eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Alf (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
Посл.ответ Сообщение

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 31 марта 2018 12:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #1

Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 16 июля 2018 19:46 New!
Цитата · Личное сообщение · #2

difexacaw пишет:
Так что эмоции нужны, иначе может неплохо поехать крышняк.

Как бы это помягче...
Некоторые девиации в Вашем поведении уже фиксируются. Если это является стабильным состоянием, то с ужасом осознаю каково может быть поведение при серьёзном изменении состояния сознания.

| Сообщение посчитали полезным: sefkrd



Ранг: 291.1 (наставник)
Статус: Участник

Создано: 16 июля 2018 20:12 · Поправил: difexacaw New!
Цитата · Личное сообщение · #3

plutos

Да, культура тут так и очевидна, что кровь из глаз, вон выше эксрасенсы, которые знают что знаю я

Впрочем не важно. Мне не особа интересна тема анпака, но раз такое обуждение пошло, то мне стало интересно именно по критерию EP. Не составляет проблемы выполнить тесты на куче пакеров, но нужно немного допилить кэш инструкций, чтобы использовать те самые маркеры в памяти.


Ранг: 206.4 (наставник)
Статус: Участник

Создано: 16 июля 2018 22:21 New!
Цитата · Личное сообщение · #4

Шла восьмая страница обсуждения анпакер-эмулятора, к консенсусу в вопросе о том кто мудак прийти так и не удалось, но паблику тема близка и интересна

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 16 июля 2018 22:28 New!
Цитата · Личное сообщение · #5

f13nd
В следующей версии небольшой сюрпризик может быть, вот тогда активность еще сильнее возрастет.


Ранг: 650.8 (! !)
Статус: Участник
CyberMonk

Создано: 18 июля 2018 00:31 New!
Цитата · Личное сообщение · #6

Добавьте в список Safengine Shielden, будет точно весело

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 18 июля 2018 09:22 New!
Цитата · Личное сообщение · #7

mak
Мне показалось, или тут есть какой-то подвох? Хитрый протектор?

Вообще сначала самые распространенные.
А Shielden только вчера видел, но всего пара образцов. Хочется больше, к моменту добавления насобираем.


Ранг: 650.8 (! !)
Статус: Участник
CyberMonk

Создано: 18 июля 2018 12:24 New!
Цитата · Личное сообщение · #8

hypn0 ВМпротект страны Драконов, не хитрый, как и все протекторы, чаще попадается на китайских поделках, поддержка Safengine возможно откроет большую возможность баг репортов, т.к. дрэгонхакеры любят распаковщики построенные на ВМ, плюс вызов для Нуби

Поддержка Armadillo публичная есть? Ведь протектор уже мёртв

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 18 июля 2018 12:43 New!
Цитата · Личное сообщение · #9

mak пишет:
Поддержка Armadillo публичная есть?

Пока до протекторов даже не добирались. С пакерами задач много.
На счет публичной поддержки старых надо подумать. С одной стороны конечно можно, с другой стороны зачем рушить "бизнес" тех, кто умеет их распаковывать.

Ранг: 307.6 (мудрец)
Статус: Участник
ILSpector Team

Создано: 18 июля 2018 17:29 New!
Цитата · Личное сообщение · #10

hypn0 пишет:
зачем рушить "бизнес" тех, кто умеет их распаковывать.
так подумать, все универсальные анпакеры это зло. А по мне, это стимул для разработчиков защит не стоять на месте, стимул для разработчиков программ использовать новые протекторы, и стимул для бизнесменов с exelab развиваться).

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 18 июля 2018 19:11 New!
Цитата · Личное сообщение · #11

Medsft
Согласен. Только все возможные "извращения" разработчики защит уже перепробовали и теперь "развитие" идет в сторону накидывания мусорных инструкций, да побольше. Дополнительные слои защиты накидывают. Как раз для того, чтоб это проблемнее было снять вручную. Как по мне, так это так себе развитие.
Но и разработчиков защит понимаю, дальше развиваться некуда. Всё что было можно придумать (я про x86 и Windows), всё уже придумано. Следующий шаг только отдача кусков кода по интернету. Некоторые к этому уже пришли, но многим пользователям это не нравится, поэтому массовости такого извращения и не видим.

Вообще тут можно много дискутировать на эту тему. И вопросы в основном возникают глобальные. Куда дальше пойдет развитие. Многое уже в мобильные приложения ушло. Всё конечно не уйдет, но тенденция прослеживается.
Что-то уже ушло и еще уйдет в web. Что-то останется не смотря ни на что.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 18 июля 2018 19:26 · Поправил: difexacaw New!
Цитата · Личное сообщение · #12

hypn0

Ты мой друг наверно есчо криптор извратов не видел. Как обходят ав уже не одно десятилетие

А рассуждаете про какие то отрешённые от реальности вещи. Давно уже всё крутится на виртуализации, анклавах, визорах и тп. Эта вообще имхо тема отстала лет на десять. Но да, говном кидать вы умеете как я понял и знаете это лучше.

Какой то примитив что за минуты вручную можно разобрать конечно легко обсуждать.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 18 июля 2018 22:26 New!
Цитата · Личное сообщение · #13

difexacaw
Коллега, Вы темой ошиблись. Вам сюда: --> Link <--

Добавлено спустя 13 минут
difexacaw А что там по поводу Вашего чекера OEP? Если образцы надо, то просите, не стесняйтесь. Сколько Вам нужно? 5, 10, 1000, 10000 образцов? Готов предоставить.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 19 июля 2018 19:04 · Поправил: difexacaw New!
Цитата · Личное сообщение · #14

hypn0

Ошибся не ошибся без разницы, ресурс один.

> А что там по поводу Вашего чекера OEP?

Дойдём и до этого, вы же не думаете что это решается за дни. Нужно время. Текущую неделю я был занят иными совсем задачами, у меня есть реальная работа, которую нужно выполнять. Я спрошу у вас когда это будет нужно, не думайте что я не помню. Последние несколько месяцев я искал решение по визору каждый день, это резолвилось, пока в ближайшее время будет тишина. Я получил что хотел(нашёл решение), вбивать то в компилер в ближайшие дни не намерен. Пока паяется схема по теме мостов, не помню тут я это спрашивал или на васм.. так что не гоните коней".

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 19 июля 2018 20:54 New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Ошибся не ошибся без разницы, ресурс один.

И правда... Какая разница где гадить.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 11 августа 2018 21:04 · Поправил: hypn0 New!
Цитата · Личное сообщение · #16

XVolkolak 0.22

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
- Minor bugs fixed

| Сообщение посчитали полезным: RevCred, hors, daFix, mak, v00doo, sendersu, 4kusNick, XX-J, HandMill


Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 12 августа 2018 02:31 New!
Цитата · Личное сообщение · #17

Маленький оффтопик...
hypn0, мы тут уже шутили на тему, что "пофиксили с два десятка багов, в конце написали: Minor bugs fixed "

| Сообщение посчитали полезным: Jupiter


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 августа 2018 11:09 New!
Цитата · Личное сообщение · #18

v00doo А что не так? Если баги не критические, то вполне minor. Так что всё верно.

Ранг: 0.9 (гость)
Статус: Участник

Создано: 20 августа 2018 07:54 New!
Цитата · Личное сообщение · #19

hypn0 пишет:
XVolkolak 0.22


В XP-шный основной XVLK.exe не долили...

| Сообщение посчитали полезным: hors



Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 20 августа 2018 09:32 New!
Цитата · Личное сообщение · #20

XX-J пишет:
В XP-шный основной XVLK.exe не долили...


Файл перезалил. Спасибо за тестирование.

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 20 августа 2018 13:05 New!
Цитата · Личное сообщение · #21

Куда баки заслать?
Ну донатик так сказать хоть и не пользуюсь


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 20 августа 2018 13:34 · Поправил: hors New!
Цитата · Личное сообщение · #22

Mishar_Hacker пишет:
Куда баки заслать?
Ну донатик так сказать хоть и не пользуюсь


Если есть paypal, то сюда --> Link <-- На сайте кнопка "Donate".

Ранг: 19.7 (новичок)
Статус: Участник

Создано: 13 июля 2019 16:49 New!
Цитата · Личное сообщение · #23

привет! прошёл почти год с момента последнего релиза. Проект все ещё жив(для паблика)?


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 14 июля 2019 01:50 New!
Цитата · Личное сообщение · #24

RevCred пишет:
Проект все ещё жив?


Да.

RevCred пишет:
(для паблика)


Если это вопрос будут ли в паблике распаковка коммерческих протекторов(ASProtect, VMProtect...).
То к сожалению скорее всего не будет. По понятным причинам.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 18 июля 2019 20:08 New!
Цитата · Личное сообщение · #25

RevCred

А какой проект, этот тулз тупо два дейтвия делает - запустил и сдампил. Всё. Со сложными протекторами не получится, так как их нельзя просто так сдампить. А сабж не может определять событие EP.


Ранг: 526.1 (!)
Статус: Участник
5KRT

Создано: 18 июля 2019 21:06 New!
Цитата · Личное сообщение · #26

difexacaw
Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.


Из описания следует что не просто дампилка


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 18 июля 2019 21:53 · Поправил: hors New!
Цитата · Личное сообщение · #27

difexacaw пишет:
А какой проект, этот тулз тупо два дейтвия делает - запустил и сдампил. Всё


Действительно, что может быть проще. Только надо полностью написать загрузчик, менеджер памяти, проэмулировать всё окружение, системные структуры и WinAPI, прикрутить к этому делу эмулятор процессора
(в данном случае QEMU).
Сделать это всё платформонезависимым, чтобы одинаково работало на любой современной операционной системе любой разрядности.

difexacaw пишет:
Со сложными протекторами не получится, так как их нельзя просто так сдампить.


Да и лёгкие пакеры/протекторы нельзя просто так сдампить. С любым пакером/протектором надо работать индивидуально. Код для работы должен быть вынесен в отдельный модуль. Общие решения не будут работать абсолютно для всех пакеров/протекторов. Это нездоровые фантазии. Мы кажется на эту тему уже дискутировали.

difexacaw пишет:
А сабж не может определять событие EP.


Сабж прекрасно определяет событие EP всех заявленных пакеров. А определение EP коммерческих протекторов не будет в паблике по понятным причинам.

| Сообщение посчитали полезным: mak



Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 19 июля 2019 04:49 · Поправил: Bronco New!
Цитата · Личное сообщение · #28

hors пишет:
Сделать это всё платформо независимым, чтобы одинаково работало на любой современной операционной системе любой разрядности.

чтоб да, так нет...
заглянул сюда, зачем то, для каждой ОС свой билд:
---------
XVolkolak 0.22

Windows 7-10 Download
Windows XP Download
Linux Ubuntu 18.04 x64 Download
OSX Download
---------
пакеры из списка, все х32, и все под винду. хотя тема с QEMU меня очаровала.


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 19 июля 2019 10:06 · Поправил: hors New!
Цитата · Личное сообщение · #29

Bronco пишет:
чтоб да, так нет...
заглянул сюда, зачем то, для каждой ОС свой билд:
---------
XVolkolak 0.22

Windows 7-10 Download
Windows XP Download
Linux Ubuntu 18.04 x64 Download
OSX Download


Всё правильно. Для каждой оси должен быть свой собственный бильд, скомпилированный из одного и того же исходного кода. Сборки работают одинаково на всех системах.
Или у Вас есть какие-то другие представления о мультиплатформенности? Поделитесь, пожалуйста. Если можно с примерами.

Bronco пишет:
пакеры из списка, все х32, и все под винду. хотя тема с QEMU меня очаровала.


Нет. Пакеры из списка не все х32. UPX и MPress имеют версии для х64. Они тоже поддерживаются.

Естественно, что заявленные пакеры все под винду. Никто пока не интересовался возможностью добавления в XVolkolak пакеров под OSX или Линукс(Хотя никаких технических препятствий этому нет). А раз так, то это никому не нужно.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 19 июля 2019 17:41 · Поправил: difexacaw New!
Цитата · Личное сообщение · #30

hors

> Только надо полностью написать загрузчик, менеджер памяти, проэмулировать всё окружение, системные структуры и WinAPI, прикрутить к этому делу эмулятор процессора

> Общие решения не будут работать абсолютно для всех пакеров/протекторов. Это нездоровые фантазии. Мы кажется на эту тему уже дискутировали.

Общее решение отлично работает(dye), как пример - безошибочное определение EP общим критерием и стабильная работа почти всех известных протекторов(я множество примеров приводил), за исключением aspr(тут рядом тема, но там какой то скрытый баг). Так что это не фантазии, а отработанная на огромном числе семплов техника. При этом ничего эмулировать не нужно, за исключением ветвлений, эмуляция которых занимает 300 строк асм-кодеса.

У эмуляции есть лишь один плюс - она быстрее не пакетного исполнения, так как не нужно перезагружать контекст. Но прирост скорости очень не существенный. При этом есть два недостатка - пакетная эмуляция невозможна(те нельзя скипнуть блок/цикл) и эмулятор очень толстый и не стабильный.

> Сделать это всё платформонезависимым

А вот это действительно невозможно.

Добавлено спустя 5 минут
> Сабж прекрасно определяет событие EP всех заявленных пакеров. А определение EP коммерческих протекторов не будет в паблике по понятным причинам.

Определяет хардкодом ?
Конечно в таком случае нужно использовать сигнатуры для конкретного прота. А есчо сложные проты эмулятор ваш возможно не может крутить, те дойти до фазы дампа(те до OEP). Кстате это опенсорсный проект или нет, интересно конкретно посмотреть как там что крутится ?


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 19 июля 2019 18:01 · Поправил: Bronco New!
Цитата · Личное сообщение · #31

hors, Спасибо за ответ.
другие представления о мультиплатформенности?
только в патетике...
дальше винды ничего не собираю, хз как в никсах загрузчик работает, если вайне нет.
так что сорян за левый пост.
--------
У меня вопрос по эмулятору процессора , а точнее по сегментным регистрам.
Под Unicorn, всё тот же QEMU, и сегментные регистры , вроде как есть.
Инфу беру из под дебагера, она стабильно не меняется, но получить по смещениям эффективный адрес, как то не светится.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS