| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› RL!dePacker v1.5 release vs TitanEngine |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 31 июля 2009 16:31 · Личное сообщение · #1 From: ReversingLabs Author: tpericin Tehnical info: RL!dePacker has a build in option to detect OEP. However this option does not work with VB (always use FindOEP! function with VB applications and Force to manual OEP?) and some packers. So if RL!dePacker can not unpack the file use FindOEP! function to detect correct OEP, but use it only as a second resort since it can be jammed! ° Option Force OEP to manual address is used to force stopping on manual OEP address, use this option ONLY if packer can not be unpacked (the target runs instead of breaking at OEP or dumps at wrong OEP). ° Option Correct OEP to manual address is used correct OEP in PE header of the unpacked file. ° Option Hide unpacker from detection is used hide debugger from being detected by antiTricks. Option Use tracer to correct IAT is used to remove all known redirection types. ° Option Fix Import elimination is used on applications that relocate import table in memory outside PE32 file. This option has been tested with AlexProtector 1.0 and RLPack TE 1.18. Please note that even dow this option is in testing it should give good results on all known redirection types (see TitanEngine). ° Option Paste PE.Header from disk is used correct paste original PE header to the unpacked file. Generic unpacker can unpack ONLY packers that do not use IAT redirection, that don’t steal APIs and which fill out IAT table in correct order. All ordinals that can be converted to API names are converted, others are inserted into IAT as ordinals! Designed for NT systems, Windows 2000 or later but it should work on Windows Millenium if you have psapi.dll file! Please note that this unpacker does NOT work with AV/FW software (this means Kaspersky) which hooks LoadLibrary and GetProcAddress in ring3. If you do not want to change your AV/FW solution run this unpacker in VM. Then it should work fine. What is new: - Updated engine parts with unrealeased SDK 1.5 libraries - Tested with even more packers - Minor unpacker changes RL!dePacker is tested with 101+ packers: aUS [Advanced UPX Scrambler] 0.4 - 0.5 ASPack 1.x - 2.x ASPack Scrambler 0.1 ASDPack 2.0 AHPack 1.x AlexProtector 1.x ARMProtector 0.x BJFNT 1.3 BeRoEXEPacker 1.x BamBam 0.x CryptoPeProtector 0.9x Crunch x.x CodeCrypt 0.16x dot Fake Signer 3.x dePack eXPressor 1.2.x - 1.5.x EZip 1.0 EP Protector 0.3 Escargot 0.x EXEStealth 2.x ExeSax 0.9x FSG 1.xx & 2.0 Fusion x.x Goat's PE Mutilator 1.6 hmimys-Packer 1.x Hmimys PePack 1.0 HidePX 1.4 HidePE 2.1 ID Application Protector 1.2 JDPack 1.x JDProtect 0.9 Just Another Pe Packer 0.5 KByS Packer 0.2x Krypton 0.x LameCrypt 1.0 MEW 1.x mkfpack NackedPack 1.0 nSPack 2.x - 3.x nPack 1.x NeoLite 1.x - 2.0 NWCC OrIEN 2.1x PECompact 1.x - 2.x PeX 0.99 PC Shrink 0.71 Polyene 0.01 PackMan 0.0.0.1 & 1.0 PE Diminisher 0.1 PolyCrypt PE 2.1.5 PeTite 1.x PEStubOEP 1.6 PELockNT 2.x PePack 1.0 PC PE Encryptor alpha PackItBitch PEncrypt 4.0 PEnguinCrypt 1.0 PeLockNt 2.x PeLock 1.0x PESHiELD 0.25 Perplex PE-Protector 1.x PeTite 1.0 - 1.3 PKLITE32 1.x RLP 0.6.9 - 0.7.x RLPack Basic Edition 1.x RLPack Modifier Edition 1.x ReCrypt 0.15 - 0.80 Stone`s PE Encryptor 2.0 StealthPE 2.1 Software Compress 1.x SPLayer 0.08 ShrinkWarp 1.4 SPEC b3 SmokesCrypt 1.2 Simple UPX-Scrambler SimplePack 1.x SLVc0deProtector 1.x tELock 0.x UPX 0.8x - 2.x UPXRedir UPXCrypt UPX Inkvizitor UPXFreak 0.1 UPolyX 0.x UPXLock 1.x UG Chruncher 0.x UPX-Scrambler RC 1.x UPX Protector 1.0x UPXShit 0.06 & 0.0.1 UPXScramb 2.x VirogenCrypt 0.75 VPacker 0.02.10 WWPack32 1.x WinUPack 0.2x - 0.3x Winkript 1.0 yC 1.x yZPack 1.x - 2.x 32Lite 0.3a !EP (ExE Pack) 1.x [G!X]`s Protector 1.2  TitanEngine v2.0 One of the greatest challenges of modern reverse engineering is taking apart and analyzing software protections. During the last decade a vast number of such shell modifiers have appeared. Software Protection as an industry has come a long way from simple encryption that protects executable and data parts to current highly sophisticated protections that are packed with tricks aiming at slow down in the reversing process. Number of such techniques increases every year. Hence we need to ask ourselves, can we keep up with the tools that we have? Protections have evolved over the last few years, but so have the reverser tools. Some of those tools are still in use today since they were written to solve a specific problem, or at least a part of it. Yet when it comes to writing unpackers this process hasn’t evolved much. We are limited to writing our own code for every scenario in the field. We have designed TitanEngine in such fashion that writing unpackers would mimic analyst’s manual unpacking process. Basic set of libraries, which will later become the framework, had the functionality of the four most common tools used in the unpacking process: debugger, dumper, importer and realigner. With the guided execution and a set of callbacks these separate modules complement themselves in a manner compatible with the way any reverse engineer would use his tools of choice to unpack the file. This creates an execution timeline which parries the protection execution and gathers information from it while guided to the point from where the protection passes control to the original software code. When that point is reached file gets dumped to disk and fixed so it resembles the original to as great of a degree as possible. In this fashion problems of making static unpackers have been solved. Yet static unpacking is still important due to the fact that it will always be the most secure, and in some cases, fastest available method. TitanEngine can be described as Swiss army knife for reversers. With its 250 functions, every reverser tool created to this date has been covered through its fabric. Best yet, TitanEngine can be automated. It is suitable for more than just file unpacking. TitanEngine can be used to make new tools that work with PE files. Support for both x86 and x64 systems make this framework the only framework supporting work with PE32+ files. As such, it can be used to create all known types of unpackers. Engine is open source making it open to modifications that will only ease its integration into existing solutions and would enable creation of new ones suiting different project needs. Features: Integrated x86/x64 debugger Integrated x86/x64 disassembler Integrated memory dumper Integrated import tracer & fixer Integrated relocation fixer Integrated file realigner Functions to work with TLS, Resources, Exports,… www.reversinglabs.com/products/TitanEngine.php Download: rapidshare.com/files/262130121/TitanEngine.v2.0.rar RLDepacker Download: www.onlinedisk.ru/file/189107/ ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube  |
|
|
Создано: 31 июля 2009 16:55 · Личное сообщение · #2 вах, больше всего радует это TitanEngine, да они говорили что вторая версия UnpackEngine уже будет на сях, но то что она еще будет по другому называтся, но и это как-то хер с ним, зато как расширили функционал сдк, за это респект 
----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 31 июля 2009 17:09 · Личное сообщение · #3 Несмотря на то, что сегодня 31-ое июля, : Link will be available on July 31st ----- EnJoy! |
|
|
Создано: 31 июля 2009 17:10 · Личное сообщение · #4 mak Test it ,OK. |
|
|
Создано: 31 июля 2009 17:13 · Поправил: BoRoV · Личное сообщение · #5 Jupiter пишет: Несмотря на то, что сегодня 31-ое июля, выдаёт:Link will be available on July 31st угу, тож удивило, а также что форум пустой, а потом посмотрел на даты постов(там их всего 2 ), а они вчера созданы, значит они только открылись походуДобавлено: а что это за черная шапка, что ее имя присутствует в имени релиза титана? ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 31 июля 2009 23:02 · Личное сообщение · #6 BoRoV пишет: а что это за черная шапка, что ее имя присутствует в имени релиза титана? ;)))) это хакерская конференция 
----- EnJoy! |
|
|
Создано: 31 июля 2009 23:08 · Личное сообщение · #7 да я потом погонял поиск, и нашел даже там апоксовскую презентацию www.blackhat.com/presentations/bh-usa-09/VUKSAN/BHUSA09-Vuksan-FastFurious-SLIDES.pdf ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 01 августа 2009 01:29 · Личное сообщение · #8 Написал бы уже мегаUPX-анпакер , а то RL!dePacker v1.5 release vs TitanEngine видать побоялся что засмеют
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 01 августа 2009 02:18 · Личное сообщение · #9 вот собсна и двиг: Titan Engine 2.0 в архиве исходники и примеры 1.91 MB Solid RAR скачать с офсайта: 2.32 MB RAR ----- EnJoy! |
|
|
Создано: 01 августа 2009 02:58 · Личное сообщение · #10 скомпиленные примеры deUPX, deBeRoEXEPacker (картинки одинаковые)  6c2a_31.07.2009_CRACKLAB.rU.tgz - deUPX_deBeRoEXEPacker.rar
----- EnJoy! |
|
|
Создано: 01 августа 2009 11:23 · Личное сообщение · #11 Всегда меня немного удивляло, как люди с кучей барахла могут ездить по конференциям. Взять, к примеру Hump-Dump: Efficient generic unpacking-как-то так называется, это ж редкостная хрень. А умудряются получать финансирование на это, гранты какие-то. Или это. Поглядеть повнимательнее-убогое дебаг апи, что сразу срежет половину протов, включая проты с несколькими процессами. Трассинг импорта вообще ужас во плоти, чего только стоят куча сравнений инструкций там. Да и структура хреновая, ну кто в здравом уме сливает всё в 1 файл под 800 Кб. Зато ездят на блакхат, пиарятся... Поделка пригодится может, если хочется просто научиться писать какой-нить анпакер простенький, для дела не годится никак. |
|
|
Создано: 01 августа 2009 12:03 · Поправил: mak · Личное сообщение · #12 весь смак в другом , я эту тенденцию уже во многих фирмах увидел ранее, даже общаясь с разработчиками. Фирмы работают над профессиональными средствами анпака. Цель вывести это на рынок продаж , тоесть это будет комерческий проект. Вообще даже не только анпак, а вообще всю подноготную крека хотят комерциализировать. В данном случае важно не с чем , а почему  . Определенное начало уже положено. Этот толчок вызван именно иностранными государствами. Возможно такой ход был вызван самими крэкерами, потому что законодательство там работает по другому принципу , и сам кряк приследуется, а сеть мониторится постоянно , на наличие сбора групп. Для этого решили леголизовать эту профессию. Цели собраний как раз выявить потенциал рынка. Поэтому если нет контактов с европой попасть туда трудно. Кстати обьява о блэк хэтэ была на каком то сайте , там могли желающие зарегится для участия. Идея СДК не нова , тем не менее основные функции собранные воедино , да и еще для разных систем компилить можно, это не асм пе либа. Таким образом много что можно сделать и доделать, внести еще разных функций СДК , самого титана , это было бы классно. Есть части которые оч важны в анпаке , а все остальное как доп. функции. Трасер слаб , хотя эксперементируя с трасерами и протами , я пока не нашел классный вариант , задолбался уже искать методы и варианты  , везде есть какие то недостатки. От этого сразу смотреть можно проще на все. Тем более проект то развиваться будет.Я вот только одного не понял , причем тут рлп депакер и титан енджин , если в эбауте стоит что там обновленный анпак енджин версии 1.5 , а внизу стоит титан 2.0. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 01 августа 2009 13:55 · Личное сообщение · #13 Впечатляет набор функций ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 01 августа 2009 16:06 · Поправил: Av0id · Личное сообщение · #14 что за ImportStudio? есть инфа какая-нибудь? www.youtube.com/watch?v=O3mY_aJDMFw |
|
|
Создано: 01 августа 2009 16:21 · Поправил: Модератор · Личное сообщение · #15 Av0id пишет: что за ImportStudio? есть инфа какая-нибудь?http://www.youtube.com/watch?v=O3mY_aJDMFw малваре.ехе запакованное упх-ом, ну смешно же ей богу)) пускай у протов/крипторов так импорт восстановят. ----- [nice coder and reverser] |
|
|
Создано: 01 августа 2009 19:31 · Поправил: mak · Личное сообщение · #16 Av0id ImportStudio - OllyDBG plugin базирующийся на Титане , все тоже самое. Востановление будет храмать, но зато гуи красивое , есть повод задуматься о новом плагине для сильной и универсальной востановке импорта, не сильная но конкуренция скриптам. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 02 августа 2009 18:52 · Личное сообщение · #17 кста в сорсах всё не юникодное (функи с окончанием A) CreateFileA / lstrcpyA / lstrcatA видимо это первое, что пофиксят наши ускогласые соседи ;)) также несколько удивило использование RtlZeroMemory вместо сишных ф-ций и вообще сложилось впечатление, что двиг переводился с асма ----- EnJoy! |
|
|
Создано: 02 августа 2009 19:20 · Личное сообщение · #18 А где скачать мона этот ImportStudio? На офсайте reversinglabs его вроде нет |
|
|
Создано: 02 августа 2009 20:21 · Личное сообщение · #19 mak пишет: Я вот только одного не понял , причем тут рлп депакер и титан енджин , если в эбауте стоит что там обновленный анпак енджин версии 1.5 , а внизу стоит титан 2.0. этот же депакер и имеет версию 1.5 соответствено используемому энжейну, наверное на паблике еще нету, но есть депакер 2.0 вот он на титане, да и это не главное, а главное то, что он еще к тому же и опенсорсный
----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 03 августа 2009 04:28 · Личное сообщение · #20 QU в разы серьезней, чем это. Кому нужен генерик - берите последний квик анпак и подучите lua |
|
|
Создано: 04 августа 2009 07:23 · Личное сообщение · #21 тут код открытый |
|
|
Создано: 04 августа 2009 07:43 · Личное сообщение · #22 И что? Сколько уже эта лабуда существует - хоть кто-то взялся дорабатывать изначально ущербный код? |
|
|
Создано: 04 августа 2009 11:59 · Личное сообщение · #23 Если я не ошибаюсь, то UnpackerEngine стало открытым только с версии 1.5, а это не так уж давно ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 04 августа 2009 12:17 · Личное сообщение · #24 BoRoV пишет: Если я не ошибаюсь, то UnpackerEngine стало открытым только с версии 1.5, а это не так уж давно Вот сайт самого автора ap0x.jezgra.net/ и исходники там валяются с 2006г назывался он ap0xunpacker
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 04 августа 2009 12:45 · Личное сообщение · #25 мда, точно, сорсы переводились с асма на си ----- EnJoy! |
|
|
Создано: 04 августа 2009 16:09 · Личное сообщение · #26 BoRoV пишет: Если я не ошибаюсь, то UnpackerEngine стало открытым только с версии 1.5, а это не так уж давно сырки доступны уже очень давно, а ничего, кроме unUPX, да непонятно что распаковывающего RLdePacker так и не появилось. |
|
|
Создано: 05 августа 2009 05:42 · Личное сообщение · #27 Gideon Vi пишет: QU в разы серьезней, чем это. Кому нужен генерик - берите последний квик анпак и подучите lua Я бы не сказал, что серьёзнее. Чем? Скрипты прикрутили? А драйвер там нихрена не стабильно работает, очень часто на некоторых машинах можно лицезреть BSOD  Jupiter пишет: мда, точно, сорсы переводились с асма на си так и есть. в начале проект был тока под асм, потом заточили под делфи и си. Gideon Vi пишет: сырки доступны уже очень давно, а ничего, кроме unUPX, да непонятно что распаковывающего RLdePacker так и не появилось. ИМХО, полезно для новичков, многие вот спрашивают: "подскажите плиз где взять какой нить простенький анпакер с сырками?".  Вот для них позновательно буит.
|
|
|
Создано: 05 августа 2009 13:24 · Личное сообщение · #28 MasterSoft пишет: Чем? Скрипты прикрутили? QU - принципиально лучший из паблик генерик анпакеров. MasterSoft пишет: А драйвер там нихрена не стабильно работает, очень часто на некоторых машинах можно лицезреть BSOD заставить qu бсоднуть - редкий талант нужен. Отчасти поздравляю MasterSoft пишет: Вот для них позновательно буит. убого там все. Но может пусть новички отпишуться: юзал кто-нибудь это с момента появления? |
|
|
Создано: 02 сентября 2009 18:02 · Личное сообщение · #29 TitanEngine 2.0.1 SDK Extended SDK headers to support Delphi Changes to SDK.h to support non MSVC compilers Changed the file/folder layout and fixed relative paths in RC file Docs: Removed type-o mistakes and bad function definitions Bug fixes Fixed some mistakes in SDK.h Added missing entries in TitanEngine.def FindEx searched only 0x1000 bytes Fixed a minor bug inside injectTerminator EngineExtractForwarderData crash on invalid input RelocaterGrabRelocationTableEx doesn't grab whole table RelocaterCompareTwoSnapshots crash when first DWORD of the snapshot is relocated RelocaterCompareTwoSnapshots doesn't correctly compare two snapshots for some packers ImporterAutoFixIATEx very rare crash handled by handler but it makes import table invalid ImporterAutoFixIATEx incorrect import fixing if import is only exported by ordinal ImporterAutoFixIATEx incorrect stepping if step is greater than one Fixed StaticLoadFile & StaticUnloadFile to be compatible with x64 Fixed a problem with imports and WinSxS folder Fixed a crash with Librarian on Windows XP x64 Fixed problem with NtdllDefWindowProc on Vista x64 Fixed problem with deleting temp files: DLLLoader.exe & *.module base reserve file Fixed problem with DumpProcess on x64 systems Fixed problem with DumpProcess and empty last PE sections Fixed problem with DumpProcess and files with non default SectionAlignment Fixed problem with DumpProcess and dumping PAGE_GUARD protected memory Fixed UPX unpacker sample not working on files packed with --lzma option Fixed problem with Exporter module and building new export table under x64 systems Fixed problem with Importer module and Windows 7 kernelbase.dll MiniWin Fixed problem with RealignPE/RealignPEEx and files with non default SectionAlignment Additions Fill & FillEx now have a default fill byte value of 0x90 if no fill byte is supplied SetHardwareBreakPointEx function for setting breakpoints in custom threads Global variable UE_ENGINE_RESET_CUSTOM_HANDLER set to TRUE resetting custom handler on debug init Improved speed of API & DLL data resolving Added function: ImporterAddNewOrdinalAPI Added function: ImporterGetAPIOrdinalNumber Added function: ImporterGetAPIOrdinalNumberFromDebugee Added function: ImporterGetForwardedAPIOrdinalNumber Added function: ImporterGetLastAddedDLLName Added function: ImporterGetDLLName Added function: GetUnusedHardwareBreakPointRegister Changed function: HideDebugger, less parameters and x64 compliant Added function: UnHideDebugger Added function: GetPEBLocation Samples Unpacking ASPack 2.12, features usage of: RelocaterGrabRelocationTableEx and GetRemoteString Unpacking FSG 2.0, features usage of: overlay detection Unpacking PeCompact 2.0 - 3.x, features usage of: ImporterAutoFixIATEx with custom callback for fixing redirection Unpacking DEF 1.0, features usage of: static unpacker functions Unpacking LameCrypt 1.0, features usage of: static unpacker functions ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 15 апреля 2010 00:19 · Поправил: sendersu · Личное сообщение · #30 TitanEngine 2.0.2 SDK Added functions to support UNICODE Extended SDK headers to support MASM32 Changes to SDK.h to support non MSVC compilers, Set default structure align to: 1 byte Removed type-o mistakes and bad function definitions Bug fixes Fixed some mistakes in SDK.h Fixed a bug in SetPE32DataForMappedFile Fixed a bug with import processing and Windows7 x64 Fixed a bug in PastePEHeader which made it not work on x64 Fixed a bug in PastePEHeader which prevented header paste when header doesn't have write attribute Fixed a rare disassemble crash which happened due to distorm not having enough space Fixed problem with GetPE32DataFromMappedFileEx and x64 Fixed a rare problem with FindEx and some memory ranges Fixed a bug inside LibrarianGetLibraryInfoEx Additions Added functions RelocaterRelocateMemoryBlock, ThreaderImportRunningThreadData, EngineFakeMissingDependencies EngineDeleteCreatedDependencies, EngineCreateMissingDependencies, EngineCreateMissingDependenciesW ExtensionManagerIsPluginLoaded, ExtensionManagerIsPluginEnabled, ExtensionManagerDisablePlugin ExtensionManagerDisableAllPlugins, ExtensionManagerEnablePlugin, ExtensionManagerEnableAllPlugins ExtensionManagerUnloadPlugin, ExtensionManagerUnloadAllPlugins, ExtensionManagerGetPluginInfo HooksSafeTransition, HooksSafeTransitionEx, HooksIsAddressRedirected, HooksGetTrampolineAddress HooksGetHookEntryDetails, HooksInsertNewRedirection, HooksInsertNewIATRedirection HooksInsertNewIATRedirectionEx, HooksRemoveRedirection, HooksRemoveRedirectionsForModule HooksRemoveIATRedirection, HooksDisableRedirection, HooksDisableRedirectionsForModule HooksDisableIATRedirection, HooksEnableRedirection, HooksEnableRedirectionsForModule HooksEnableIATRedirection, HooksScanModuleMemory, HooksScanEntireProcessMemory HooksScanEntireProcessMemoryEx, StaticRawMemoryCopy, StaticMemoryDecompress, StaticMemoryDecryptSpecial, ResourcerFindResource, ResourcerEnumerateResource, StaticHashMemory, StaticHashFile, IsFileBeingDebugged Added TitaniumHooks as a module and a separate project Samples Samples of using Hooks module: HooksDemo and LoaderSpy Plugin samples for TitanEngine: ASMExtractor, DataExtractor, lynxImpRec & Nexus Plugin samples for OllyDBG: TitaniumHandles & ImportStudio Plugin samples for PeID: TitaniumOverlay Unpacker samples: MarioPack, CryptoCrackPE, ExeFog, MEW, PackMan, nPack, yC Unpacker samples: MEW 5, PeX, UPX Tool samples: LameCrypter брать там же |
| . 1 . 2 . >> |
|
eXeL@B —› Протекторы —› RL!dePacker v1.5 release vs TitanEngine |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати