 |
eXeL@B —› Вопросы новичков —› Пишу статью про упаковщики. Что дальше после AsPack |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 30 мая 2009 18:30 · Личное сообщение · #1 Заканчиваю описание про AsPack и не знаю - какой упаковщик выбрать следующим по распространенности. В большинстве статей они идут в порядке сложности, а не распростроненности. Какой дальше? У меня на компе: UPX - 29 AsPack - 18 PeCompact - 3 FSG 2.0 - 2 PE-Crypt - 1 PE-Patch или TElock 0.98 - 2 UPack 0.399 - 1 ViseMan - 1 Но, думаю, не стоит судить о третьем месте по содержимому только моего компьютера (особенно при таком равенстве). Повторяю - какой 3-ий по распространенности? Когда статью допишу, выложу.  |
|
|
Создано: 30 мая 2009 18:46 · Личное сообщение · #2 Да пофиг какой следующий и по какому критерию он будет выбран, читатель сам выберет что ему нужно. ----- Я медленно снимаю с неё UPX... *FF_User* |
|
|
Создано: 30 мая 2009 18:58 · Личное сообщение · #3 AndreyMust19 Что понимается под описанием? Как работает или как анпакается |
|
|
Создано: 30 мая 2009 19:03 · Личное сообщение · #4 AndreyMust19 Не на то внимание надо обращать, как распространенность пакера. Если будешь описывать в статьях как анпакать, то достаточно разобрать как анапкать один пакер, и методы будут применимы ко многим аналогичным. Хотя действительно, не прозвучало, что же будет в статьях? ----- Программист SkyNet |
|
|
Создано: 30 мая 2009 19:45 · Личное сообщение · #5 FrenFolio пишет: Если будешь описывать в статьях как анпакать, то достаточно разобрать как анапкать один пакер, и методы будут применимы ко многим аналогичным. Я поэтому и задал вопрос, ибо если статьи об анпаке, то это нулевое дело, и в данном случае интерес представляет пожалуй только телок, из-за своего антитрейсинга и довольно интересного импорта. Для новичка он наверное тяжеловат будет, но по всем этим пакерам в сети полным-полно материала и писать ещё нету смысла. Если о том как работают, данные пакеры, то пожалуй эта тема интереснее будет, но по приведенному списку чё описывать? Что аспак, что упх принцип работы один. Вот если бы ты описывал проты, тогда да.... |
|
|
Создано: 30 мая 2009 20:02 · Личное сообщение · #6 Все статьи я пишу прежде всего для себя - чтобы вспомнить то, что помнил месяц назад. Так и думал, что начнут лечить про то, что надо писать  . Ну так какой пакер имеет 3-е место по распространению? И 4-ое, если можно.
Что понимается под описанием? Как работает или как анпакается Вот как допишу, так и будем разбираться. |
|
|
Создано: 30 мая 2009 20:10 · Личное сообщение · #7 AndreyMust19 Кстати как ваш дебуггер, закончен уже ? Дайте линк, интересно посмотреть 
|
|
|
Создано: 30 мая 2009 20:22 · Личное сообщение · #8 AndreyMust19 пишет: Что понимается под описанием? Как работает или как анпакается Вот как допишу, так и будем разбираться. ЛОЛ!Вы не понимаете о чём пишите?  Вам всего лишь был задан конкретный вопрос: статья об АНПАКЕ или об общих принципах работы. Кто какое место занимает никто точно не скажет и вопрос задан не корректно. Я бы выделил так (без всяких мест, а просто которые чаще всего встречаются):
PECompact, ASPack, UPX ну и пожалуй ещё nSpack. И между прочим ASPack далеко не самый распрастранённый, скорее всего чаще встречается упх, реже пикомпакт, ну и потом уже аспак |
|
|
Создано: 30 мая 2009 20:34 · Личное сообщение · #9 AndreyMust19 пишет: Все статьи я пишу прежде всего для себя - чтобы вспомнить то, что помнил месяц назад Интересно что в этих пакерах можно забыть, может если пройдет лет 10, и то сомневаюсь. Вообщем бред закрывай топик. ----- minimaL_patсh на руборде |
|
|
Создано: 30 мая 2009 20:52 · Личное сообщение · #10 Clerk [quote]Кстати как ваш дебуггер, закончен уже?[/quote] Насчет дебугера. Сейчас дело за трассировкой. А для этого придется немного переписать ядро отладчика. Вобщем, я жду когда будет неделя свободного времени, чтобы как говорится "вспомнить все". Свободное время у меня есть, но урывками, а писать программу урывками опасно - ошибок наделаешь. Линк могу дать, но в проекте почти ничего не изменилось. Djeck [quote]PECompact, ASPack, UPX[/quote] Так PECompact дальше по распространенности? Неужели UPX и AsPack - несомненные лидеры, а все остальные вещи так сильно от них отстают? |
|
|
Создано: 30 мая 2009 20:58 · Личное сообщение · #11 AndreyMust19 пишет: несомненные лидеры, а все остальные вещи так сильно от них отстают? Я хрен знает о чём Вы...Я выше написал, что наврядли кто-то считает сколько каких пакеров ему попалось. Лично мне на глаз чаще всего попадается: 1) UPX 2) PECompact 3) ASPack. |
|
|
Создано: 30 мая 2009 21:06 · Поправил: daFix · Личное сообщение · #12 AndreyMust19 Не хочу указывать что и как делать, но на твоём месте я сначала разобрал бы 1. Общий принцип работы пакеров 2. Общее понятие распаковки 3. Тут стоило бы рассказаль об импорте и некоторых методах его защиты от восстановления 4. Распаковка UPX, PECompact, ASPack и общее сравнение результатов 5. Дальше уже что нибудь посложнее, где используются отдельные методы защиты от распаковки На сколько я понял, ты собираешься писать полный цикл статей по распаковке для новичков? Да и самому было бы гораздо легче разобраться с этим PS: Отладчик на Debug API? ----- Research For Food |
|
|
Создано: 31 мая 2009 00:50 · Личное сообщение · #13 WinUpack, NSPack ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 31 мая 2009 09:54 · Личное сообщение · #14 Сделал бы кто исчерпывающий обзор по анпаку EXECryptor, счастью бы не было предела ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 31 мая 2009 21:19 · Поправил: AndreyMust19 · Личное сообщение · #15 daFix Отладчик на Debug API? Ну вот... начинается. Это не отладчик. Я просто изучаю DebugAPI в результате получается отладчик . Не хочу себя рекламировать, хочу сказать что сейчас он полностью фиговый - есть только restart, pause, continue, set/unset bp, да и то бряки не совсем-работают. Если интересно - на васме есть 2 темы:Но повторяю, проект - фиговый. Ладно, заканчиваем про оффтоп. Значит следующий - PECompact. Пошел за работу. Эх, выкладываю проект отладчика. Все, больше не дразните меня. Добавил: Да кстати, недостающие файлы по PECompact наверное можно взять с tuts4you. Я надеюсь, в них вирусов не будет.  d24a_31.05.2009_CRACKLAB.rU.tgz - MyConsoleWinDebugger_End.rar
|
|
|
Создано: 01 июня 2009 00:06 · Личное сообщение · #16 Бред, что можно забыть в распаковке аспака или пекомпакта? Притом за месяц... Тут к доктору надо обращаться, а не статьи писать. |
|
|
Создано: 01 июня 2009 07:57 · Личное сообщение · #17 А что за пакер ViseMan? Что-то не встречал его, выложить можно? З.Ы. Практически все вышеперечисленные пакеры древний QuickUnpack должен брать
|
|
|
Создано: 01 июня 2009 14:27 · Личное сообщение · #18 AndreyMust19 подправил сорсы, чтобы компилилось в VS 2008 SP1 собрал файл в ней же (если кому лень компилить) 8a70_01.06.2009_CRACKLAB.rU.tgz - ConsoleWinDebuggerюv1.0.Update.vc9.rar
----- EnJoy! |
|
|
Создано: 01 июня 2009 21:25 · Личное сообщение · #19 Что-то все пишут отладчики, надо бы тоже попробовать
----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 02 июня 2009 20:38 · Личное сообщение · #20 Oott Бред, что можно забыть в распаковке аспака или пекомпакта? Ну если ты каждый день или раз в неделю работаешь с этими пакерами, то запомнишь на всю жизнь. Я далеко не каждую неделю принимаюсь за расспаковку, а уж тем более восстановление импорта - я практикую пассивный взлом. Coderess Что-то все пишут отладчики, надо бы тоже попробовать Ну я ж сказал, это не отладчик - это мое обучение в этой области. Это не отладчик - это тестировочная программа. Хотя если что-то у тебя свое получится, не забудь дернуть меня. Jupiter подправил сорсы, чтобы компилилось в VS 2008 SP1 А что там M$ опять накорявила? Кстати, в исходниках для заморозки и пробуждения потоков используется NtSuspendProcess. Я не знаю, но мне говорили что этой функции нет в Win2000, поэтому прога будет работать только в XP. Если надо по w2k, то закоменьте GetProcAddress в функции dbg_init, а также в интерфейсе (файл main.cpp) в функции InputCommad закоменьте команды 'stop' и 'rest'. И... может кто нибудь знает функцию чтобы hex-строку перевести в число. И потестите, пожалуйста функцию hexstr_to_uint из файла strconvert.cpp - есть опасения. Примечания: Прога в UNICODE не должна работать. Чтение / запись в массив бряков не синхронизирован. Ладно, кончили болтать, продолжаем писать статью. Все замечания к "отладчику" желательно постить на wasm в указанные мной темы. |
|
|
Создано: 03 июня 2009 00:03 · Личное сообщение · #21 AndreyMust19 пишет: А что там M$ опять накорявила? при чём тут мс? те если любопытно - ты в сорсы глянул бы ;) в тотале есть такая команда: Сравнить по содержимому... ----- EnJoy! |
|
|
Создано: 04 июня 2009 21:48 · Личное сообщение · #22 Что делает следующая команда? Enter 0,0 Какой-то системный вызов? К анализу эту не относится, просто хочу узнать. При этом содержимое регистров: eax = FFFFFE72 ecx = 000000000 edx = 7C90E4F4 ebx = 00407EE2 ebp = FFFFFE72 esi = 00407F24 edi = 00408D54 |
|
|
Создано: 04 июня 2009 22:48 · Личное сообщение · #23 AndreyMust19 пишет: Что делает следующая команда? Enter 0,0 Какой-то системный вызов? ...и вы ещё статьи пишете?Книжка Юрова у вас хоть есть? По делу: * Enter размер_кадра, лексический_уровень * Установить кадр стека для локальных переменных процедуры ----- the Power of Reversing team |
|
|
Создано: 12 июня 2009 11:44 · Личное сообщение · #24 Что дальше после PECompact? Только что-нибудь без антиотладки и антидизасма, чтобы не рассказывать об этом в статье. |
|
|
Создано: 12 июня 2009 12:09 · Личное сообщение · #25 FSG2, WinUpack, NSPack ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 12 ноября 2009 22:20 · Личное сообщение · #26 Вобщем, решил выложить статью. Почитайте на предмет ошибок и недочетов. Прошу не ругать, все-таки первая статья, к-я почти на стадии завершения. Недоработал введение про пакеры - писал для себя, а не для народа. Хотел бы еще выложить статью про PE-файлы (хочу поспорить и может, кто-то узнает, что-то новое), но она далеко незаконченная (только заголовки и секции). c8cf_12.11.2009_CRACKLAB.rU.tgz - УпаковщикиPE-файлов.rar
|
|
|
Создано: 13 ноября 2009 06:00 · Личное сообщение · #27 Я посмотрел по быстрому. Статья вроде ничего для первой. Вот мой комментарий: В начале статьи поясните, что должен знать читатель. В статье написано: OnLine патчинг Вообще-то inline patching * Сохраняют регистры (что необязательно, так как это не DOS) Поясните почему необязательно под Виндоус и обязательно под ДОС. В распаковке наша цель - остановится в настоящей точке входа Добавьте что "синоним" настоящей точке входа - OEP (Original Entry Point). Добавьте примеры (сами запакованные файлы). Добавьте список литературы. Самое интересное в этой статье это "Общепринятые ошибки, ставшие стандартом". Вот этот пункт мне очень понравился. Так-что ... дерзайте
|
|
|
Создано: 13 ноября 2009 10:23 · Личное сообщение · #28 Как мы уже выснили - обязательно встретится 2-4 команды nop. Это - ничего хорошего - стоит их заменить на незначащие команды (н-р убавить на 1, а потом прибавить на 1), как большинство антивирусов посчитают файл неупакованным. Вот эту фразу можно пояснить?
|
|
|
Создано: 14 ноября 2009 13:13 · Личное сообщение · #29 Bonez92 >Поясните почему необязательно под Виндоус и обязательно под ДОС. Вообще-то точно я не знаю. Все упаковщики по DOS, к-е я видел, делают сначала pushad, стало быть - сохраняют начальные регистры, а в конце - popad. В Windows такую комбинацию я видел не у всех. И сделал вывод. Но есть предположение что в DOS через регистры передается какая-то важная информация, к-ю иногда используют программы. Когда трассировал какой-то DOS-упаковщик, я забил команды pushad popad нопами и... программа перестала работать. Значит программа как-то использовала регистры. А в Windows удаление pushad/popad это происходит безболезненно (сколько я пробовал). >Добавьте примеры (сами запакованные файлы). Вы имеете ввиду те файлы, на примере к-х я разбирал упаковщик? Могу привести названия файлов и откуда они взяты, но сами файлы выкладывать не буду. Хотя тут я могу ошибиться с файлами - их нигде не записывал, вспомнить могу только по памяти или "по отпечаткам пальцев". Кроме того, во время изучения еще вручную упаковывал некоторые exe-файлы для проверки (notepad, самописные программы) вот тут уже... notepad мог измениться после обновления, а самописные программы уже наверняка перекомпилировались. >Добавьте список литературы. Использованной или рекомендуемой? >Вот этот пункт мне очень понравился. Так-что ... дерзайте Тут я еще хотел написать о необходимости создания "доукаповщика", к-й нужно внедрить в программу перед упаковкой, чтобы он вернул права на место. Но это уже другая тема. LIZARD >Как мы уже выснили - обязательно встретится 2-4 команды nop. Это - ничего хорошего - стоит их >заменить на незначащие команды (н-р убавить на 1, а потом прибавить на 1), как большинство >антивирусов посчитают файл неупакованным. Эта я пытался подрихтовать упакованные файлы, так чтобы антивирусы и сканеры перестали их считать упакованными. Иногда я в жизни встречался с файлами, в к-х пытались скрыть упаковщик (переименованные секции, удаление UPX-заголовка, изменение кода). Но последний вариант "изменение кода" встречался очень редко, поэтому я решил упомянуть про такую возможность когда есть несколько подряд идущих nop'ов. |
|
|
Создано: 14 ноября 2009 19:50 · Личное сообщение · #30 AndreyMust19 картинки сохраняй в PNG ----- EnJoy! |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› Пишу статью про упаковщики. Что дальше после AsPack |
Для печати