Ммм, если кому интересно, можно сделать нормальный статический распаковщик (без тухлого трейса/дампа) для какого-нибудь пакера, со статейкой, и коментриями в сорце где че по чем. Собсно имя пакера пока принимается на рассмотрение, только без экстремизма - экзекриптры, аспры и армадиллы мы пока трогать не бдуем, с вашего позволения.

| Сообщение посчитали полезным:

fakit пишет:
По ASPack и UPX хватает всякой барады
Вроде речь идет не про "бараду"..

| Сообщение посчитали полезным:

если разбирать ASPack, то лучше всего версию 2.11, т.к. последующая 2.12 была гораздо проще
ASPack v2.11 http://webfile.ru/648795

-----
EnJoy!

| Сообщение посчитали полезным:

Можно взять для примера UPX <0.7, который самим UPX'ом не распаковывается
Или PeSpin или ORIEN (хотя он, вроде, коммерческий)...

| Сообщение посчитали полезным:

DrGolova
Круто что ты решился писать такую статью. Предлагаю написать про nSpack, как про самый перспективный пакер. Просто потому что за ним будущее, он жмет и .NET проги и 64 битные проги и Dll и даже вроде драйвера, потому советую писать именно про него, а так смотри сам

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Предлагаю написать про nSpack
Пока гаврила замутит статью про nSpack version X, уже быйдет version X+10, в которой возможно будет все по-другому.

| Сообщение посчитали полезным:

fakit пишет:
уже быйдет version X+10
Дык смысл не в том, чтобы получить рабочий анпакер, а в методике подхода, приемах, и т.п. Сам по себе объект не особо важен. Я бы вообще предложил взять какой-нить более-менее стабильный неизвестный пакер и писать про него. Благо их щас тыщи...

| Сообщение посчитали полезным:

Лично я за ЮПак, т.к. мне инетерсно и я им пользуюсь иногда.

| Сообщение посчитали полезным:

Склоняюсь к мысли что это таки будет ASPack 2.12 - достаточно популярный, кода немного и он понятен
в 2.11 3/4 будет заниматься снятием полиморфа, т.е. просто нужно прикрутить эмулятор, все остальные потроха как в 2.12
UPack последних версия имее довольно мрачный код, к тому же поразному садится на разные файлы (как UPX), а несколько разных загрузчиков должны будут иметь несколько распаковщиков
NSPack - проблемно найти работающий пакер, китацы как-то криво его отламывают, и версии появляются каждую неделю
PECompact - матрешка с кучей разных кодеков - лениво вколачивать сигнатуры и паковать самплы
остальные претенденты не проходят тест на популярность - пара упакованых программ за год это маловато.
Можно, конечно, для чистоты эксперимента взять что-нибудь совсем экзотическое типа SoftwareCompress, но помойму это не так интересно.
Предложения все еще принимаются

| Сообщение посчитали полезным:

Я за molebox (:

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

DrGolova пишет:
Предложения все еще принимаются

Ок, предлагаю PESpin

| Сообщение посчитали полезным:

Хм, FSG 2.0, MEW
часто релизы пакуют, унпакер будет полезен для рипперов

| Сообщение посчитали полезным:

DrGolova
На SoftwareCompress даже не смотри

| Сообщение посчитали полезным:

DrGolova пишет:
т.е. просто нужно прикрутить эмулятор, все остальные потроха как в 2.12
Ну так чем больше в статье будет интересного, тем лучше.
FEUERRADER пишет:
На SoftwareCompress даже не смотри


-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy
Большой материал можно "ниасилить". Т.к. написание статьи съест не мало времени

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

PESpin в эссе точно не осилю - там на каждую версию распаковщик по две тысячи строк на си, соответственно комментариев должно быть дватцать тысяч - это пусть пушкин столько пишет, ему не привыкать

> На SoftwareCompress даже не смотри
А почему? Он же такой примитивный, к тому же запакованные проги из-за баги не работают в Xp-SP2, но при этом прекравно распаковываются и после этого работают

Про FSG идея понравилась %)

| Сообщение посчитали полезным:

nice пишет:
Большой материал можно "ниасилить". Т.к. написание статьи съест не мало времени
Ну дык доктор не новичок же, знает что делает, никуда не исчезнет.

-----
Всем не угодишь

| Сообщение посчитали полезным:

FSG фтопку
лучше уж ASPack, но с поддержкой распаковки DLL

PS: мне еще в начале темы показалось что это все-равно будет ASPack ;)

| Сообщение посчитали полезным:

Asterix пишет:
лучше уж ASPack, но с поддержкой распаковки DLL
именно. Доктор, не забудь про восстановление релоков

| Сообщение посчитали полезным:

ssx пишет:
именно. Доктор, не забудь про восстановление релоков

и ресурсов ;)

| Сообщение посчитали полезным:

за MoleBox

| Сообщение посчитали полезным:

FCG 2.0
ASPack

| Сообщение посчитали полезным:

ASPack 2.12, однозначно!

| Сообщение посчитали полезным:

/me скромно шепнул "MoleBox..."

| Сообщение посчитали полезным:

ASPack с поддержкой распаковки DLL

| Сообщение посчитали полезным:

> лучше уж ASPack, но с поддержкой распаковки DLL
> именно. Доктор, не забудь про восстановление релоков

Вы смеетесь? Для "восстановления" релоков нужно только пересчитать их размер таким кодом:

static INT RebuildRelocs(UNASP_CTX* Ctx)
{
DWORD* RPtr;
DWORD RVA;
UINT Size;

/* flush relocations */
Ctx->PE->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC] .
VirtualAddress = 0;
Ctx->PE->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC] .
Size = 0;

/* check offs */
if ( !Ctx->Info.RelTbl )
return(ERR_SKIPPED);
if ( 0 == (RVA = *(DWORD*)(&Ctx->Entry[Ctx->Info.RelTbl])) )
return(ERR_SKIPPED);

Size = 0; /* calc size */
RPtr = (DWORD*)(&Ctx->Image[RVA]);
while( RPtr[0] != 0 && RPtr[1] != 0 )
{
Size += RPtr[1];
RPtr = (DWORD*)((BYTE*)(RPtr) + RPtr[1]);
}

/* check dummy relocs */
if ( Size == 0 ) RVA = 0;

/* update header */
Ctx->PE->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC] .
VirtualAddress = RVA;
Ctx->PE->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC] .
Size = Size;

return(ERR_OK);
}


Все, решение принято - для начала это будет аспак, потому что для него у меня уже все написано.
А если понравится, и будет сам пакер, будет SVKP 1.36
Начинаю принимать ссылки на упакованные программы для реальных тестов (notepad.exe это хорошо, но лучше перестраховаться

ЗЫ: форматирование кода, как я ни старался, все равно слетело

| Сообщение посчитали полезным:

еще хотелось бы увидеть статью про написание эмулятора
хотя кое-какие попытки были на uinc.ru уже, и даже простенький антивирь
в исходниках есть, но лучше бы более приближенную к какому-нибудь
конкретному упаковщику

| Сообщение посчитали полезным:

Для снятия kme32 в SVKP эмулятор понадобится однозначно. Но это не значает что его кто-то будет писать - все есть на bochs.sourceforge.net
А на юинке описана модель сферичского коня в вакууме, ничего общего с реальными эмуляторами она не имеет, и небудет, пока автор не задетектит хотябы пару сотен полиморфов, чего явно небыло =)

| Сообщение посчитали полезным:

>> Начинаю принимать ссылки на упакованные программы для реальных тестов

самая характерная прога - IDA Pro

| Сообщение посчитали полезным:

Да про Aspack тем писать нечего. Любой новичек сам разберется за пару часов!!! Тем более что, уже все 100 раз написано. Я еще в 1999 или 2000 читал статью, где полностью описан алгоритм. С прошлого века там ничего конкретного не поменялось. Если хватает ума и времени напиши про что-нибудь толковое. В свое время я хотел написать что-то подобное, но только для Asprotect. Времени и терпения не хватило. Правда, хотел сделать динамический распаковщик, но с полным описанием алгоритма в статье. Мои поделки и описания в атаче.

06f6_astut.rar.zip

| Сообщение посчитали полезным:

seeq
Про аспр толково описано =)
Автор ResRebuilder'а ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: