Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system. All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system. It is possible to unpack 64 bit files on 32 operating systems. This build emulates the processors intel x86 and AMD64. It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.
Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread. However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:
UPX ASPack NsPack Mpress MEW (Win) Upack FSG and some others.
The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.
Создано: 16 июля 2018 19:46 New! Цитата · Личное сообщение · #2
difexacaw пишет: Так что эмоции нужны, иначе может неплохо поехать крышняк. Как бы это помягче... Некоторые девиации в Вашем поведении уже фиксируются. Если это является стабильным состоянием, то с ужасом осознаю каково может быть поведение при серьёзном изменении состояния сознания.
Создано: 16 июля 2018 20:12 · Поправил: difexacaw New! Цитата · Личное сообщение · #3
plutos
Да, культура тут так и очевидна, что кровь из глаз, вон выше эксрасенсы, которые знают что знаю я
Впрочем не важно. Мне не особа интересна тема анпака, но раз такое обуждение пошло, то мне стало интересно именно по критерию EP. Не составляет проблемы выполнить тесты на куче пакеров, но нужно немного допилить кэш инструкций, чтобы использовать те самые маркеры в памяти.
Создано: 18 июля 2018 12:24 New! Цитата · Личное сообщение · #8
hypn0 ВМпротект страны Драконов, не хитрый, как и все протекторы, чаще попадается на китайских поделках, поддержка Safengine возможно откроет большую возможность баг репортов, т.к. дрэгонхакеры любят распаковщики построенные на ВМ, плюс вызов для Нуби
Поддержка Armadillo публичная есть? Ведь протектор уже мёртв
Создано: 18 июля 2018 12:43 New! Цитата · Личное сообщение · #9
mak пишет: Поддержка Armadillo публичная есть? Пока до протекторов даже не добирались. С пакерами задач много. На счет публичной поддержки старых надо подумать. С одной стороны конечно можно, с другой стороны зачем рушить "бизнес" тех, кто умеет их распаковывать.
Ранг: 323.0 (мудрец) Статус: Участник ILSpector Team
Создано: 18 июля 2018 17:29 New! Цитата · Личное сообщение · #10
hypn0 пишет: зачем рушить "бизнес" тех, кто умеет их распаковывать. так подумать, все универсальные анпакеры это зло. А по мне, это стимул для разработчиков защит не стоять на месте, стимул для разработчиков программ использовать новые протекторы, и стимул для бизнесменов с exelab развиваться).
Создано: 18 июля 2018 19:11 New! Цитата · Личное сообщение · #11
Medsft Согласен. Только все возможные "извращения" разработчики защит уже перепробовали и теперь "развитие" идет в сторону накидывания мусорных инструкций, да побольше. Дополнительные слои защиты накидывают. Как раз для того, чтоб это проблемнее было снять вручную. Как по мне, так это так себе развитие. Но и разработчиков защит понимаю, дальше развиваться некуда. Всё что было можно придумать (я про x86 и Windows), всё уже придумано. Следующий шаг только отдача кусков кода по интернету. Некоторые к этому уже пришли, но многим пользователям это не нравится, поэтому массовости такого извращения и не видим.
Вообще тут можно много дискутировать на эту тему. И вопросы в основном возникают глобальные. Куда дальше пойдет развитие. Многое уже в мобильные приложения ушло. Всё конечно не уйдет, но тенденция прослеживается. Что-то уже ушло и еще уйдет в web. Что-то останется не смотря ни на что.
Создано: 18 июля 2018 19:26 · Поправил: difexacaw New! Цитата · Личное сообщение · #12
hypn0
Ты мой друг наверно есчо криптор извратов не видел. Как обходят ав уже не одно десятилетие
А рассуждаете про какие то отрешённые от реальности вещи. Давно уже всё крутится на виртуализации, анклавах, визорах и тп. Эта вообще имхо тема отстала лет на десять. Но да, говном кидать вы умеете как я понял и знаете это лучше.
Какой то примитив что за минуты вручную можно разобрать конечно легко обсуждать.
Создано: 18 июля 2018 22:26 New! Цитата · Личное сообщение · #13
difexacaw Коллега, Вы темой ошиблись. Вам сюда: --> Link <--
Добавлено спустя 13 минут difexacaw А что там по поводу Вашего чекера OEP? Если образцы надо, то просите, не стесняйтесь. Сколько Вам нужно? 5, 10, 1000, 10000 образцов? Готов предоставить.
Создано: 19 июля 2018 19:04 · Поправил: difexacaw New! Цитата · Личное сообщение · #14
hypn0
Ошибся не ошибся без разницы, ресурс один.
> А что там по поводу Вашего чекера OEP?
Дойдём и до этого, вы же не думаете что это решается за дни. Нужно время. Текущую неделю я был занят иными совсем задачами, у меня есть реальная работа, которую нужно выполнять. Я спрошу у вас когда это будет нужно, не думайте что я не помню. Последние несколько месяцев я искал решение по визору каждый день, это резолвилось, пока в ближайшее время будет тишина. Я получил что хотел(нашёл решение), вбивать то в компилер в ближайшие дни не намерен. Пока паяется схема по теме мостов, не помню тут я это спрашивал или на васм.. так что не гоните коней".
Ранг: 134.0 (ветеран) Статус: Участник Qt Developer
Создано: 14 июля 2019 01:50 New! Цитата · Личное сообщение · #24
RevCred пишет: Проект все ещё жив?
Да.
RevCred пишет: (для паблика)
Если это вопрос будут ли в паблике распаковка коммерческих протекторов(ASProtect, VMProtect...). То к сожалению скорее всего не будет. По понятным причинам.
Создано: 18 июля 2019 20:08 New! Цитата · Личное сообщение · #25
RevCred
А какой проект, этот тулз тупо два дейтвия делает - запустил и сдампил. Всё. Со сложными протекторами не получится, так как их нельзя просто так сдампить. А сабж не может определять событие EP.
Создано: 18 июля 2019 21:06 New! Цитата · Личное сообщение · #26
difexacaw Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system. All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
Ранг: 134.0 (ветеран) Статус: Участник Qt Developer
Создано: 18 июля 2019 21:53 · Поправил: hors New! Цитата · Личное сообщение · #27
difexacaw пишет: А какой проект, этот тулз тупо два дейтвия делает - запустил и сдампил. Всё
Действительно, что может быть проще. Только надо полностью написать загрузчик, менеджер памяти, проэмулировать всё окружение, системные структуры и WinAPI, прикрутить к этому делу эмулятор процессора (в данном случае QEMU). Сделать это всё платформонезависимым, чтобы одинаково работало на любой современной операционной системе любой разрядности.
difexacaw пишет: Со сложными протекторами не получится, так как их нельзя просто так сдампить.
Да и лёгкие пакеры/протекторы нельзя просто так сдампить. С любым пакером/протектором надо работать индивидуально. Код для работы должен быть вынесен в отдельный модуль. Общие решения не будут работать абсолютно для всех пакеров/протекторов. Это нездоровые фантазии. Мы кажется на эту тему уже дискутировали.
difexacaw пишет: А сабж не может определять событие EP.
Сабж прекрасно определяет событие EP всех заявленных пакеров. А определение EP коммерческих протекторов не будет в паблике по понятным причинам.
Создано: 19 июля 2019 04:49 · Поправил: Bronco New! Цитата · Личное сообщение · #28
hors пишет: Сделать это всё платформо независимым, чтобы одинаково работало на любой современной операционной системе любой разрядности. чтоб да, так нет... заглянул сюда, зачем то, для каждой ОС свой билд: --------- XVolkolak 0.22
Windows 7-10 Download Windows XP Download Linux Ubuntu 18.04 x64 Download OSX Download --------- пакеры из списка, все х32, и все под винду. хотя тема с QEMU меня очаровала.
Ранг: 134.0 (ветеран) Статус: Участник Qt Developer
Создано: 19 июля 2019 10:06 · Поправил: hors New! Цитата · Личное сообщение · #29
Bronco пишет: чтоб да, так нет... заглянул сюда, зачем то, для каждой ОС свой билд: --------- XVolkolak 0.22
Windows 7-10 Download Windows XP Download Linux Ubuntu 18.04 x64 Download OSX Download
Всё правильно. Для каждой оси должен быть свой собственный бильд, скомпилированный из одного и того же исходного кода. Сборки работают одинаково на всех системах. Или у Вас есть какие-то другие представления о мультиплатформенности? Поделитесь, пожалуйста. Если можно с примерами.
Bronco пишет: пакеры из списка, все х32, и все под винду. хотя тема с QEMU меня очаровала.
Нет. Пакеры из списка не все х32. UPX и MPress имеют версии для х64. Они тоже поддерживаются.
Естественно, что заявленные пакеры все под винду. Никто пока не интересовался возможностью добавления в XVolkolak пакеров под OSX или Линукс(Хотя никаких технических препятствий этому нет). А раз так, то это никому не нужно.
Создано: 19 июля 2019 17:41 · Поправил: difexacaw New! Цитата · Личное сообщение · #30
hors
> Только надо полностью написать загрузчик, менеджер памяти, проэмулировать всё окружение, системные структуры и WinAPI, прикрутить к этому делу эмулятор процессора
> Общие решения не будут работать абсолютно для всех пакеров/протекторов. Это нездоровые фантазии. Мы кажется на эту тему уже дискутировали.
Общее решение отлично работает(dye), как пример - безошибочное определение EP общим критерием и стабильная работа почти всех известных протекторов(я множество примеров приводил), за исключением aspr(тут рядом тема, но там какой то скрытый баг). Так что это не фантазии, а отработанная на огромном числе семплов техника. При этом ничего эмулировать не нужно, за исключением ветвлений, эмуляция которых занимает 300 строк асм-кодеса.
У эмуляции есть лишь один плюс - она быстрее не пакетного исполнения, так как не нужно перезагружать контекст. Но прирост скорости очень не существенный. При этом есть два недостатка - пакетная эмуляция невозможна(те нельзя скипнуть блок/цикл) и эмулятор очень толстый и не стабильный.
> Сделать это всё платформонезависимым
А вот это действительно невозможно.
Добавлено спустя 5 минут > Сабж прекрасно определяет событие EP всех заявленных пакеров. А определение EP коммерческих протекторов не будет в паблике по понятным причинам.
Определяет хардкодом ? Конечно в таком случае нужно использовать сигнатуры для конкретного прота. А есчо сложные проты эмулятор ваш возможно не может крутить, те дойти до фазы дампа(те до OEP). Кстате это опенсорсный проект или нет, интересно конкретно посмотреть как там что крутится ?
Создано: 19 июля 2019 18:01 · Поправил: Bronco New! Цитата · Личное сообщение · #31
hors, Спасибо за ответ. другие представления о мультиплатформенности? только в патетике... дальше винды ничего не собираю, хз как в никсах загрузчик работает, если вайне нет. так что сорян за левый пост. -------- У меня вопрос по эмулятору процессора , а точнее по сегментным регистрам. Под Unicorn, всё тот же QEMU, и сегментные регистры , вроде как есть. Инфу беру из под дебагера, она стабильно не меняется, но получить по смещениям эффективный адрес, как то не светится.