблем быть не должно
Кул!

Он кстати вроде бы опенсорс уже, мб поможет https://github.com/sudachen/Molebox

| Сообщение посчитали полезным: HandMill, hypn0, hors



Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 9 июля 2018 13:53 New!
Цитата · Личное сообщение · #24

4kusNick пишет:
Попробовал REVProt (Revenge) - апначит до тех пор пока не вкл опцию защиты ипорта (с ней импорт не находит), лордег молодец! =D


Спасибо за этот интересный протектор. Обработчик для него я уже написал. Теперь должно распаковывать и с включенной защитой импорта.
Мы скинем приватную версию с этим протектором тебе в личку ближе к релизу следующей версии(0.21).

| Сообщение посчитали полезным: 4kusNick


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 июля 2018 20:44 New!
Цитата · Личное сообщение · #25

XVolkolak 0.21

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] QuickPack NT
[+] Petite
[+] REVProt [for private version only]
[+] ну и конечно же Тетрис! Как без него...

| Сообщение посчитали полезным: RevCred, sendersu, daFix, 4kusNick, mak, TryAga1n, hors, ADMIN-CRACK, plutos, XX-J



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 13 июля 2018 00:07 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #26

Когда ты разучился играть в Тетрис =D



Кстати, когда в превьюшке след. фигуры длинная палка - то она не влезает в рамку, из-за этого рамка превьюшки и почему-то остальные рамки тоже несколько расползаются.

А так да, REVProt теперь снимает, чудеса просто )
P.S. отдельное спасибо за поддержку Drag&Drop!

| Сообщение посчитали полезным: hors


Ранг: 0.6 (гость)
Статус: Участник

Создано: 14 июля 2018 08:59 New!
Цитата · Личное сообщение · #27

Салют всем! Подскажите, что может быть такое. Выбираю файл, показывает: VMProtect. Нажимаю анализ, и она сразу крашится. Просто закрывается и все. Пробовал на win 10, win 8.1, аналогичные проблемы. Даже файлы брал разные.


Ранг: 206.4 (наставник)
Статус: Участник

Создано: 14 июля 2018 09:23 · Поправил: f13nd New!
Цитата · Личное сообщение · #28

zlohack пишет:
Подскажите, что может быть такое.

Как адмирал ясен хрен заявляю, что это может быть необрабатываемое исключение. В таких случаях если пишут в техподдержку, дают либо сам файл, либо хотя бы детализацию ошибки из журнала виндоус, либо репорт программы, если она самостоятельно их обрабатывает. Потому что иначе догадаться совсем нельзя почему это произошло.

Ранг: 0.6 (гость)
Статус: Участник

Создано: 14 июля 2018 09:39 · Поправил: zlohack New!
Цитата · Личное сообщение · #29

f13nd пишет:
В таких случаях если пишут в техподдержку, дают либо сам файл, либо хотя бы детализацию ошибки из журнала виндоус, либо репорт программы



Имя сбойного приложения: xvlk.exe, версия: 0.0.0.0, метка времени: 0x5b466f44
Имя сбойного модуля: xvlk.exe, версия: 0.0.0.0, метка времени: 0x5b466f44
Код исключения: 0x40000015
Смещение ошибки: 0x000bf335
Идентификатор сбойного процесса: 0x1594
Время запуска сбойного приложения: 0x01d41b3bd110d9dd
Путь сбойного приложения: C:\Users\HOME\Desktop\xvlk_win32_public\base\xvlk.exe


Контейнер ошибки 1904589199155604362, тип 1
Имя события: APPCRASH
Отклик: Нет данных
Идентификатор CAB: 0

{ Атач доступен только для участников форума } - События.rar


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 14 июля 2018 10:11 New!
Цитата · Личное сообщение · #30

zlohack

Смотрим:

Code:
  1. 004BF32A mov dword ptr ss:[arg.1],esi
  2. 004BF32E mov dword ptr ss:[arg.retaddr],xvlk.0067BBF4 ; ASCII "Address %p has no image-section"
  3. 004BF335 call xvlk.004BF1A0
  4.  
  5. 4BF1A0:
  6.          ...
  7. 004BF1BD mov dword ptr ss:[local.6],xvlk.0067BBD8     ; ASCII "Mingw-w64 runtime failure:",LF
  8.          ...
  9. 004BF1EC call <jmp.abort>


Эта функция завершает приложение с кодом STATUS_FATAL_APP_EXIT.

Этот код отрабатывает после самопроверки:

Code:
  1. 004BF23E call xvlk.004BFB40


Там проверка пе сигнатур и корректности секций. Значит что приложение(xvlk) криво распаковалось по какой то причине, почему криво - нужно отлаживать.

Ранг: 0.6 (гость)
Статус: Участник

Создано: 14 июля 2018 10:17 New!
Цитата · Личное сообщение · #31

difexacaw пишет:
Значит что приложение(xvlk) криво распаковалось по какой то причине, почему криво - нужно отлаживать.


Поставил на виртуалку win7 - выскакивает ошибка Microsoft Visual C++ Runtime Library. This application has requested the Runtime to terminate it in an unusual way.

Хотя, все пакеты эти установлены. 2017 последняя при установке поставилась. На трех системах такая ерезь. Разные машины. Не пойму.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS