Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK

TryAga1n пишет:
hors, тестил на бинарниках самого упаковщика. хз, может какая-то особенность файлов, но уж слишком он сильно разрастается после распаковки, по сравнению с оригиналом.

Спасибо за файлы. Проблема понятная. UPX и ему подобные упаковщики(типа FSG) всё секции исходного файла распаковывают в одну большую секцию.

То есть образуется "бутерброд" вида

100 кб данных
800 кб нулей
200 кб данных
1000 кб нулей
....


В некоторых случаях распакованный файл сильно разрастается, хотя и остаётся полностью рабочим.

Как это решить буду думать.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hypn0 пишет: Вам что нужно, распаковать дистрибутив или конкретный исполняемый файл?

а есть разница? software setup и malware dropper, обладают практически одним функционалом, разница только в реализации, первому не нужна скрытая работа. zlib в чистом виде большая редкость, чаще используется простенькая fs-контейнер с блоками в виде zlib-stream. в целом ясно, что реализации данной функции не будет. спасибо конечно, но мне не нужно ничего распаковывать, с этим проблем у меня нет, проблема только в отсутствии достаточного свободного времени для написания утилит, даже нужных для работы.

| Сообщение посчитали полезным:

shellstorm пишет:
а есть разница? software setup и malware dropper, обладают практически одним функционалом,

Разница большая. Malware дроппер имеет смысл эмулировать полностью, а software installer распаковывается без эмуляции. Сигнатурным поиском ищутся данные в программе и по известному алгоритму распаковываются.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет: Malware дроппер имеет смысл эмулировать полностью, а software installer

ох, если бы границы между установщиками и мадварью были такими четкими, но нет, разница только в нагрузке.
собственно классификация virus.InnoSetup или win32.InnoSetup намекают. с одной стороны очень популярный установщик, а с другой стороны дроппер малварки, с установщиками на базе lua такая же ерунда, поэтому в нормальном av есть декомпилятор lua скриптов который подцеплен плагином к эмулятору. если алгоритм неизвестен, а если таких неизвестных десятки и встречаются немногим чаще динозавров? с сигнатурами тоже не всегда радужно, составление нормальной, разряженной сигнатуры в некоторых случаях может быть сложнее написания самого анпакера, данные не всегда светят заголовками, некоторые еще и криптографию любят навернуть поверх сжатия, это не считая детекта виртуальных машин, системного отладчика и остального, сомнительного с точки зрения вендора, софта. но это уже оффтоп, забейте, будет время сам напишу.

| Сообщение посчитали полезным:

hors пишет:
В некоторых случаях распакованный файл сильно разрастается
Можно попробовать переразбивать на секции. На что опираться, варианты разные, начиная от атрибутов памяти (где сменились, началась новая секция) и достаточно топорного (если много нулей, то срежем), и заканчивая всякой эвристикой с оценкой выравнивания и ссылок из директорий (экспорт, ресурсы и тд).

| Сообщение посчитали полезным: hors

Сдается что с этой утилиткой будет тоже самое что и с этим.

Затестил на XP, хоть оно там и не запускается. Результаты для v0.12:
ASPack - версию определил не верно, но распаковал.
WinUpack - ОК
Mpress - ОК
еще "кое-что" не определило - PE32 - Unknown - но распаковало.
файлы получались 1.5-2 раза больше оригинала.

ExeFog - сказал для него не пакер, распаковывать отказался.
BeRoEXEPacker - пыхтел 7 минут - не взял. На выходе 11 метровый файл, против 25 килобайт упакованного.

+1 за распаковку zlib.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
Результаты для v0.12
А где взять данную версию?

| Сообщение посчитали полезным:

TryAga1n
здесь.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: TryAga1n

Я так и не понял зачем там эмулятор.

-----
vx

| Сообщение посчитали полезным:

TryAga1n пишет:
mysterio пишет:
Результаты для v0.12
А где взять данную версию?

Не рекомендую этой версией пользоваться. Там есть ошибка с определением базы образа.

Добавлено спустя 15 минут
mysterio пишет:
Сдается что с этой утилиткой будет тоже самое что и с этим.

А что с тем не так? Всё отлично работает и хорошо распаковывает.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

А что с тем не так? Всё отлично работает и хорошо распаковывает.
То что все это видит только автор. Тема пуста (не эта; там столько народу спасибо сказало - все не вместилось), ни ссылок, ни толку - только слова о том как же это все круто (причем вся, уже, эта, крутотень из коробки даже на XP не работает без лишних телодвижений). На этом все и "заглохнет". <-> В строю generic upx-like unpaker-ов прибудет. ИМХО: Лучше один раз пощупать - чем сто раз услышать как это классно.

Или под MSDOS тоже надо?
Да. PKlite и LZexe сами себя не снимут.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio Я дико извиняюсь, но XP уже два года как не обновляется. Зачем под неё что-то делать? Инструменты должны быть для живых систем. Или под MSDOS тоже надо?

Что касается приватных инструментов, поделитесь чем-нибудь интересным и с вами поделятся. Думаю что и для версии, которая снимает коммерческие протекторы это тоже справедливо. Но сначала нужно чтоб она хорошо работала. А то опять же будут гневные отзывы о том что она то не может, другое криво снимает и т.д.

Добавлено спустя 6 минут
difexacaw Смею предположить, что эмулятор нужен для того, чтоб не разбираться в алгоритмах упаковки конкретных пакеров. Если файл запускается, то не проще ли "поручить" самому распаковщику сделать всю работу, нежели искать искать образцы и вручную реализовывать разные методы? Он ведь лучше знает что надо сделать, чтоб программа запустилась.

Добавлено спустя 1 час
mysterio Написано же автором, что если будет интерес сообщества, то добавится поддержка ELF, MSDOS и Mach-O. Я более чем уверен, что поддержка появится.

А если нужно сейчас, то ищем древнюю прогу "file scanner by SMT". Она примерно 2000 года выпуска. Так вот прога умеет снимать большое количество ДОС-овских пакеров/крипторов, включая PROTECT! и $pirit. Вернее, из более 300 известных мне пакеров/крипторов под MSDOS она не умеет максимум два-три десятка.
И между прочим, в ней как раз реализован метод эмуляции (ключик -poly). Так что можно смело называть её первым эмулирующим распаковщиком.

А вообще смешно читать про распаковку Pklite и Lzexe в 2018 году. Они 25 лет назад уже отлично снимались.

| Сообщение посчитали полезным:

mysterio пишет:
То что все это видит только автор. Тема пуста (не эта; там столько народу спасибо сказало - все не вместилось), ни ссылок, ни толку - только слова о том как же это все круто

А распаковщик из той темы действительно крутой. И кому надо, те уже им обзавелись
Про приватные инструменты тебе уже всё обьяснили.

mysterio пишет:
причем вся, уже, эта, крутотень из коробки даже на XP не работает без лишних телодвижений

Скомпилировать под WinXP это дело 5 минут. Но кому это надо в 2018 году?
Windows XP был действительно хорошей операционной системой, но умер несколько лет как.
Заканчивай насиловать трупы.
Ставь Windows 7 и не <лю>би мозги себе и людям.

mysterio пишет:
На этом все и "заглохнет".

Обязательно когда-нибудь "заглохнет". Но пока люди ей будут интересоваться и слать багрепорты, то разработка будет продолжаться.

mysterio пишет:
В строю generic upx-like unpaker-ов прибудет.

И разве это не прекрасно?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hypn0

> эмулятор нужен для того, чтоб не разбираться в алгоритмах упаковки конкретных пакеров.

Я так изначально и предполагал, это штатный путь распаковки. Но тесты показали что сабж это не использует. Да и не может это юзать, так как это файловый анпакер, а не отладчик. Это прикручено только что бы показать видимость сложности проекта. Пришлось множество раз выполнять тесты, так как он не может стабильно распаковывать, искать методом тыка варианты, на которых оно работает. Небольшое изменение(десяток байт на EP) и он не определяет пакер. Это тупо эвристик с сигнатурным набором.

Автор создал лишь видимость, данный проект - бутафория", о чём он думал..

Добавлено спустя 20 минут
hypn0

> SMT". Она примерно 2000 года выпуска. Так вот прога умеет снимать большое количество ДОС-овских пакеров/крипторов

Это невозможно. Что значит снять крипт" ?

Это значит что самые простые из них формируют образ(распаковывают сами себя) на стартап этапе и тогда можно сдампить. Для этого и нужна вм. Но это врядле возможно для пакеров, так как это не крипторы. Последние пишутся детьми не для защиты от анализа апп, а для ухода от ав сигнатур, это абсолютно разные вещи.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Но тесты показали

Зачем нужны какие то тесты, работа подобных анапакером тривиальна, вся сложность именно в составлении правил. Не нужно здесь никаких исследований. В качестве примера работы можешь посмотреть этот проект:
https://github.com/AmrThabet/winSRDF
Лучший из пабликов этот: https://github.com/Phat3/PINdemonium
Оба проекта всего лишь пок и требуют серьезной доработки, первый давно не актуальный.

| Сообщение посчитали полезным:

shellstorm

Как это зачем, тесты это самый простой путь разобрать свойства чёрного ящика" и понять его содержимое. Я бы даже внимания не обратил на сабж, если бы не утверждалось:



-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Как это зачем, тесты это самый простой путь разобрать свойства чёрного ящика" и понять его содержимое. Я бы даже внимания не обратил на сабж, если бы не утверждалось:

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
 All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.

Так всё правильно же написано.

Программа не использует DebugAPI, не использует возможности операционной системы. Всё выполняется не на реальном процессоре, а в эмуляторе.

Ты там грозился ядерные вызовы отследить чтобы доказать обратное. Как я понимаю с этим тоже неудача вышла?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

Тоесть логика такая - написать то, что не используется, понта ради.

Предполагалось два пути эмуляции. Так как экспорт никак не эмулится судя по тестам(обычный файловый анпакер), я вставил тупо сервисный int2e стаб на EP. Эмулятор не работает, даже оно перестало определять пакер после call stub(5 байт). Поэтому я и сделал вывод что это фейк, бутафория. Изначально по описанию появились сомнения, такое заявление про задачу, которая не решена и очень сложна не могло не вызвать подозрения

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
я вставил тупо сервисный int2e стаб на EP.

А много ли ты видел упаковщиков с "сервисным int2e стабом на EP"? Я вот лично много таких не видел. А как увижу, то обязательно добавлю эмуляцию и этого случая.

difexacaw пишет:
Эмулятор не работает,

Всё работает как должно работать.
Поставь все галочки в настройках и весь вывод эмулятора будет сохраняться в логе.


difexacaw пишет:
оно перестало определять пакер после call stub(5 байт

Это ни для кого не новость. Анализаторы обманывают путем изменения данных начиная с тех пор когда эти анализаторы появились. И что с того?

difexacaw пишет:
которая не решена и очень сложна

Я немного понимяю твой скепсис.
Если бы я сел писать подобную программу, когда мне было 10 лет, то для меня это всё было бы тоже очень сложным и непонятным. Но мне уже давно не 10 лет.

Что тебе в контексте полной эмуляции для распаковки кажется сложным и невыполнимым? Ты задавай вопросы, не стесняйся.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Gideon Vi, v00doo

difexacaw пишет:
Эмулятор не работает, даже оно перестало определять пакер после call stub(5 байт). Поэтому я и сделал вывод что это фейк, бутафория.

Вообще-то он вообще не должен определять пакер. Сделано это только для того, чтоб понять когда мы окажемся на OEP, ну и еще для кое-каких вещей.
А если после изменения файл не распаковался, то нужно смотреть что за изменения были. В том то и дело, что сейчас эмулируется самый минимум, необходимый для распаковки. Следовательно, если в пакере будет вызываться какое-то Winapi и которое еще не поддерживается, то разумеется ничего не распакуется. А вот команды процессора эмулируются все. Меняйте что хотите и проверяйте. Главное чтоб они не сильно изменили логику пакера.

difexacaw пишет:
Автор создал лишь видимость, данный проект - бутафория", о чём он думал..

И правда.. Точно фигня какая-то. Придется закрывать проект. Спасибо за разъяснения.

2 hors: Слышь?.. Нас раскрыли, сворачиваемся.

Добавлено спустя 13 минут
hors пишет:
Что тебе в контексте полной эмуляции для распаковки кажется сложным и невыполнимым? Ты задавай вопросы, не стесняйся.

Я думаю не стоит объяснять. Похоже товарищ книжку про эмуляцию прочитал. Может даже две. Куда нам, дилетантам.

| Сообщение посчитали полезным: hors

hors пишет:
Ты задавай вопросы, не стесняйся.

шикарно

| Сообщение посчитали полезным: difexacaw

hypn0 пишет:
Похоже товарищ книжку про эмуляцию прочитал. Может даже две. Куда нам, дилетантам.
и здесь облажался скиньте ему лучше проект нужника, а то под себя ходить не хочет, и всё своё сюда несёт...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Придётся наверно разобрать визором данную софтину, что бы закончился этот цирк.

-----
vx

| Сообщение посчитали полезным: hors

difexacaw пишет: Придётся наверно разобрать визором данную софтину, что бы закончился этот цирк.

Дружище, зачем так хардкорно, qemu открыт https://github.com/qemu/qemu
Остальное это UI, матчер и набор правил учитывающие особенности конкретного пакера или протектора.
Чем фигней страдать, лучше написал бы конкурентный софт на базе своего визора или эксплоит для сабжа, от этого больше пользы чем от пустого сотрясения воздуха. Кому была интересна тема и так прекрасно знают, как это работает, и в чём слабые места qemu. Загляни на метасплоит.

| Сообщение посчитали полезным: hors, difexacaw

difexacaw пишет:
Придётся наверно разобрать визором данную софтину

Ой, только не это. Это уже запрещенный приём. Вы же сразу нас на чистую воду выведете.
Автор и так уже плачет, обещает больше такие софтины не писать. Говорит что отныне только простейшие текстовые редакторы будет создавать, зато в больших количествах.

Добавлено спустя 3 минуты
difexacaw пишет:
разобрать визором

Кстати, что за визор? Я немного не в курсе.
Вы HIEW изобрели?

| Сообщение посчитали полезным:

Залейте, пожалст, сабж куда-нибудь
n10info.blogspot.ru у меня недоступна

| Сообщение посчитали полезным:

http://dropmefiles.com/TXcbI

| Сообщение посчитали полезным:

esa_r Не знаю какую версию положили выше, так как качнуть уже не дают.
Вот относительно свежий релиз 0.15 http://dropmefiles.com/jG45x

Добавлено спустя 6 минут
Да и зачем эти однодневные хостеры. Вот тут перевыложил: https://www115.zippyshare.com/v/KIYpLPQg/file.html

| Сообщение посчитали полезным: VodoleY

to Hors
--> на этих не отрабатывает <--
pass 123
tElock and eXPressor

| Сообщение посчитали полезным:

==DJ==[ZLO] Спасибо. На самом деле не отрабатывает намного больше файлов. Даже некоторые UPX и Aspack не хочет. На днях протестировал на 20000 упакованных файлах, результат примерно 50/50.
Распространенные: UPX, Aspack, Wwpack, pklite - очень хорошо. Некоторые малораспространенные и простые - тоже очень хорошо. А вот со сложными и всякими протекторами - очень плохо.

| Сообщение посчитали полезным: