Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK

zlohack

Запустилось на 8-64, на варе 7-32 распаковывает сама себя. Как может быть, что на 3-х разных системах у вас не работает.. что на них общего, может какой то софт левый, ав например ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Как может быть, что на 3-х разных системах у вас не работает.. что на них общего, может какой то софт левый, ав например ?

Ничего общего. В том то и дело, не понимаю почему не хочет работать. Заметка в том, что не работает только если есть VMProtect ( но файлы разные и никак не относятся к друг другу ). Все остальное распаковывает. А в случае с вмпротект, сразу при анализе уходит в краш.

| Сообщение посчитали полезным:

zlohack
Написано же было, протекторы пока не поддерживаются, а публичная версия и не будет их поддерживать.
Не нужно смотреть что там определяется.

И да, на VMProtect падает, об этом тоже говорилось.

| Сообщение посчитали полезным:

zlohack

На вашем семпле падает, проблема тут:



Косяк с qemu --> Link <--

Можно там попытаться найти место с ошибкой, но толку от этого не будет. Я изначальна говорил что использовать частичную эмуляцию - бессмысленно.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Спасибо. Ваше мнение очень важно для нас.
Но не переживайте, любезный. Всё поправим. Это далеко не первый косяк в qemu.

Вот не в обиду, удивляют люди, которые любят давать советы, вместо того, чтоб взять и сделать.

| Сообщение посчитали полезным:

hypn0

Что это значит ?
Сделать - это по вашему разобрать эту всю кодовую лапшу(не опенсорц), вы вообще в своём уме. Даже если бы я хотел это пофиксить, то это заняло бы времени больше, чем своя разработка.
Изначально я говорил что это ошибочный путь, использовать эмулятор для ведения трассы. Теперь начинают вылазить косяки, фикс которых невозможен. По этой причине оно и не может никакие норм поделки обработать, приложение дикий пиздец если вы внутрь загляните. Продумать нужно архитектуру, прежде чем реализовать.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Ничего разбирать не нужно.
Если знаете как правильно сделать, то напишите собственный универсальный распаковщик. С правильной архитектурой.
А если Вам это не нужно или не интересно, то зачем критикуете? Проходите мимо и всё. А то наблюдаю с Вашей стороны какой-то нездоровый интерес. Складывается ощущение, что Вам или завидно, что появился и развивается такой инструмент, или Вы крайне не заинтересованы в том, что этот инструмент появился.

| Сообщение посчитали полезным: hors

hypn0

Во первых выше попросили помощь, мне не составляет труда десяток минут провести в отладчике. В этом нет ничего зловещего
А во вторых я знаю как это устроено, уже обсуждали. Я за развитие, но глупые решения заложенные в архитектуру - это просто не приемлемо.

Вы же вот никак не помогли человеку с проблемой, а имеете наглость как то мой ответ осуждать.

-----
vx

| Сообщение посчитали полезным:

difexacaw

Я считаю, что не нужно помогать конкретному человеку. Во-первых он не читал верхний пост, там всё четко сказано. Во-вторых ограничения по протекторам придуманы не просто так, а специально, чтоб школьники не начали ломать софт пачками. Всё-таки протекторы созданы не просто так. И у меня есть подозрения, что этот человек как раз думал, что сейчас быстро всё распакует и покрякает.

Что касается "глупых решений", давайте Вы больше не будете ничего говорить про xvlk? Ведь раз у нас "глупые решения", то какой смысл что-либо нам объяснять? Ваше мнение мы знаем. Спасибо.

| Сообщение посчитали полезным:

difexacaw пишет:
Я изначальна говорил что использовать частичную эмуляцию - бессмысленно.
Ну почему же сразу бессмысленно?

Пока вы тут ворчите, ребята пилят инструмент, который работает и уже помогает народу, как это может быть бессмысленным?

Знаете, можно сколь угодно долго теории описывать и бубнеть про идеальные и чистые решения, но не начав что-то делать это все так и остается как раз таки бессмысленной болтовнёй.

Невозможно чему-то научиться ничего не делая.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hypn0, HandMill, N_E_O, hors, plutos

4kusNick
Я хотел это же написать, но посчитал что будет слишком грубо.

| Сообщение посчитали полезным:

hypn0 пишет:
И у меня есть подозрения, что этот человек как раз думал, что сейчас быстро всё распакует и покрякает.

Я конечно виноват в том, что не прочитал пост и отнял время у difexacaw, но вот тут уже вы не правы. Этот софт находится в открытом для загрузки и использовании доступе. Распаковывать и проводить анализ я могу с любым файлом, который я посчитаю нужным, будь то "школьный софт" или же коммерческий продукт. Я не просил никого о распаковке файла, не просил исправить эту ошибку, я лишь задал вопрос почему эта ошибка появляется. Пусть вы и пишите достойный софт, но вот мысли читать, я уверен, вы еще не умеете, по этому давайте без предугадывания того, что я собирался или собираюсь делать с вашим продуктом. Пусть меня в черный список добавят, я останусь при своем мнении. Отдельное спасибо difexacaw, что откликнулся и помог.

| Сообщение посчитали полезным: difexacaw

difexacaw пишет:
А во вторых я знаю как это устроено, уже обсуждали. Я за развитие, но глупые решения заложенные в архитектуру - это просто не приемлемо.

Нет Клерк, к сожалению ты ничего не знаешь. Я читал твои истории про "массивные ядерные функции" и про "ядерные вызовы" которые ты вот-вот отследишь с помощью визора и наконец "закончишь этот цирк".
Я с большим инересом знакомлюсь со всеми твоими постами в этой теме, но с реальностью твои фантазии не имеют ничего общего.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

difexacaw пишет:Продумать нужно архитектуру, прежде чем реализовать.

автор unicorn это и сделал, упростил до безобразия интерфейсы qemu, сведя сотни строк к десяткам. совсем без багов не видел ни одного инструмента, будь то эмуляторы или рекомпиляторы, везде есть ошибки и не везде есть необходимый функционал, мир на x86 не остановился. касательно unicorn'a, там есть серьезней проблемы чем мелкие ошибки (внесение патчей обновления qemu), но тебе объяснять всё равно что с деревом разговаривать.

| Сообщение посчитали полезным:

4kusNick

> Пока вы тут ворчите, ребята пилят инструмент, который работает и уже помогает народу, как это может быть бессмысленным?

Метод получения трассы бессмысленный, читайте внимательно

Для этого прикрутили qemu. Оно не для чего иного тут не нужно, только что бы выделить поток инструкций. А это слишком толстая реализация, что бы не содержать ошибок. Видимо по этой причине вмп оно и не проходит.

Добавлено спустя 3 минуты
hors

> Я с большим инересом знакомлюсь со всеми твоими постами в этой теме, но с реальностью твои фантазии не имеют ничего общего.

Это почему же, реальность такая, что весь массив задач сводится к снятию трассы визором. Обычно проще взять готовую вм, чем самому что то реализовать, как в данном случае.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Это почему же, реальность такая, что весь массив задач сводится к снятию трассы визором

Твой визор на моём линуксе не будет работать. Стало быть это кривая и негодная поделка.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

А сабж у вас в линях работает, пе формат

Декодеру нет разницы какая у вас ось, он раскодирует поток инструкций.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: А сабж у вас в линях работает, пе формат

оно там робит лучше чем на windows, как и подавляющие большинство актуальных эмуляторов или рекомпиляторов, учитывая, что qemu это порт, с чего бы ему не робить на никсах. большинство win софта прекрасно работает в никсах.

| Сообщение посчитали полезным:

shellstorm

Под вайном. Товарисч выше написал это не думая как сарказм. На самом деле декодер работает с кодировкой cpu, а не с осью или модом. Эта из тех задач, которые не включают в себя системную обработку, она от ос зависит.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
А сабж у вас в линях работает, пе формат

А сабж у нас везде работает

difexacaw пишет:
Декодеру нет разницы какая у вас ось, он раскодирует поток инструкций.

Приятно это слышать от тебя.
Раньше твоё творчество не работало нигде кроме твоего компьютера, да и на твоём компьютере не всегда.
Наконец-то ты взялся за ум.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

Всё работало как часы, просто у вас под линями не работало, руки из задницы растут не иначе

Линь это совершенно иная от нт архитектура, я к ней никакого отношения не имею. Скриптом, сишкой к примеру можно собрать только ось зависимые вещи, когда дело доходит до порта на другую платформу, то и от скрипта толку нет. Это может сработать только на каких то басиках при коденге менюшек.

Добавлено спустя 15 минут
hypn0

> Что касается "глупых решений", давайте Вы больше не будете ничего говорить про xvlk?

А каким же образом ты вообще к сабжу отношение имеешь, ну кроме создания темы про софт ?

Кто ты вообще такой ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Кто ты вообще такой ?

клич в стиле героев Ильфа и Петрова: "А ты кто такой?!"
этот клич считался "предвестником генеральной драки" между Паниковским и Балагановым
прошу прощения за offtop, но уже сил больше нет все это читать.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos

Точно, какой то ньюби-троль выше высказывает своё мнение, как будто оно важно и он не мудак, а шарит.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
А каким же образом ты вообще к сабжу отношение имеешь, ну кроме создания темы про софт ?
Кто ты вообще такой ?

Давай только без этих гнилых заходов.

Когда hypn0 начинал заниматься реверсингом, ты ещё наверное не родился. Те кому надо его хорошо знают и уважают.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

difexacaw пишет:
какой то ньюби-троль
афуеть, ТС раскрутил топ, уже на 5 страниц, паблику тема близка и интересна, для обкатки идеи самое оно, но... не так же критично и какашисто. реально зависть прямо выпячивает.
Иди блог создавай, а мы посмотрим как пипл подтянется, и не занимайся дешёвым и бездарным маркетингом, за сирая страницы других тем.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
ТС раскрутил топ, уже на 5 страниц
Но позвольте, в этих 5 страницах немалая его лепта Это по-моему не зависть, а стремление всех поучать как надо правильно. Есть у этого качества одно меткое название.

-----
2 оттенка серого

| Сообщение посчитали полезным:

difexacaw пишет:
Кто ты вообще такой ?
Да какая разница?

difexacaw пишет:
ньюби-троль выше высказывает своё мнение
И?
Называйте меня как угодно, меня это не задевает вообще никак.
А мнение я высказываю по одной причине. Есть инструмент, который работает и постепенно становится лучше и лучше. И есть некий товарищ, который говорит, что все дураки, один он умный и знает как правильно. Только вот инструментов, превосходящих или хотя бы таких же, от этого товарища я не видел.
Возникает логичный вопрос, правильно ли советует этот товарищ?

У меня как-то на работе, лет 10 назад, был коллега, который считал себя аналитиком и всем советовал как нужно делать правильно. Хотя принимали его на работу как программиста. Так вот за полгода он ничего значимого не сделал, зато остальным ребятам все мозги вынес. Сначала структура базы ему не понравилась, переделали, потом код надо стало переделывать, переделали. Потом выяснилось, что опять структуру базы надо менять и так далее. В результате после полугода траходрома его нафиг уволили. Потому что руководству нужен был продукт, а не идеальная архитектура продукта.
Правильно говорят, нет предела совершенству. И тут уже каждый выбирает сам что ему нужно, шашечки или ехать.

В то время как Вы изучаете как это делать правильно, другие люди понемногу пилить. И в результате получается продукт, которым реально можно пользоваться. А Вы и дальше продолжайте разглагольствовать.
Прошу прощения, но есть народное выражение "пи%деть - не мешки ворочать". Как сделать правильно и какая должна быть идеальная архитектура, все отлично знают или догадываются. Только вот мы живем в реальном мире и должны отдавать себе отчет, что в большинстве случаев затраты времени на реализацию идеала стремятся к бесконечности. Поэтому и выбирается относительно оптимальный вариант. При этом не означает, что этот вариант в данном случае полностью неправильный.

И еще.. Ваши вопросы "кто такой?" показывает, что по существу Вам ответить нечего и Вы переходите на личности. Если Вам от этого становится лучше, то ничего не имею против. Продолжайте на меня наезжать, я не обижаюсь. Главное, чтоб Ваше психическое здоровье было в порядке.

| Сообщение посчитали полезным: parfetka, TRPD

difexacaw пишет: Точно, какой то ньюби-троль выше высказывает своё мнение

Высказывать мнение не запрещено и вообще, раз все бегут не туда, и не так, зачем бежать следом, указывая как нужно делать? Не устраивает, не нравится, повернись и иди своей дорогой, доведи до ума хоть один проект, иначе твоим очередным набором костылей снова никто не будет пользоваться. Раз самому сложно разобрать протектор, возьми скрипт Volx и на базе своего визора сделай анпакер, лайки с признанием, которые так жаждешь, не заставят себя ждать.

| Сообщение посчитали полезным:

shellstorm

Взял теста ради блокнот запаковал аспаком. Распаковать сабж даже это не может(IAT вникуда). Прикола ради вставил Int3 через десяток инструкций в пакованном модуле, в результате - ничего

Это и есть набор костылей не рабочих. Зачем такое вообще пилят не пойму. И как это работает, зачем в принципе нужна трасса ?
Запустил и отловил нужные события, к примеру запуск гуя, после чего можно дампить. Нафиг нужны эмуляторы в таком софте ?

Добавлено спустя 10 минут
Вставил jmp $ - зависла на нём, крутит в бесконечном цикле, лол.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Вставил jmp $ - зависла на нём, крутит в бесконечном цикле, лол.


А ты что-то другое от jmp $ ожидал? На твоём компьютере это работает иначе?

-----
http://ntinfo.biz

| Сообщение посчитали полезным: