Автор зарелизил, а тут сообщить забыл.
Качайте, пользуйтесь, тестируйте.

https://n10info.blogspot.ru/2018/03/xvolkolak-010.html

Автору большое спасибо!

Xvolkolak is an unpacker emulator.

Unlike programs of this type, it does not use DebugAPI and other features of the operating system. Everything is emulated. You can safely unpack malware for further investigation without the risk of damaging the system.
All machine instructions are not executed on a real processor, so unpacking occurs regardless of the processor type and the operating system.
It is possible to unpack 64 bit files on 32 operating systems.
This build emulates the processors intel x86 and AMD64.
It supports unpacking 32 and 64 bit Windows executable files. If there is community interest, it will be possible to unpack other executable files (ELF, MSDOS, Mach-O) and other processors.

Due to its capabilities, with the correct manual setting, the program engine can be used to unpack almost any packer / tread.
However, this version of the program works in a fully automatic mode and can only unpack simple non-commercial unpackers such as:

UPX
ASPack
NsPack
Mpress
MEW
(Win) Upack
FSG
and some others.

The version of the program with the possibility of unpacking commercial protectors (such as VMProtect, ASProtect and others) will not appear in the public domain for obvious reasons.

| Сообщение посчитали полезным: Gideon Vi, Orlyonok, hors, TRPD, MarcElBichon, mak, Jupiter, HandMill, 4kusNick, Jaa, ADMIN-CRACK

hors пишет:
С нулями вроде решена проблема в последней версии.
Приветствую ) Спасибо за 0.22
Проверил на тех же файлах. Тоже самое. Кину в личку.

| Сообщение посчитали полезным:

==DJ==[ZLO] пишет:
Проверил на тех же файлах. Тоже самое. Кину в личку.

Спасибо. Буду разбираться

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

difexacaw пишет:
зачем вам это
"доктор", что за вопросы?
-------
hors, где то в топе мелькал текст по плагинам. в частности к отладчику мистера диа.
в сниффер как то не вкурился, зачем он нужен, если есть тулза отдельная, тем более он куцый.
а вот по певьюверу зацепило.
на фулл редач конечно не рассчитываю, но хотя бы можно сделать указатели "живыми", а не рав как в обычном вьювере? всё таки дело крутиться по дебагером. кликнул_посмотрел_поправил...))
и заметил, что с таблицей егоров как то ваще никак.
было дело что просто скриптами парсил_правил, структура конечно бывает глубоко уходит, но есть же описание, и оно не сложное.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: hors

Bronco

У тебя как всегда какой то эльфийский язык. Сабж работает лишь на паре примитивных протекторов, выше я это показал.

| Сообщение посчитали полезным:

Clerk пишет:
какой то эльфийский язык
и сколька бУкав у них в алфавите?))
Clerk пишет:
Сабж работает лишь на паре примитивных протекторов, выше я это показал.
я не пойму чего тебя так заедает. То ты к дрову КвикУнпака прицепился, хотя у того список таргетов ого-го.
И соавторы там именитые.
теперь тебе тема с кьюэму не нравиться. В заголовке топа же написано чёрненьким, шО цЭ такЭ..))
Тебе shelshtorm предлагал же трасер написать под обе архитектуры.И была бы потребность в этом.
Мне лично припарило эмулить всякую системную шнягу, чтобы выдрать код с апа.
а юзать толстый пин и риа как то напряжно.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
на фулл редач конечно не рассчитываю, но хотя бы можно сделать указатели "живыми", а не рав как в обычном вьювере? всё таки дело крутиться по дебагером. кликнул_посмотрел_поправил...))
и заметил, что с таблицей егоров как то ваще никак.

Exception Table я конечно добавлю,
Идея с живыми указателями интересная, попробую что-нибудь придумать.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Bronco

Виндовс 7 блокнот ->UPX ->сабж->Не запускается

| Сообщение посчитали полезным: hors

esa_r

Оно и не должно запуститься. В импорте блокнота 7-ки не паблик апи(по ординалам). Они не описаны в эмуляторе. Это как минимум. Запускать нужно исключительно на хп.

-----
vx

| Сообщение посчитали полезным:

esa_r пишет:
Виндовс 7 блокнот ->UPX ->сабж->Не запускается

Спасибо за тестирование. Буду разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

Разбирал крэкми с васма, решил посмотреть что будет если сабжем крутнуть. Куча ошибок.

-----
vx

| Сообщение посчитали полезным:

difexacaw
не тестил SVKP? он загнулся давно, но тем не менее. лет много назад заставил подумать

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax

А что это ?
Судя по гуглу это какая то малварь.

-----
vx

| Сообщение посчитали полезным:

difexacaw
перестаньте усматривать малварь в том, что дают всякие av. это был прот. скинул в личку

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

difexacaw пишет:
Разбирал крэкми с васма, решил посмотреть что будет если сабжем крутнуть. Куча ошибок.

Удивительно.

Я сделал программу с ОДНОЙ КНОПКОЙ.
Я ясно написал что с ней можно делать, а что нет.

Оказывается она не может распаковывать какие-то крэкми.
Печаль.

Но думающий человек из всего извлекает уроки. Итогом мучительных поисков стала новая концепция ОДНОЙ КНОПКИ.



Очевидно что теперь нельзя запустить распаковщик от одного упаковщика/протектора на другом упаковщике/протекторе.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Adler

hors

Паковка не причём, там не проходит эмуль тлс/сех.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
hors

Паковка не причём, там не проходит эмуль тлс/сех.

Это конечно всё очень печально и несправедливо. Но какое отношение это имеет к заявленному функционалу?

Эмуль TLS и SEH кстати реализован на базовом уровне. Если он у тебя не проходит, значит там совсем не базовый уровень, реализации которого здесь не будет по понятным причинам.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

Тебе выше чел привёл пример, ты ответил что буду разбираться. Я думал тебе будет интересно откуда сыпятся фейлы, я например свой тулз допиливаю при тестах на семплах и это за радость. Ты же какой то хз.. на всё один ответ, как будто проклинило:

> здесь не будет по понятным причинам.

Каким причинам и почему я хз. Скажи прямо что не осилил и не саппортишь. Тогда и тема твоя нафиг никому не нужна и мне не интересна.

-----
vx

| Сообщение посчитали полезным: hors

Толпа жадно читает исповеди, записки etc., потому что в подлости своей радуется унижению высокого, слабостям могущего. При открытии всякой мерзости она в восхищении. Он мал, как мы, он мерзок, как мы! Врете, подлецы: он и мал и мерзок — не так, как вы — иначе.
( А. С. Пушкин из письма П. А. Вяземскому 1825 г.)

По-моему, с 1825 года так ничего и не изменилось.

| Сообщение посчитали полезным: hors

[offtop]
sty пишет:
Толпа жадно читает исповеди, записки etc.,
Навеяло --> Link <--
[/offtop]

| Сообщение посчитали полезным: hors

difexacaw пишет:
Тебе выше чел привёл пример, ты ответил что буду разбираться.

И действительно буду разбираться.

difexacaw пишет:
Я думал тебе будет интересно откуда сыпятся фейлы,

Попытаюсь объяснить. К примеру завод выпускает крестовые отвёртки для закручивания шурупов. К отвёрткам прилагается красивая инструкция с картинками, какие шурупы можно закручивать, какие нельзя.
Один покупатель решает с помощью этой отвёртки ковыряться в ухе. Получается не очень хорошо. И вот он пишет гневные письма на завод, пытается привлечь других людей. Но его почему-то все игнорируют.

difexacaw пишет:
Каким причинам и почему я хз.

По причинам очевидным.

difexacaw пишет:
Скажи прямо что не осилил и не саппортишь.

Ещё раз. Программа заявлена как распаковщик-эмулятор некоммерческих пакеров.
Где здесь что-то про "проблемы TLS/SEH крэкми с васма"?

difexacaw пишет:
Тогда и тема твоя нафиг никому не нужна и мне не интересна.

--> Link <--

На самом деле, Инди, мне всегда очень интересно твоё мнение. Описанный выше интерфейс с ОДНОЙ КНОПКОЙ был инспирирован беседами с тобой. Так что не пропадай.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: VOLKOFF

sty пишет:
А. С. Пушкин из письма П. А. Вяземскому 1825 г
Круто, я даже не знал что они френдами были..))
Увы но у меня нет времени читать письма, двухсот летней давности.
-------------
немножЕчко о своём.хз куда пост тыкнуть, тему плодить не хочу. Сорян ТС.
Аппгейм стал падать после обновы периферии.Дрова вроде свежие.

хз с такими указателями не встречался, по телу аппа их штук 60, после егора вылазит либа верификации, ген крашдампа, и апп в аут. В регистре по ходу "мёртвый указатель" на память.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Увы но у меня нет времени читать письма, двухсот летней давности.

Bronco, ну вам-то с вашим характером, от этого была бы польза разве что только для расширения кругозора, а вот difexacaw иногда, по-моему, наступает на "старые грабли" Во времена Пушкина он бы уже давно погиб на дуэли и не исключено, что от вашего же пистолета .

| Сообщение посчитали полезным:

Bronco

Нужно больше инфы.

test -> SF устанавливается в зависимости от мода, для кернел выполниться обращение к нулевой странице и соответственно это способ уронить ос, если конечно не стоит ловушка. Зачем это сделано трудно даже предположить.

-----
vx

| Сообщение посчитали полезным:

difexacaw, хз адрес же не пространстве системных библиотек, это секция кода таргета, и
в регистре всегда есть значение, в случае исключения, оно просто константа.
вот куда указатель в инструкции указывает хз.
difexacaw пишет:
Нужно больше инфы.
подозрение на слай режим, до апдейта была одна видяха.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: