Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK

Интересно. drag'n'drop не хватает.

| Сообщение посчитали полезным:

Если отталкиваться от практического применения, то все эти пляски с эмуляцией нужны разве что аверам. Думаю, что соответствующие инструменты у них есть.
В остальном же профит скорее отрицательный.

| Сообщение посчитали полезным:

Эмулит qemu.

Это апп не визор и не песочница. Это не понятно что. Если нет полной изоляции или контроля на сервисном уровне, то опасный код может покинуть среду вм.

Добавлено спустя 28 минут
Криптован чем то примитивным, upx вроде, но при этом сам себя распаковать не способен. Что бы выяснить как этот сомнительный инструмент работает следует собрать простейший пример, накрыть известным ему слоем криптора и отследить любой ядерный вызов. При использовании вм вариант лишь один - оно напрямую запускает ядерные сервисы, тоесть допускает прямое выполнение кода. Иначе должны быть массивные ядерные фильтры, этого нет в приложении. Таким образом это просто набор костылей, заколхоженных в кучу - capstone, qemu etc, которые не контролируют запуск апп, не смотря на рекламу.

-----
vx

| Сообщение посчитали полезным: hors

difexacaw пишет:
Что бы выяснить как этот сомнительный инструмент работает следует собрать простейший пример, накрыть известным ему слоем криптора и отследить любой ядерный вызов.

Собрал простейший пример, накрыл известным слоем криптора. Теперь осталось отследить любой ядерный вызов.
Напиши как это лучше сделать. Давай вместе разоблачим автора этого сомнительного инструмента чтобы он больше не обманывал людей.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: daFix, v00doo

Что-то я сильно сомневаюсь, что вмпротект, аспротект и прочие вот так легко поддадутся. Автору бы неплохо снять хотя бы видео и выложить какой-нибудь анпакми (упакованный и распакованный), а то как-то неубедительно.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Что-то я сильно сомневаюсь, что вмпротект, аспротект и прочие вот так легко поддадутся. Автору бы неплохо снять хотя бы видео и выложить какой-нибудь анпакми (упакованный и распакованный), а то как-то неубедительно.

А кроме видео и каких-нибудь анпакми больше ничего не нужно?

Ты друг вероятно что-то перепутал. Автор не нуждается в дешёвой популярности и не собирается здесь кому-то что-то доказывать.
Если лично тебе что-то кажется сомнительным, то это конечно очень плохо и неприятно, но к большому сожалению не является проблемами автора.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

Автор может меньше понтоваться? Вот те very easy упаковщики как-то уж снимали и без его тулы. Нет, за тулу автору спасибо, какое бы оно там ни было, но оно в паблике и бесплатно. Потому тут никаких наездов быть не может. Но, как я понимаю, автор собирается дальше продавать версию для анпака протекторов? Или что автор собирается? И долго мы будем говорить об авторе в третьем лице?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Автор может меньше понтоваться?

понты дороже денег.

| Сообщение посчитали полезным: hors

Вы чего на автора наехали? Это я рассказал про релиз, на меня и наезжайте. hors просто сделал анонс у себя на сайте, я увидел и рассказал. Мог бы не делать, предыдущие версии и так сразу получаю.

ARCHANGEL Вот не в обиду, но рекомендую почитать книгу: Даниел Канеман "Думай медленно, решай быстро". Она поможет мыслить немного корректнее. Я до сих пор не могу понять откуда взялось предположение о том, что hors хочет что-то продавать. Было сказано то, что для протекторов в паблике не появится. Не нужно додумывать то, чего не было сказано. В книжке как раз много подобных примеров.

difexacaw На основании чего были сделаны выводы, что это всё "набор костылей"? Неужели так быстро всё смогли разобрать и понять что там внутри? Может проще сначала спросить у автора? В общем эту же книжку порекомендую.

Вот глядя на такую реакцию я очень сомневаюсь, что hors будет релизить следующие версии. Так как критика должна быть конструктивной, а не в виде основанных на догадках наездах.

Сейчас наброситесь на меня. Набрасывайтесь. Расстраиваться не буду.

| Сообщение посчитали полезным: hors

ARCHANGEL
Так hors же автор, просто, видимо любит о себе в 3м лице

ARCHANGEL пишет:
автор собирается дальше продавать версию для анпака протекторов
Тоже не понятно... Думаю не собирается, по крайней мере для всяких noname'ов с форумов. Возможно, каким-то АВ-конторам можно продаться с поддержкой, Хорс, может прольешь лучик света на идею сего творения ?

По теме: на паре сэмплов отработал отлично (на заявленных NSPack/ASPack), больше не тестил.

add: hors, в паблик то понятно, что не появится, а на счет в личку таргет, от тебя анпак, такой вариант возможен ?

| Сообщение посчитали полезным:

hypn0, думаю, что hors сам прекрасно справится с любой критикой.

| Сообщение посчитали полезным:

ARCHANGEL пишет: Что-то я сильно сомневаюсь, что вмпротект, аспротект и прочие вот так легко поддадутся

С чего вы решили, что vmprotect сложно обработать в эмуляторе? В нём нет какой-то злой антиотладки, вся сложность это разбор самой vm. Сабж это эмулятор и набор правил для пакеров с протами, описание выхода на oep и сигнатуры oep (это не точно, сабж не смотрел), если автор разобрал vm, какая тогда разница эмулятор это или трейсер на debug-api.

difexacaw пишет: Это апп не визор и не песочница.

Разве утверждалось обратное? Это не визор и не песочница, а зачем она для простого анпакера простых пакеров? Это не av продукт, а анпакер, последнему не страшен побег из под эмуляции, а если кто-то анпачит малварь на живой системы то он идиот.

| Сообщение посчитали полезным: CyberGod, hors

hypn0

> На основании чего были сделаны выводы, что это всё "набор костылей"? Неужели так быстро всё смогли разобрать и понять что там внутри?

Я в теме довольно много лет, более десяти, если вы смотрите на дату реги - то этот акк один из клононов. Имея соответствующий опыт и вы сможите за минуты листая дизасм понять как оно устроено.

-----
vx

| Сообщение посчитали полезным:

difexacaw От всей души поздравляю.

А мне не нужно, я и так знаю что там внутри.

| Сообщение посчитали полезным:

shellstorm пишет:
Это не av продукт, а анпакер, последнему не страшен побег из под эмуляции

не отрицая глупость работы на живой системе, процитирую автора

hypn0 пишет:
You can safely unpack malware for further investigation without the risk of damaging the system.

что, впринципе, вполне возможно, учитывая настолько полную эмуляцию

hypn0 пишет:
It is possible to unpack 64 bit files on 32 operating systems.

только вот оно из-за этого медленное, что ппц. Трясите лучше Арчи, чтобы побыстрее QU x64 расчехлял

| Сообщение посчитали полезным:

Gideon Vi пишет: только вот оно из-за этого медленное, что ппц.

qemu всегда был слоупочным, драйвер виртуализации для qemu немного добавляет скорости. С безопасным исполнением у qemu не очень, не так давно (в этом году) был свежий эксплоит под него, которых и без него целый вагон. Проект очень старый и сказывается легаси, очень много старого, некачественного кода. Толку трясти, там практически всё нужно переписывать, вплоть до парсера pe с сидовским драйвером (очень грязный проект, если судить по стриперу), сомневаюсь, что арчер будет тратить время. Мне собственно не нужен анпакер с волшебной кнопкой лично мне, но такие проекты хороши тем, что избавляют форум от тем, а почему у меня upx не распаковывается или не получается сдампить.

| Сообщение посчитали полезным:

shellstorm пишет:
с сидовским драйвером

насколько я помню, там уже переписано Арчером. Остальное тоже на уровне. Хотя, сейчас придёт difexacaw и...

| Сообщение посчитали полезным:

Снова вы срачики разводите.

Вопрос к автору:
Упаковал дефлтный делфи апп простейшим пакером от TMX !EPack 1.4 final
Переход на ЕП производится через:
0045F036 B8 E0CF4400 mov eax, Project1.0044CFE0
0045F03B FFE0 jmp eax
При анализе и попытке распаковки получаю
[Error] Read from invalid memory address:190000, size:4
[Error] 45f035Memory error) Read from invalid memory address:190000, size:4
hors, в чем кроется трабла? Семпл и логи в аттаче.

1384_03.04.2018_EXELAB.rU.tgz - trouble.rar

p.s.: затестил еще на ACProtect 2.0 с дефолтными опциями - та же ошибка, хотя прот вроде заявлен как поддерживаемый
p.p.s.: если в имени таргета есть точка, то распакованый файл получает кривое имя (было upx3.08.exe, стало upx3.unp.08.exe), хотя имена логов имеют нормальное имя

| Сообщение посчитали полезным: 4kusNick, hors, mak

TryAga1n пишет:
hors, в чем кроется трабла? Семпл и логи в аттаче.

Спасибо за багрепорт и логи.

Новая версия.

--> Link <--

[+] Добавлен обработчик для !EP(Exe Pack)
[+] Исправлена ошибка с именем распакованного файла.
[-] ACProtect удален(for obvious reasons).

-----
http://ntinfo.biz

| Сообщение посчитали полезным: CyberGod, Orlyonok

hors, а вообще расширение набора конкретных пакеров-протов нужно или вы стремитесь к универсальности? Потому что у меня большая коллекция и могу еще много тестов провести.

| Сообщение посчитали полезным:

TryAga1n пишет:
hors, а вообще расширение набора конкретных пакеров-протов нужно или вы стремитесь к универсальности? Потому что у меня большая коллекция и могу еще много тестов провести.

Расширение набора конкретных пакеров нужно, но только если упаковщик более-менее распрастранённый. Думаю нет смысла добавлять какой-нибудь "ABC123 private Crypt0r" если шансов его встретить очень мало.

Система работает так - определяется упаковщик, если есть обработчик для него, то он используется, если нет то используется метод "generic". Generic не может распаковывать всё, так как иногда бывают нюансы которые учитываются только в отдельных обработчиках.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Потестил вечерком на АСПрах 1.00-2.51 с разными опциями, ни один не анпакнулся.
https://www.sendspace.com/file/abkafy

Вроде сигнатура аспра детектится программой, но при анализе и распаковке, как я понял, работает generic. Это нормально?

| Сообщение посчитали полезным: hypn0, hors

TryAga1n Правильно. Написано же, что коммерческие протекторы публичная версия не будет распаковывать.
Сейчас задача хотя бы обычные пакеры проверить. Даже с UPX возникают незначительные проблемы, но тем не менее их нужно устранять и на это нужно время.

А за образцы спасибо.

| Сообщение посчитали полезным: hors

Небольшой багрепорт, сегодня без логов, но если на какие-то моменты нужно, то сделаю.

Что удалось анпакнуть generic'ом:
AHPacker v0.1 by FEUERRADER
BeRoEXEPacker 1.0
dpe 0.1 by deroko
DYAMAR Protector 1.3.6
JDpack 1.01
Packman 0.0.0.1
PEncrypt 4.0p
Petite 1.2
Petite 1.3
Petite 1.4

Баги:
При распаковке некоторых пакеров по кнопке Unpack получаем облом, а если сделать анализ и затем анпак, тогда распаковывает. Думаю так не должно быть.
FSG 1.0, 1.1, 1.2 - автоматом определяется как UPX, нужно явно указывать и упакованый 15кб, а распакованый 1,1мб
FSG 1.3, 1.3.1, 1.3.3 - упакованый 15кб, а распакованый 1,1мб
При попытке распаковать что-нибудь с антиотладочным SEH-триком, а-ля y0da's crypter или Goat's PE Mutilator, получаем бесконечный анализ(ждал больше 2 часов)
hmimys-Packer 1.0(hmimys Protect 1.0) - семпл задетектился, но в распакованном файле криво встал ОЕП. После ручного исправления ЕП получился рабочий анпак.
ORiEN 2.11, 2.12 - создается распакованый файл, но он не распакован.
PECompact 2.79 - определился, но не распаковался
PESpin 0.1, 0.3, 0.7 - детектится как 1.0-1.2, не распаковывает
PESpin 1.1 - детектится(значит обработчик есть?), но не распаковывается. PESpin 1.3, 1.304, 1.33 - не детектится и не распаковывается

| Сообщение посчитали полезным: hors

раз автор принимает реквесты, тогда и я спрошу, автор планирует поддержку дропперов (установщики дропающие файлы из оверлея и ресурсов)? подзадобал делфийский кастом, когда в оверлее zlib с кастомным хидером и анпакера таких установщиков нет.

| Сообщение посчитали полезным:

TryAga1n, Спасибо за багрепорт!

TryAga1n пишет:
FSG 1.0, 1.1, 1.2 - автоматом определяется как UPX, нужно явно указывать и упакованый 15кб, а распакованый 1,1мб
FSG 1.3, 1.3.1, 1.3.3 - упакованый 15кб, а распакованый 1,1мб

Можешь пример такого файла скинуть?

У меня вроде нормальные размеры получаются.



Добавлено спустя 2 минуты
shellstorm пишет:
раз автор принимает реквесты, тогда и я спрошу, автор планирует поддержку дропперов (установщики дропающие файлы из оверлея и ресурсов)? подзадобал делфийский кастом, когда в оверлее zlib с кастомным хидером и анпакера таких установщиков нет.

Если дроппер распространенный, то добавлю его поддержку.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет: Если дроппер распространенный

В этом и проблема, что подобные установщики могут быть в единственном числе, на софте одного производителя, но функционал общий для них, создании папки, запаси\перемещение (если дроп в папку temp) удаление файлов, запись\удаление веток реестра. Хотелось бы дженерик, который перенаправляет запись файлов в папку soft_name_unpacked, а ключи реестра с попытками что-то удалить\перезаписать в текстовый файл, в идеале json. Детект можно делать по энтропии указывающей, что оверлей сжат, аномально большому оверлею или секции ресурсов, последнее не обязательно, адекватные установщики редко используют ресурсы, это не нравится av.

| Сообщение посчитали полезным:

hors, тестил на бинарниках самого упаковщика. хз, может какая-то особенность файлов, но уж слишком он сильно разрастается после распаковки, по сравнению с оригиналом.

0f09_05.04.2018_EXELAB.rU.tgz - FSG.rar

| Сообщение посчитали полезным:

TryAga1n Про сильное увеличение размера распакованного файла в курсе. Надо править. Такое и на UPX-ах случается.
Если что-то удалось анпакнуть, то это очень хорошо.
В любом случае образцы куда-нибудь выложите, если не сложно.

И не смотря ни на что, кое-какие коммерческие протекторы также удается распаковать публичной версией. Ну конечно не этой, чуть постарше, но всё же.

Добавлено спустя 11 минут
shellstorm Немного не понял. Вам что нужно, распаковать дистрибутив или конкретный исполняемый файл?
Если файл, то почему бы не написать свой распаковщик? zlib отлично определяется и распаковывается.
Что касается "дженерика", который бы что-то там делал и куда-то складывал. Не нужно ждать когда за вас что-то сделают. Распаковывайте сами. Если ваш дистрибутив будет полностью запакован, тогда одно, но если что-то там распаковывается во время исполнения, тогда ищите решение сами.
Конечно можно распаковать всё что угодно. Можно написать распаковщик всего чего угодно. А толку то?

Хвастаться не хорошо, но я могу распаковать практически любой архив или SFX. На это я потратил годы. Зато сейчас могу. Присылайте образец, распакую.

| Сообщение посчитали полезным: hors