Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK

Народ а чем вам VM Unpacker не нравится?
Может свежие версии будут ?

| Сообщение посчитали полезным:

SDK Похоже вы сами одним вопросом ответили на другой.
Кто знает, может быть XVolkolak когда-нибудь станет публичным в исходниках.

Добавлено спустя 2 минуты
Свежие версии, XVolkolak 0.17:

OS X: https://www.dropbox.com/s/uzx3pnbv329t7tk/xvlk_mac_portable_0.17.dmg?dl=1
Windows 7-10: https://www.dropbox.com/s/ddyop16zpjf948b/xvlk_win32_portable_0.17.zip?dl=1
Windows XP: https://www.dropbox.com/s/vet22akmovlkch6/xvlk_winxp_portable_0.17.zip?dl=1

| Сообщение посчитали полезным: hors, mak, v00doo

changelog?

| Сообщение посчитали полезным:

TryAga1n пишет:
changelog?
В основном исправление ошибок, зависонов на битых файлах и т.п.
Плюс распаковка PeX.

| Сообщение посчитали полезным:

XVolkolak 0.18
MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] Exefog
[+] Beroexepacker
[+] AHpacker
[*] bugfixes

| Сообщение посчитали полезным: hors, Ultras

XVolkolak 0.19

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] nPack
[+] Fish PE Packer

| Сообщение посчитали полезным: hors, AKAB, v00doo, mak, XX-J

Потестил чуть на простых вещах (UPX, AsPack и проч) - работает (Win 10 x64), спасибо за годный инструмент.

P.S. по UX - не хватало драг-дропа
P.P.S - стоит ли репортить то что тулза не осилила из коробки, если оно официально не заявлено как поддерживаемое и если оно - не простой пакер, а прот-старичёк (со статик анпакерами в паблике)?

Добавлено спустя 43 минуты
Наткнулся таки на UPX с которым что-то идет не так.

Исходный файлик:
https://mega.nz/#!BJFQhZKa!vOO28yzDIxcvQRJwAaEwn_bEr7TVqANnsFgSx8S6buY

Анпакнутый сабжем в автоматическом режиме (не advanced) - при запуске эксепшн:
https://mega.nz/#!FNdUkKiR!YhCG3pzPM6sivwYpRjplit-ff0RV_LvtxhwuisKEogc

Анпакнутый через upx -d
https://mega.nz/#!URslRR5Y!k5ANw5Wi6ZvFY15diw4o6dJATQkIBCS37wPyLFw9Db8

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors

4kusNick пишет:
стоит ли репортить то что тулза не осилила из коробки
Конечно стоит. Спасибо.

Добавлено спустя 18 минут
4kusNick пишет:
- при запуске эксепшн:
Ну это не exception, но ошибка да, есть.

На самом деле очень много такого, что распаковалось, но криво запускается (фактически нет) как в этом случае.
Бывает и хуже, когда при запуске реальный exception (но это обычно если OEP криво определилась). А тут при запуске хоть пытается и даже лог создает.

Дело в том, что сейчас тестируем автоматически. Есть кучи файлов - запускаем через консольную версию. Если выходной файл создался - хорошо. При этом многое распакованное может не работать. Проверять вручную вообще не вариант (файлов десятки тысяч, а dll еще сложнее проверять).
А еще прога может проверять себя, в этом случае еще дольше разбираться.

Есть и более корректные тесты на специальных образцах и для этой версии UPX такой образец есть, видимо что-то пошло не так.
Но для многих пакеров/протекторов такие образцы не изготовить, так как нет в паблике самих пакеров. А значит потом каждый ошибочный файл придется смотреть вручную.

| Сообщение посчитали полезным:

hypn0 пишет:
Конечно стоит. Спасибо.
Вот этот файлик тогда гляньте, там PESpin:
https://mega.nz/#!ENElEaSB!D9v_6d4VmjZyAEIhwR921QGVOYJUrCZ3Vy-d2TrUpb4

В логе:


Не уверен что надо, но на всякий случай вся софтина с остальными файлами:
https://mega.nz/#!9BFkADxQ!l0YWOpkb4pPH-fqKWqse9kVwxhJbv4CbbtRreh2XPAE

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick
Спасибо. Про PESpin в курсе. Он пока не поддерживается. Из протекторов сейчас под руками как минимум 60 разных, с десятками образцов каждый. Из них 2/3 пока не поддерживается.

Но с протекторами другая ситуация. Обещалось, что некоторые в паблик-сервии и не будут поддерживаться. И вот тут нужно решать какие всё-таки добавить, а какие не нужно. Конечно всякое старьё, которое сейчас можно снять автоматически, будет добавлено. Работы очень много, а процесс не быстрый и ускорить его не представляется возможным (даже донатами).

| Сообщение посчитали полезным:

Попробовал версию 0.19 на видео демках - только одна "fr-08" после распаковки запускается и отрабатывает полностью. Остальные даже не запускаются.
Вот архив с оригинальными и распакованными демками: http://ge.tt/6tObP7q2

| Сообщение посчитали полезным: hors

XX-J пишет:
Попробовал версию 0.19 на видео демках - только одна "fr-08" после распаковки запускается и отрабатывает полностью. Остальные даже не запускаются.
Вот архив с оригинальными и распакованными демками: http://ge.tt/6tObP7q2

Спасибо за файлы. Будем разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: XX-J

Зачем нужен 27-и КБ XVlk.exe ? Можно ли использовать XVolkolak без него, запуская XVlk.exe из папки base ?

| Сообщение посчитали полезным:

XX-J пишет:
Зачем нужен 27-и КБ XVlk.exe ?

Он просто запускает файл из base. Есть люди которые не могут найти файл который нужно запускать в большой папке.

XX-J пишет:
Можно ли использовать XVolkolak без него, запуская XVlk.exe из папки base ?

Можно.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: XX-J, 4kusNick

XVolkolak 0.20

MacOS: --> Link <--
Windows 7-10: --> Link <--
Windows XP: --> Link <--
Linux Ubuntu 18.04 x64: --> Link <--

Changelog:
[+] Packman
[+] kkrunchy

| Сообщение посчитали полезным: hors, Vintersorg, mak, v00doo, RevCred, 4kusNick, plutos, XX-J

hypn0
При клике по ссылочкам в About ничего не происходит (Win 10 x64 1709, Default Browser: Chrome x64 67).
ПКМ -> Copy Link Location - работает

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors

4kusNick пишет:
hypn0
При клике по ссылочкам в About ничего не происходит (Win 10 x64 1709, Default Browser: Chrome x64 67).
ПКМ -> Copy Link Location - работает

Спасибо за тестирование. Это будет исправлено.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

красивая пасхалка! респект
правда непонятно что такое происходит через пару мин - http://i.prntscr.com/JdFRZKmZSZiW08i0FDDJnA.png
или так http://i.prntscr.com/Mj7h4bJlQo61qnLWzgNtoA.png
2) еще просьба добавить версионность
http://i.prntscr.com/HIIrzQUiTCOXNn2uspsF_g.png

ver 0.20

| Сообщение посчитали полезным: v00doo, 4kusNick, hors

sendersu пишет:
красивая пасхалка! респект
Блин... Думали не найдут.
Там всё очень криво и падает. В следующей версии должно быть лучше.

| Сообщение посчитали полезным:

hypn0 пишет:
Блин... Думали не найдут. -> сообщение на форуме реверсеров

| Сообщение посчитали полезным: hors

hypn0, перебиндить бы пробел на вниз

| Сообщение посчитали полезным: hors

TryAga1n пишет:
перебиндить бы пробел на вниз
Он и так на вниз. Я же сказал, что там всё очень плохо.

Добавлено спустя 13 часов 59 минут
v00doo пишет:
сообщение на форуме реверсеров
Это больше похоже на поведение тестировщиков. Зачем людей в About понесло, да еще и кликать там по всему подряд?
Причем и версия софтины далеко не первая. Точно тут тайные тестеры обитают.

| Сообщение посчитали полезным: 4kusNick

hypn0

Тестировщиков ?

Не так это тестируется, это лишь указание на встреченный баг. Нормальное тестирование предполагает атаки(в частности синхро). До этого жертва изучается, а затем выполняется серия атак, только так что то может быть проверено на стабильность.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Не так это тестируется
Полностью согласен с вами, коллега. Но других тестировщиков у меня для вас нет.
Почему-то за последние три месяца никто тут (может в личке автору) не написал, что распаковщик падает на некоторых VMProtect. Причем падает как минимум по двум разным причинам (таких образцов уже штуки 4 набрали).
Следовательно, никому стабильность не нужна. Изучение окна About намного более интересно.

| Сообщение посчитали полезным:

hypn0 пишет:
Изучение окна About намного более интересно
а там безопасно, и пасхалки.
ну а так, конечно зачётный вывод.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: 4kusNick

hypn0 пишет:
распаковщик падает на некоторых VMProtect

А что, так можно было?
Я как прочитал в шапке

However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:...

Так даже и не пытался испытывать тулзу на чем-то серьезном =\

Bronco пишет:
а там безопасно, и пасхалки.
Да, там всегда намного уютнее, и часто что-то интересное есть!

difexacaw
Какие-то варварские методы у вас)

Хорошие тестировщики не только на кнопочки жмякают, они как минимум автоматизируют это жмяканье, пишут воспроизводимые тесты, в том числе с параллельным совершением действий.
Грубыми атаками вы только все сломаете, так и не поняв что именно упало и почему (разве что разрабу придется ваши атаки пробовать повторять и в отладчике потом причины искать что моветон).
Тесты, тест-кейсы, как построенные в специализированном ПО так и написанные кодом (хорошие тестировщики умеют кодить, да) как раз позволяют отследить источник проблемы в возможностью воспроизвести баг после обнаружения.

Если только вы не называете тесты атаками, тогда вы почти верно все описали, просто как-то не по-людски)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: TryAga1n, plutos, v00doo

hypn0, аналогичная с 4kusNick ситуация. Поскольку было написано, что паблик умеет только в пакеры, даже не пытался пропихивать ему проты. Если хотите масштабный тест, то выложили бы одну из приватных версий, тогда и тесты веселее пошли и обнаружились баги с протами

| Сообщение посчитали полезным: plutos, Bronco

TryAga1n пишет:
Если хотите масштабный тест, то выложили бы одну из приватных версий, тогда и тесты веселее пошли и обнаружились баги с протами

+1!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

TryAga1n пишет:
даже не пытался пропихивать ему
Эмм... А тут точно реверсеры?

TryAga1n пишет:
выложили бы одну из приватных версий
На самом деле эта версия сейчас единственная. Просто что-то принудительно отключено, а что-то изначально не распаковывается и пока не добавлялось.

Некоторые ранние VMProtect в Generic режиме отлично анпакаются. И вроде даже файл рабочий получается. Но не помню, может что-то другое было.

В любом случае никто не запрещает подсовывать любые файлы. Хоть даже не упакованные.

Что касается масштабного теста. В автомате протестировано на более чем 1 миллионе разных исполняемых файлах. Упакованных/защищенных из них было порядка 20%. Падения (exception) были только на 2-3. В общем всё работает очень стабильно. Сейчас нужен масштабный тест того, что поддерживается и рабочие ли файлы получаются.

Еще какие-то версии Armadillo в режиме Generic тоже распаковываются.

| Сообщение посчитали полезным:

hypn0 пишет:
А тут точно реверсеры?
Не возьмусь говорить за всех, но лично я - домохозяйка.

hypn0 пишет:
Некоторые ранние VMProtect в Generic режиме отлично анпакаются
hypn0 пишет:
какие-то версии Armadillo в режиме Generic тоже распаковываются
Позвольте уточнить - проты использовались с опциями защиты или просто как пакер?

| Сообщение посчитали полезным: