eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Trotil, LoxmatbIj (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 .
Посл.ответ Сообщение

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 31 марта 2018 12:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #1

Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK



Ранг: 64.8 (постоянный)
Статус: Участник

Создано: 2 августа 2019 17:19 New!
Цитата · Личное сообщение · #2

hors пишет:
С нулями вроде решена проблема в последней версии.

Приветствую ) Спасибо за 0.22
Проверил на тех же файлах. Тоже самое. Кину в личку.


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 2 августа 2019 17:41 New!
Цитата · Личное сообщение · #3

==DJ==[ZLO] пишет:
Проверил на тех же файлах. Тоже самое. Кину в личку.


Спасибо. Буду разбираться


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 3 августа 2019 15:52 New!
Цитата · Личное сообщение · #4

difexacaw пишет:
зачем вам это

"доктор", что за вопросы?
-------
hors, где то в топе мелькал текст по плагинам. в частности к отладчику мистера диа.
в сниффер как то не вкурился, зачем он нужен, если есть тулза отдельная, тем более он куцый.
а вот по певьюверу зацепило.
на фулл редач конечно не рассчитываю, но хотя бы можно сделать указатели "живыми", а не рав как в обычном вьювере? всё таки дело крутиться по дебагером. кликнул_посмотрел_поправил...))
и заметил, что с таблицей егоров как то ваще никак.
было дело что просто скриптами парсил_правил, структура конечно бывает глубоко уходит, но есть же описание, и оно не сложное.

| Сообщение посчитали полезным: hors


Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 3 августа 2019 16:53 New!
Цитата · Личное сообщение · #5

Bronco

У тебя как всегда какой то эльфийский язык. Сабж работает лишь на паре примитивных протекторов, выше я это показал.


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 3 августа 2019 18:12 · Поправил: Bronco New!
Цитата · Личное сообщение · #6

Clerk пишет:
какой то эльфийский язык

и сколька бУкав у них в алфавите?))
Clerk пишет:
Сабж работает лишь на паре примитивных протекторов, выше я это показал.

я не пойму чего тебя так заедает. То ты к дрову КвикУнпака прицепился, хотя у того список таргетов ого-го.
И соавторы там именитые.
теперь тебе тема с кьюэму не нравиться. В заголовке топа же написано чёрненьким, шО цЭ такЭ..))
Тебе shelshtorm предлагал же трасер написать под обе архитектуры.И была бы потребность в этом.
Мне лично припарило эмулить всякую системную шнягу, чтобы выдрать код с апа.
а юзать толстый пин и риа как то напряжно.


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 3 августа 2019 18:20 New!
Цитата · Личное сообщение · #7

Bronco пишет:
на фулл редач конечно не рассчитываю, но хотя бы можно сделать указатели "живыми", а не рав как в обычном вьювере? всё таки дело крутиться по дебагером. кликнул_посмотрел_поправил...))
и заметил, что с таблицей егоров как то ваще никак.


Exception Table я конечно добавлю,
Идея с живыми указателями интересная, попробую что-нибудь придумать.

| Сообщение посчитали полезным: Bronco


Ранг: 11.4 (новичок)
Статус: Участник

Создано: 4 августа 2019 18:31 New!
Цитата · Личное сообщение · #8

Виндовс 7 блокнот ->UPX ->сабж->Не запускается

| Сообщение посчитали полезным: hors



Ранг: 291.1 (наставник)
Статус: Участник

Создано: 4 августа 2019 18:57 · Поправил: difexacaw New!
Цитата · Личное сообщение · #9

esa_r

Оно и не должно запуститься. В импорте блокнота 7-ки не паблик апи(по ординалам). Они не описаны в эмуляторе. Это как минимум. Запускать нужно исключительно на хп.


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 4 августа 2019 20:35 New!
Цитата · Личное сообщение · #10

esa_r пишет:
Виндовс 7 блокнот ->UPX ->сабж->Не запускается


Спасибо за тестирование. Буду разбираться.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 8 августа 2019 18:01 New!
Цитата · Личное сообщение · #11

hors

Разбирал крэкми с васма, решил посмотреть что будет если сабжем крутнуть. Куча ошибок.


Ранг: 329.2 (мудрец)
Статус: Участник
born to be evil

Создано: 8 августа 2019 18:57 New!
Цитата · Личное сообщение · #12

difexacaw
не тестил SVKP? он загнулся давно, но тем не менее. лет много назад заставил подумать


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 8 августа 2019 19:17 New!
Цитата · Личное сообщение · #13

ajax

А что это ?
Судя по гуглу это какая то малварь.


Ранг: 329.2 (мудрец)
Статус: Участник
born to be evil

Создано: 8 августа 2019 19:31 New!
Цитата · Личное сообщение · #14

difexacaw
перестаньте усматривать малварь в том, что дают всякие av. это был прот. скинул в личку


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 8 августа 2019 20:05 · Поправил: hors New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Разбирал крэкми с васма, решил посмотреть что будет если сабжем крутнуть. Куча ошибок.


Удивительно.

Я сделал программу с ОДНОЙ КНОПКОЙ.
Я ясно написал что с ней можно делать, а что нет.

Оказывается она не может распаковывать какие-то крэкми.
Печаль.

Но думающий человек из всего извлекает уроки. Итогом мучительных поисков стала новая концепция ОДНОЙ КНОПКИ.



Очевидно что теперь нельзя запустить распаковщик от одного упаковщика/протектора на другом упаковщике/протекторе.

| Сообщение посчитали полезным: Adler



Ранг: 291.1 (наставник)
Статус: Участник

Создано: 8 августа 2019 20:32 New!
Цитата · Личное сообщение · #16

hors

Паковка не причём, там не проходит эмуль тлс/сех.


Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 8 августа 2019 21:04 New!
Цитата · Личное сообщение · #17

difexacaw пишет:
hors

Паковка не причём, там не проходит эмуль тлс/сех.


Это конечно всё очень печально и несправедливо. Но какое отношение это имеет к заявленному функционалу?

Эмуль TLS и SEH кстати реализован на базовом уровне. Если он у тебя не проходит, значит там совсем не базовый уровень, реализации которого здесь не будет по понятным причинам.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 9 августа 2019 18:39 New!
Цитата · Личное сообщение · #18

hors

Тебе выше чел привёл пример, ты ответил что буду разбираться. Я думал тебе будет интересно откуда сыпятся фейлы, я например свой тулз допиливаю при тестах на семплах и это за радость. Ты же какой то хз.. на всё один ответ, как будто проклинило:

> здесь не будет по понятным причинам.

Каким причинам и почему я хз. Скажи прямо что не осилил и не саппортишь. Тогда и тема твоя нафиг никому не нужна и мне не интересна.

| Сообщение посчитали полезным: hors


Ранг: -10.6 (нарушитель)
Статус: Участник

Создано: 9 августа 2019 20:19 · Поправил: sty New!
Цитата · Личное сообщение · #19

Толпа жадно читает исповеди, записки etc., потому что в подлости своей радуется унижению высокого, слабостям могущего. При открытии всякой мерзости она в восхищении. Он мал, как мы, он мерзок, как мы! Врете, подлецы: он и мал и мерзок — не так, как вы — иначе.
( А. С. Пушкин из письма П. А. Вяземскому 1825 г.)

По-моему, с 1825 года так ничего и не изменилось.

| Сообщение посчитали полезным: hors


Ранг: 5.8 (гость)
Статус: Участник

Создано: 9 августа 2019 20:30 New!
Цитата · Личное сообщение · #20

[offtop]
sty пишет:
Толпа жадно читает исповеди, записки etc.,

Навеяло --> Link <--
[/offtop]

| Сообщение посчитали полезным: hors



Ранг: 132.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 9 августа 2019 23:25 New!
Цитата · Личное сообщение · #21

difexacaw пишет:
Тебе выше чел привёл пример, ты ответил что буду разбираться.


И действительно буду разбираться.

difexacaw пишет:
Я думал тебе будет интересно откуда сыпятся фейлы,


Попытаюсь объяснить. К примеру завод выпускает крестовые отвёртки для закручивания шурупов. К отвёрткам прилагается красивая инструкция с картинками, какие шурупы можно закручивать, какие нельзя.
Один покупатель решает с помощью этой отвёртки ковыряться в ухе. Получается не очень хорошо. И вот он пишет гневные письма на завод, пытается привлечь других людей. Но его почему-то все игнорируют.

difexacaw пишет:
Каким причинам и почему я хз.


По причинам очевидным.

difexacaw пишет:
Скажи прямо что не осилил и не саппортишь.


Ещё раз. Программа заявлена как распаковщик-эмулятор некоммерческих пакеров.
Где здесь что-то про "проблемы TLS/SEH крэкми с васма"?

difexacaw пишет:
Тогда и тема твоя нафиг никому не нужна и мне не интересна.


--> Link <--

На самом деле, Инди, мне всегда очень интересно твоё мнение. Описанный выше интерфейс с ОДНОЙ КНОПКОЙ был инспирирован беседами с тобой. Так что не пропадай.

| Сообщение посчитали полезным: VOLKOFF



Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 15 августа 2019 21:00 · Поправил: Bronco New!
Цитата · Личное сообщение · #22

sty пишет:
А. С. Пушкин из письма П. А. Вяземскому 1825 г

Круто, я даже не знал что они френдами были..))
Увы но у меня нет времени читать письма, двухсот летней давности.
-------------
немножЕчко о своём.хз куда пост тыкнуть, тему плодить не хочу. Сорян ТС.
Аппгейм стал падать после обновы периферии.Дрова вроде свежие.
Code:
  1.          test eax, eax
  2.          jns short @L00000001
  3.          mov dword ptr ds:[0x0000000000000002], eax << boom!!
  4.  
  5. @L00000001:
  6.          mov rcx, qword ptr ds:[rbx+0x478]
  7.          xor r8d, r8d
  8. ------------
  9. EXCEPTION_DEBUG_INFO:
  10.            dwFirstChance: 1
  11.            ExceptionCode: C0000005 (EXCEPTION_ACCESS_VIOLATION)
  12.           ExceptionFlags: 00000000
  13.         ExceptionAddress: 0000000140A32C3D 
  14.         NumberParameters: 2
  15. ExceptionInformation[00]: 0000000000000001 Write
  16. ExceptionInformation[01]: 0000000000000002 Inaccessible Address
  17. First chance exception on 0000000140A32C3D (C0000005, EXCEPTION_ACCESS_VIOLATION)!

хз с такими указателями не встречался, по телу аппа их штук 60, после егора вылазит либа верификации, ген крашдампа, и апп в аут. В регистре по ходу "мёртвый указатель" на память.

Ранг: -10.6 (нарушитель)
Статус: Участник

Создано: 16 августа 2019 04:19 · Поправил: sty New!
Цитата · Личное сообщение · #23

Bronco пишет:
Увы но у меня нет времени читать письма, двухсот летней давности.


Bronco, ну вам-то с вашим характером, от этого была бы польза разве что только для расширения кругозора, а вот difexacaw иногда, по-моему, наступает на "старые грабли" Во времена Пушкина он бы уже давно погиб на дуэли и не исключено, что от вашего же пистолета .


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 16 августа 2019 12:20 New!
Цитата · Личное сообщение · #24

Bronco

Нужно больше инфы.

test -> SF устанавливается в зависимости от мода, для кернел выполниться обращение к нулевой странице и соответственно это способ уронить ос, если конечно не стоит ловушка. Зачем это сделано трудно даже предположить.


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 16 августа 2019 15:13 · Поправил: Bronco New!
Цитата · Личное сообщение · #25

difexacaw, хз адрес же не пространстве системных библиотек, это секция кода таргета, и
в регистре всегда есть значение, в случае исключения, оно просто константа.
вот куда указатель в инструкции указывает хз.
difexacaw пишет:
Нужно больше инфы.

подозрение на слай режим, до апдейта была одна видяха.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 .
 eXeL@B —› Софт, инструменты —› XVolkolak 0.10 unpacker emulator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS