ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!

Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK

difexacaw пишет:
Так что эмоции нужны, иначе может неплохо поехать крышняк.
Как бы это помягче...
Некоторые девиации в Вашем поведении уже фиксируются. Если это является стабильным состоянием, то с ужасом осознаю каково может быть поведение при серьёзном изменении состояния сознания.

| Сообщение посчитали полезным: sefkrd

plutos

Да, культура тут так и очевидна, что кровь из глаз, вон выше эксрасенсы, которые знают что знаю я

Впрочем не важно. Мне не особа интересна тема анпака, но раз такое обуждение пошло, то мне стало интересно именно по критерию EP. Не составляет проблемы выполнить тесты на куче пакеров, но нужно немного допилить кэш инструкций, чтобы использовать те самые маркеры в памяти.

Шла восьмая страница обсуждения анпакер-эмулятора, к консенсусу в вопросе о том кто мудак прийти так и не удалось, но паблику тема близка и интересна

f13nd
В следующей версии небольшой сюрпризик может быть, вот тогда активность еще сильнее возрастет.

Добавьте в список Safengine Shielden, будет точно весело

mak
Мне показалось, или тут есть какой-то подвох? Хитрый протектор?

Вообще сначала самые распространенные.
А Shielden только вчера видел, но всего пара образцов. Хочется больше, к моменту добавления насобираем.

hypn0 ВМпротект страны Драконов, не хитрый, как и все протекторы, чаще попадается на китайских поделках, поддержка Safengine возможно откроет большую возможность баг репортов, т.к. дрэгонхакеры любят распаковщики построенные на ВМ, плюс вызов для Нуби

Поддержка Armadillo публичная есть? Ведь протектор уже мёртв

mak пишет:
Поддержка Armadillo публичная есть?
Пока до протекторов даже не добирались. С пакерами задач много.
На счет публичной поддержки старых надо подумать. С одной стороны конечно можно, с другой стороны зачем рушить "бизнес" тех, кто умеет их распаковывать.

hypn0 пишет:
зачем рушить "бизнес" тех, кто умеет их распаковывать. так подумать, все универсальные анпакеры это зло. А по мне, это стимул для разработчиков защит не стоять на месте, стимул для разработчиков программ использовать новые протекторы, и стимул для бизнесменов с exelab развиваться).

Medsft
Согласен. Только все возможные "извращения" разработчики защит уже перепробовали и теперь "развитие" идет в сторону накидывания мусорных инструкций, да побольше. Дополнительные слои защиты накидывают. Как раз для того, чтоб это проблемнее было снять вручную. Как по мне, так это так себе развитие.
Но и разработчиков защит понимаю, дальше развиваться некуда. Всё что было можно придумать (я про x86 и Windows), всё уже придумано. Следующий шаг только отдача кусков кода по интернету. Некоторые к этому уже пришли, но многим пользователям это не нравится, поэтому массовости такого извращения и не видим.

Вообще тут можно много дискутировать на эту тему. И вопросы в основном возникают глобальные. Куда дальше пойдет развитие. Многое уже в мобильные приложения ушло. Всё конечно не уйдет, но тенденция прослеживается.
Что-то уже ушло и еще уйдет в web. Что-то останется не смотря ни на что.

hypn0

Ты мой друг наверно есчо криптор извратов не видел. Как обходят ав уже не одно десятилетие

А рассуждаете про какие то отрешённые от реальности вещи. Давно уже всё крутится на виртуализации, анклавах, визорах и тп. Эта вообще имхо тема отстала лет на десять. Но да, говном кидать вы умеете как я понял и знаете это лучше.

Какой то примитив что за минуты вручную можно разобрать конечно легко обсуждать.

difexacaw
Коллега, Вы темой ошиблись. Вам сюда: --> Link <--

Добавлено спустя 13 минут
difexacaw А что там по поводу Вашего чекера OEP? Если образцы надо, то просите, не стесняйтесь. Сколько Вам нужно? 5, 10, 1000, 10000 образцов? Готов предоставить.

hypn0

Ошибся не ошибся без разницы, ресурс один.

> А что там по поводу Вашего чекера OEP?

Дойдём и до этого, вы же не думаете что это решается за дни. Нужно время. Текущую неделю я был занят иными совсем задачами, у меня есть реальная работа, которую нужно выполнять. Я спрошу у вас когда это будет нужно, не думайте что я не помню. Последние несколько месяцев я искал решение по визору каждый день, это резолвилось, пока в ближайшее время будет тишина. Я получил что хотел(нашёл решение), вбивать то в компилер в ближайшие дни не намерен. Пока паяется схема по теме мостов, не помню тут я это спрашивал или на васм.. так что не гоните коней".

difexacaw пишет:
Ошибся не ошибся без разницы, ресурс один.
И правда... Какая разница где гадить.

XVolkolak 0.22

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
- Minor bugs fixed

| Сообщение посчитали полезным: RevCred, hors, daFix, mak, v00doo, sendersu, 4kusNick, XX-J, HandMill

Маленький оффтопик...
hypn0, мы тут уже шутили на тему, что "пофиксили с два десятка багов, в конце написали: Minor bugs fixed "

| Сообщение посчитали полезным: Jupiter

v00doo А что не так? Если баги не критические, то вполне minor. Так что всё верно.

hypn0 пишет:
XVolkolak 0.22

В XP-шный основной XVLK.exe не долили...

| Сообщение посчитали полезным: hors

XX-J пишет:
В XP-шный основной XVLK.exe не долили...

Файл перезалил. Спасибо за тестирование.

Куда баки заслать?
Ну донатик так сказать хоть и не пользуюсь

Mishar_Hacker пишет:
Куда баки заслать?
Ну донатик так сказать хоть и не пользуюсь

Если есть paypal, то сюда --> Link <-- На сайте кнопка "Donate".

привет! прошёл почти год с момента последнего релиза. Проект все ещё жив(для паблика)?

RevCred пишет:
Проект все ещё жив?

Да.

RevCred пишет:
(для паблика)

Если это вопрос будут ли в паблике распаковка коммерческих протекторов(ASProtect, VMProtect...).
То к сожалению скорее всего не будет. По понятным причинам.

RevCred

А какой проект, этот тулз тупо два дейтвия делает - запустил и сдампил. Всё. Со сложными протекторами не получится, так как их нельзя просто так сдампить. А сабж не может определять событие EP.

difexacaw
Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.

Из описания следует что не просто дампилка

difexacaw пишет:
А какой проект, этот тулз тупо два дейтвия делает - запустил и сдампил. Всё

Действительно, что может быть проще. Только надо полностью написать загрузчик, менеджер памяти, проэмулировать всё окружение, системные структуры и WinAPI, прикрутить к этому делу эмулятор процессора
(в данном случае QEMU).
Сделать это всё платформонезависимым, чтобы одинаково работало на любой современной операционной системе любой разрядности.

difexacaw пишет:
Со сложными протекторами не получится, так как их нельзя просто так сдампить.

Да и лёгкие пакеры/протекторы нельзя просто так сдампить. С любым пакером/протектором надо работать индивидуально. Код для работы должен быть вынесен в отдельный модуль. Общие решения не будут работать абсолютно для всех пакеров/протекторов. Это нездоровые фантазии. Мы кажется на эту тему уже дискутировали.

difexacaw пишет:
А сабж не может определять событие EP.

Сабж прекрасно определяет событие EP всех заявленных пакеров. А определение EP коммерческих протекторов не будет в паблике по понятным причинам.

| Сообщение посчитали полезным: mak

hors пишет:
Сделать это всё платформо независимым, чтобы одинаково работало на любой современной операционной системе любой разрядности.
чтоб да, так нет...
заглянул сюда, зачем то, для каждой ОС свой билд:
---------
XVolkolak 0.22

Windows 7-10 Download
Windows XP Download
Linux Ubuntu 18.04 x64 Download
OSX Download
---------
пакеры из списка, все х32, и все под винду. хотя тема с QEMU меня очаровала.

Bronco пишет:
чтоб да, так нет...
заглянул сюда, зачем то, для каждой ОС свой билд:
---------
XVolkolak 0.22

Windows 7-10 Download
Windows XP Download
Linux Ubuntu 18.04 x64 Download
OSX Download

Всё правильно. Для каждой оси должен быть свой собственный бильд, скомпилированный из одного и того же исходного кода. Сборки работают одинаково на всех системах.
Или у Вас есть какие-то другие представления о мультиплатформенности? Поделитесь, пожалуйста. Если можно с примерами.

Bronco пишет:
пакеры из списка, все х32, и все под винду. хотя тема с QEMU меня очаровала.

Нет. Пакеры из списка не все х32. UPX и MPress имеют версии для х64. Они тоже поддерживаются.

Естественно, что заявленные пакеры все под винду. Никто пока не интересовался возможностью добавления в XVolkolak пакеров под OSX или Линукс(Хотя никаких технических препятствий этому нет). А раз так, то это никому не нужно.

hors

> Только надо полностью написать загрузчик, менеджер памяти, проэмулировать всё окружение, системные структуры и WinAPI, прикрутить к этому делу эмулятор процессора

> Общие решения не будут работать абсолютно для всех пакеров/протекторов. Это нездоровые фантазии. Мы кажется на эту тему уже дискутировали.

Общее решение отлично работает(dye), как пример - безошибочное определение EP общим критерием и стабильная работа почти всех известных протекторов(я множество примеров приводил), за исключением aspr(тут рядом тема, но там какой то скрытый баг). Так что это не фантазии, а отработанная на огромном числе семплов техника. При этом ничего эмулировать не нужно, за исключением ветвлений, эмуляция которых занимает 300 строк асм-кодеса.

У эмуляции есть лишь один плюс - она быстрее не пакетного исполнения, так как не нужно перезагружать контекст. Но прирост скорости очень не существенный. При этом есть два недостатка - пакетная эмуляция невозможна(те нельзя скипнуть блок/цикл) и эмулятор очень толстый и не стабильный.

> Сделать это всё платформонезависимым

А вот это действительно невозможно.

Добавлено спустя 5 минут
> Сабж прекрасно определяет событие EP всех заявленных пакеров. А определение EP коммерческих протекторов не будет в паблике по понятным причинам.

Определяет хардкодом ?
Конечно в таком случае нужно использовать сигнатуры для конкретного прота. А есчо сложные проты эмулятор ваш возможно не может крутить, те дойти до фазы дампа(те до OEP). Кстате это опенсорсный проект или нет, интересно конкретно посмотреть как там что крутится ?

hors, Спасибо за ответ.
другие представления о мультиплатформенности?
только в патетике...
дальше винды ничего не собираю, хз как в никсах загрузчик работает, если вайне нет.
так что сорян за левый пост.
--------
У меня вопрос по эмулятору процессора , а точнее по сегментным регистрам.
Под Unicorn, всё тот же QEMU, и сегментные регистры , вроде как есть.
Инфу беру из под дебагера, она стабильно не меняется, но получить по смещениям эффективный адрес, как то не светится.