 |
eXeL@B —› Софт, инструменты —› Dr.WEB FLY-CODE Unpacker |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 16 декабря 2011 14:32 · Личное сообщение · #1 Накатал на коленке утиль, использующую технологию FLY-CODE от Dr.WEB. Результаты хреновые, основная цель распаковщика - получить чистую секцию кода. Для работы антивируса этого наверное достаточно, а для исследовательских целей маловато. Многие говорили, что это супер распаковщик, ну вот можете оценить. Работает следующим образом, пытается распаковать файл, то что получилось снова анализируется и снова пытается распаковать. Бывает, что в распакованом файле он видит пакер и пытается анпакнуть, а бывает, что не может определить загрузчик пакера, эмулит его, определяет пакер и анпакает. В общем утиль сохраняется все промежуточные результаты. Может кому поиграться. http://dump.ru/file/5511303 http://depositfiles.com/files/dwki7v2ky ----- Yann Tiersen best and do not fuck  | Сообщение посчитали полезным: obfuskator, yanus0, tihiy_grom, Dynamic, Hellspawn, hlmadip, ClockMan, SergX, Vnv, DimitarSerg, daFix, Gideon Vi, zeppe1in, sendersu, yagello, _ruzmaz_, ARCHANGEL, OnLyOnE, ff0h, Maximus, Smon, shadow_user, mak, vnekrilov, Dart Raiden, ==DJ==[ZLO], dimka_new, Kylak, satsura, NecroRU, mad_smoker82, Rio |
|
|
Создано: 16 декабря 2011 16:15 · Личное сообщение · #2 PE_Kill пишет: ну вот можете оценить Скажим так некоторые проты он вообще неопределяет и нерасспаковывает,на самых минимальных опциях расспаковал VM_PROT  ,PE_Kill пишет: основная цель распаковщика - получить чистую секцию кода На одном из подопытных получил чистую секцию,забитую нулями  А так за кодинг +1000
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 16 декабря 2011 23:55 · Личное сообщение · #3 На простеньких пакерах отрабатывает, а Арму не взял. Да и с пакерами - зачем-то берёт уже анпакнутый файл и чё-то пытается с ним сделать, именуя это "что-то" как FLY_CODE этап. В результате на выходе такая ерунда получается Ну, чисто поржать разве что. Что-то нормальное так не распакуешь. За кодинг - присоединяюсь к спасибам  PE_Kill Интересно, сколько ты времени убил на это чудо? ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 17 декабря 2011 01:13 · Поправил: Vnv · Личное сообщение · #4 ARCHANGEL пишет: Интересно, сколько ты времени убил на это чудо? PE_Kill пишет: Накатал на коленке т.е. 5-10 мин.
|
|
|
Создано: 17 декабря 2011 07:37 · Поправил: PE_Kill · Личное сообщение · #5 ARCHANGEL пишет: Интересно, сколько ты времени убил на это чудо? На полный ресерч пару дней. А чтобы из кусков собрать то что получилось где то час. ARCHANGEL пишет: В результате на выходе такая ерунда получается Это не ко мне. Утиль только командует ядру проверить файл, а на этапах распаковки сохраняет файл. ARCHANGEL пишет: это "что-то" как FLY_CODE этап FLY_CODE этап - это трассировка эмулятором кода, не похожего на EntryPoint нормальной программы. Ентри поинты забиты сигнатурами в ядро. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 19 декабря 2011 10:41 · Личное сообщение · #6 Обновил ядро и базы до версии 7.0 Некоторые пакеры стали заметно лучше анпакаться. Нашел баг. Некоторые пакеры не анпакаются с первого раза, выдает Unpack error. Надо тыкнуть Unpack еще раз, часто помогает. ХЗ что это, разбираться с этой поделкой в лом. Engine 7.0, Interface 2.02: http://dump.ru/file/5516149 http://depositfiles.com/files/614dn273v http://www.sendspace.com/file/6r4ls4 ----- Yann Tiersen best and do not fuck | Сообщение посчитали полезным: ClockMan, CyberGod, obfuskator, tihiy_grom, yanus0, Vnv, DimitarSerg, Flint, _ruzmaz_, vnekrilov, hlmadip, Gideon Vi, sendersu, Dart Sergius, yagello, Dart Raiden, Smon, negoday |
|
|
Создано: 19 декабря 2011 13:05 · Личное сообщение · #7 It's a great job!, Thank you PE_Kill. Good luck and keep working...  Oh, BTW.. Have a nice day to all of you. Hopefully you always in a good healthy condition. Best regards, -=yoza=- |
|
|
Создано: 19 декабря 2011 21:12 · Личное сообщение · #8 Интересно, а почему не распаковывает ASPack даже со второго тычка, выдает "unpack error, ASPack", ограничение технологии FLY-CODE или еще что-то? |
|
|
Создано: 19 декабря 2011 21:57 · Личное сообщение · #9 А где же клерк с заявлением, что пекилка неудачнег и не правильно разреверсил веба, раз хуйово распаковывает, а? ----- SaNX |
|
|
Создано: 19 декабря 2011 23:43 · Личное сообщение · #10 Lo пишет: Интересно, а почему не распаковывает ASPack даже со второго тычка Да там множество пакеров не анпакается, я уж не говорю про протекторы. SaNX пишет: ... хуйово распаковывает Это ещё мягко сказано. Всё это доказывает лишь то, что нет универсального решения на все случаи жизни, чтоб там Клерк ни пел. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 20 декабря 2011 01:04 · Личное сообщение · #11 SaNX пишет: А где же клерк с заявлением Пишет на бумаге код и пытается его откомпелировать через сканнер
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. | Сообщение посчитали полезным: Dart Sergius |
|
|
Создано: 20 декабря 2011 08:33 · Личное сообщение · #12 Lo пишет: Интересно, а почему не распаковывает ASPack даже со второго тычка Где то я накосячил. Самое интересное, что под отладчиком со второго раза таки анпакается, что наводит на мысль о кривых колбеках работы с памятью. В любом случае не вижу смысла это обновлять и развивать. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 21 декабря 2011 02:53 · Поправил: Модератор · Личное сообщение · #13 ARCHANGEL пишет: Всё это доказывает лишь то, что нет универсального решения на все случаи жизни Quick Unpack 3,0 От модератора: старьё же, даёшь 4.2! PE_Kill пишет: В любом случае не вижу смысла это обновлять и развивать. а как по мне - забавная игрушка, спасибо за труд. |
|
|
Создано: 21 декабря 2011 09:24 · Личное сообщение · #14 Gideon Vi пишет: Quick Unpack 3,0 А что такое есть? Где можно почитать? ----- Лучше быть одиноким, но свободным © $me | Сообщение посчитали полезным: vnekrilov |
|
|
Создано: 21 декабря 2011 10:38 · Личное сообщение · #15 как идентификатор протов- хороша? |
|
|
Создано: 21 декабря 2011 10:45 · Поправил: PE_Kill · Личное сообщение · #16 r99 у меня была мысль сделать на базе DrWeb Fly-Code плагин для PEiD и DiE, для детекта протов (там и версию выводить можно). Но хз, нужен ли плагин на ~70 метров. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 21 декабря 2011 10:49 · Личное сообщение · #17 |
|
|
Создано: 21 декабря 2011 13:51 · Личное сообщение · #18 пекилко, а исходники не хочешь зарелизить? если сам допиливать не будешь
----- [nice coder and reverser] |
|
|
Создано: 21 декабря 2011 14:00 · Личное сообщение · #19 мм, об этом я тоже думаю. Все таки это серьезный продукт ;) ----- Yann Tiersen best and do not fuck |
|
|
Создано: 21 декабря 2011 21:34 · Личное сообщение · #20 PE_Kill пишет: у меня была мысль сделать на базе DrWeb Fly-Code плагин для PEiD и DiE Хорошая мысль. Размер тут не критичен - игры для андроида и те по 500-600 мегабайт идут и качаются через телефон. А тут нужный софт. ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 22 декабря 2011 00:29 · Личное сообщение · #21 PE_Kill классная идея, спасибо новые базы веббера можно подкидать, или надо пересобирать утиль |
|
|
Создано: 22 декабря 2011 07:30 · Личное сообщение · #22 market bullshit этот fly-code я тоже было повелся, что он рвёт все пакеры на британский флаг. проверил - обычный эмулятор, который пытается искать возможные точки входа, чтобы класть позиционно-зависимые сигнатуры. видимо до потоковых поисковых деревьев в дохтуре еще не доросли. Учитывая эмуляторную природу на говнокрипторах оно должно сосать, на протекторах что тырят ЕР оно должно сосать... много где должно сосать... аспак с upx может и возьмет, хотя с последним не факт - там переход на EP может быть в той же странице, что и декомпрессор. |
|
|
Создано: 22 декабря 2011 07:54 · Поправил: PE_Kill · Личное сообщение · #23 DrGolova это не обычный эмулятор. Там есть зачатки подпроцедур, уникальных для пакера/прота. UPX там в статике анпакается. Там просто помойка из накиданного кода. Такое ощущение, что пишется всё на асме дефайнами. PS Но само убили текстовые сигнатуры, выдернутые не то с PEiD не то с PETools, которые при инициализации конвертятся в бинарное представление
----- Yann Tiersen best and do not fuck |
|
|
Создано: 01 января 2012 13:13 · Личное сообщение · #24 PE_Kill, а на какой системе лучше гонять? File packed by ENIGMA Save STEP1_ENIGMA.exe... OK File packed by FLY-CODE Save STEP2_FLY-CODE.exe... OK File packed by BINARYRES File packed by FLY-CODE Save STEP4_FLY-CODE.exe... OK Unpack error. |
|
|
Создано: 01 января 2012 13:46 · Личное сообщение · #25 Gideon Vi пишет: а на какой системе лучше гонять? Без разницы, он же статический. У себя на сайте http://peco.at.ua/ я сделал опрос "Нужно ли развивать распаковщик на базе DrWeb FLY-CODE?" (слева снизу), проголосуйте. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 01 января 2012 14:08 · Личное сообщение · #26 PE_Kill пишет: (слева снизу), проголосуйте проголосовал за первый вариант, хотя и второй тоже подходит. |
|
|
Создано: 01 января 2012 14:58 · Личное сообщение · #27 PE_Kill пишет: У себя на сайте http://peco.at.ua/ я сделал опрос попробовал проголосовать: Code:
|
|
|
Создано: 01 января 2012 15:33 · Личное сообщение · #28 yagello пишет: попробовал проголосовать: Code: Page Not Found (404) Страница "http://peco.at.ua/?answer=2&id=2&a=1&ajax=752" не найдена. NoScript часом не стоит в браузере? | Сообщение посчитали полезным: yagello |
|
|
Создано: 01 января 2012 18:41 · Личное сообщение · #29 yagello пишет: попробовал проголосовать Должен быть разрешён JavaScript для ucoz.net ----- EnJoy! | Сообщение посчитали полезным: yagello |
|
|
Создано: 11 января 2012 18:40 · Поправил: Hexxx · Личное сообщение · #30 Molebox не может распаковать Code:
это оно так многослойное показывает? ----- Реверсивная инженерия - написание кода идентичного натуральному |
| . 1 . 2 . >> |
|
eXeL@B —› Софт, инструменты —› Dr.WEB FLY-CODE Unpacker |
Для печати