ANBU (--> Automatic New Binary Unpacker <--) a tool to learn about --> Intel PIN <--and algorithms of generic unpacking

Собирается легко с помощью Visual Studio 2017 на машинах, где уже установлен intel PIN. Сам пробовал, да, таки собирается.
Автор утверждает, что работает на следующих пакерах:
Packers tested

•UPX
•AHPack
•MEW
•EZIP
•FSG
•Mpress
•Aspack
•Basic RunPE

Не пробовал еще, будем посмотреть.
Меня больше тут интересует source code и подход автора. Пока еще не имел времени сильно копать.
Кому интересно, смотрите, пишите отзывы. Надеюсь, что это что-то стоящее...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: difexacaw

plutos

На этих работает Intel SDE, на том же PIN'е. Проверял пару дней назад. На норм протах валится(SDE) в RTL.

А в общем такие инструменты(визоры) годные, они заменяют отладку и решают сложные задачи.

-----
vx

| Сообщение посчитали полезным: plutos

Поделитесь пожалуйста кто нибудь скомпилированным ANBU.dll, а то моя криворукость не позволила его собрать. Правда пробовал в VS2019, но думаю, что вряд ли дело в версии...

| Сообщение посчитали полезным:

Adler пишет:
Правда пробовал в VS2019, но думаю, что вряд ли дело в версии...

зря так думаешь. Да и зачем гадать, Visual Studio Express 2017 в виртуалке ещё ни раз пригодиться

| Сообщение посчитали полезным:

masterkey0, я уже понял, т.к. сперва он на отсутствующие .h ругался, думал, что чего-то не хватет в студии (я в C++ и особенностях его сборки не шарю). Но оказалось, что там просто пути к инклюдам абсолютные указаны, исправил и начало вылетать на ошибку компиляции. Из нагугленного нашел, что эта ошибка бывает когда версии не совпадают.

| Сообщение посчитали полезным:

Adler, вот-вот. Полезно, кончено, научиться такие ошибки править, но я пока что решил завести парк виртуалок с наиболее употребляемыми версиями студии )

| Сообщение посчитали полезным:

Хм. Кое как собрал. Интересно, что ASpack распаковало без проблем, запускается, а обычный upx вроде распаковало без ошибки, но файл не запускается.
P.S. Еще один upx распаковал - запустился.

P.S.S. А в чем сакральный смысл делать смещение первой секции в 1000h вместо "стандартных" 400h?

К примеру, XVolkolak так не делает.
Кстати, XVolkolak так же не смог первый UPX файл распаковать корректно.
P.S.S.S. Первый файл и после распаковки самим upx не запускается, при том, что если его распаковать PE Explorer`ом, то он прекрасно запускается.
Что с ним не так?

b2b1_15.05.2019_EXELAB.rU.tgz - BOOTICEx86_2016.06.17_v1.3.4.0.exe

| Сообщение посчитали полезным:

Adler пишет:
BOOTICEx86_2016.06.17_v1.3.4.0.exe
а там чето фиксить в заголовке надо было отдельно, у меня в папке с upx два файла распакованных, один вроде мой, второй чей то:
https://www.sendspace.com/file/k3lozq

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Kindly, ну BOOTICEx64.exe тот же XVolkolak распаковывает корректно. ANBU с 64 битами не дружит.
А вот BOOTICEx86 только PE Explorer осилил.

Добавлено спустя 9 часов 7 минут
Кстати, в VS 2019 тоже собирается, то я просто затупил, пытаясь его в Debug собрать, в котором чего то не донастроено.

| Сообщение посчитали полезным:

Adler

А какой смысл распаковки и как она делается, тоесть запустить и сдампить ?

Тоесть каким то образом обождать событие EP и тогда секции выгрузить в файл, для этого и нужен эмулятор(без визора обнаружить событие EP нельзя) ?

Тогда это получается не имеющим смысла, тк образ на EP распакован, сохранять в файл может понадобиться только если нужно файл далее какими то инструментами обработать, идой к примеру.

Во всех прочих случаях когда дамп не возможен(а это любые протекторы немного сложнее чем upx) это не сработает. Именно по этой причине в списке только протекторы которые сами себя анпакают и можно дампить.

-----
vx

| Сообщение посчитали полезным:

difexacaw, ну это вопросы явно не ко мне
С практической точки зрения, к примеру, недавно надо было утилиту перевести на русский с английского, а она ASpack`ом упакована. Т.е. надо, что бы после распаковки оно еще и запускалось. Распаковать в дебагере то я ее распаковал, ресурс вытянул, но с экспортом беда, моя криворукость не позволила его пофиксить. XVolkolak`ом все распаковалось отлично без танцев с бубном (в общем и quick unpack распаковал на другой ОС, но у меня он с Win10 x64 не подружился), ресурс переведен и заменен.
Этот распаковщик чисто для коллекции, может пригодится когда нибудь, если что-то другое по какой то причине не справится.

| Сообщение посчитали полезным:

Adler

> Распаковать в дебагере то я ее распаковал, ресурс вытянул, но с экспортом беда, моя криворукость не позволила его пофиксить.

По мойму не правильный подход к задаче. Нужно было прицепить к запакованному модулю свой, который после распаковки внёс бы нужные изменения(в памяти а не в файле). Тогда не нужно было бы и думать про распаковку

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Нужно было прицепить к запакованному модулю свой, который после распаковки внёс бы нужные изменения.
Если бы я еще что-то из этого понял
Ну в общем я приблизительно смысл понял, но как это реализуется даже примерно не представляю..

| Сообщение посчитали полезным:

difexacaw
> По мойму не правильный подход к задаче. Нужно было прицепить к запакованному модулю свой, который после распаковки внёс бы нужные изменения(в памяти а не в файле). Тогда не нужно было бы и думать про распаковку

Т.е. ты предлагаешь выискивать адреса строк в памяти, писать какие-то штуки, которые будут их заменять вместо того, чтобы расспаковать и в удобненьком *resource editor name* подправить? lol

| Сообщение посчитали полезным:

rthax

Ну мне например что бы в памяти что то пофиксить и собрать для этого билд нужен десяток минут. Тоесть для себя я не вижу смысла заниматься задродством с распаковкой. Но для вас, может это и lol, так как вы только кнопки можите жать в инструментах, наверно поэтому оно и нужно.

-----
vx

| Сообщение посчитали полезным: