Вот интересно, видел ли кто материал по написанию статического generic распаковщика?

| Сообщение посчитали полезным:

ищи в статьях у Криса

| Сообщение посчитали полезным:

back_analys пишет:
ищи в статьях у Криса
Где именно?

| Сообщение посчитали полезным:

Storm пишет:
Где именно?
kpnc.opennet.ru
ftp://ftp.nezumi.org.ru

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
kpnc.opennet.ru
ftp://ftp.nezumi.org.ru
Второй линк сдох, а на первом я не знаю что именно брать, вроде файлов с названием по теме не видно.

| Сообщение посчитали полезным:

Посмотри еще подшивку Хакера, вроде прошлым летом что-то такое мелькало...

| Сообщение посчитали полезным:

Storm пишет:
статического generic распаковщика

по-моему оно того не стоит, пиши уж лучше динамику, хотя распаковшиков
развелось куча

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
пиши уж лучше динамику
Можешь небольшой ликбез провести?
Вопросы:
1) при динамической распаковке обязательно надо запускать целевой файл на выполнение (ну типа вычисление oep и дампинг)?
2) может все-таки можно как-нить сделать динамику без запуска целевого файла? (хотя это бред, для динамики нужен запихивание кода в память.)

То есть задача распаковать файл не дав ему выполнить ни строчку своего кода. ну или только пару строк

| Сообщение посчитали полезным:

1) ну как бы обязательно, т.к. пакер/прот сам всё распакует, а мы лишь подождём и поправим
где надо...
2) хех, ну теоритич. можно, но тогда уж проще статику, т.к. всё равно придётся разбираться
как и что там арспаковывается...

а к чему такая странная задача? трои чтоль распаковываешь?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Storm пишет:
материал по написанию статического generic распаковщика?
Как-то странно звучит =) ассоциация только с эмулятором

Ведь статический распаковщик что делает? Распаковывает тело жертвы, основываясь на алгоритме пакера. Разные пакеры используют разные алгоритмы. Поэтому чисто теоретически (так как мне такое сложно представить ) такой анпакер будет представлять собой только собрание нескольких статических анпакеров.

| Сообщение посчитали полезным:

HoBleen пишет:
такой анпакер будет представлять собой только собрание нескольких статических анпакеров.
+1
Имхо универсальный статик - нереальный бред, универсальным (и то очень и очень относительно) может быть только динамик

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Hellspawn пишет:
трои чтоль распаковываешь?
Ага

ЗЫ То есть вариантов нет?

| Сообщение посчитали полезным:

Storm пишет:
ЗЫ То есть вариантов нет?
В этом случае надо вспомнить антивирей. Они эмулируют выполнение декодера виря (в большинстве случаев).
Так что тебя ждет много работы

| Сообщение посчитали полезным:

HoBleen пишет:
надо вспомнить антивирей. Они эмулируют выполнение декодера виря (в большинстве случаев).
Они эмулируют достаточно простые конструкции, чем пакерпротектор определенно не является

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Storm пишет:
статического generic распаковщика?
Хм. Это конечно возможно теоретически, но практически нереально.

По части generic анпакеров, вполне реально сделать алгоритм, который будет с нуля пересобирать PE заголовки и откручивать любой импорт, т.е. добиться максимум распаковки всех простых пакеров, и протов уровня 1 аспра. Но врядли удасться универсально распаковать что нибудь сложнее, ибо вм и морфы требуют индивидуального подхода.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Storm пишет:
Hellspawn пишет:
трои чтоль распаковываешь?
Ага

Ну можно ещё критические API заэмулть, типа запись в реестр, работа с портами и файлами...
Мож я туплю конечно, но в теории...

-----
Research For Food

| Сообщение посчитали полезным:

2ms-rem: куда предложишь копать?

| Сообщение посчитали полезным:

> куда предложишь копать?

В сторону эмулятора - и запускать не надо и несколько версий сразу можно обрабатывать по одной схеме

| Сообщение посчитали полезным:

Кстати статья есть неплохая на uinc'е про эмуляторы
www.uinc.ru/articles/45/
DrGolova почему-то умолчал

| Сообщение посчитали полезным:

UsAr пишет:
Кстати статья есть неплохая на uinc'е про эмуляторы
www.uinc.ru/articles/45/
DrGolova почему-то умолчал
ну, во первых боян. а во вторых, насколько я помню, он уже высказывался по поводу...
что-то там про сферического коня в вакууме. )
и вообще - хреновый там эмулятор, имхо.

| Сообщение посчитали полезным:

(глянул на сырец, вспомнил...) если это вообще сойдет за эмулятор...
динамик транслатион бл**ь, еще и жутко ограниченный, и что-то мне подсказывает,
в дупель глючный и "вообще не жилец".

| Сообщение посчитали полезным:

В принципе написать простой динамический распаковщик для простых пакеров - дело не сложное, тем более, что в инете материала хватает. Вот пример ... написал на основе уже готовых dll.
h**p://ifolder.ru/1424682
Распаковывает далеко не все ... но уже хоть что-то.

-----
Сотрудник DHARMA

| Сообщение посчитали полезным:

Динамический анпакер (и вполне неплохой) уже давно есть-QuickUnpack. Тема, вроде как, про статический, который, имхо, практически нереально написать, разве что ли козырный эмуль, а это просто туча работы.

| Сообщение посчитали полезным:

TrueLies пишет:
Распаковывает далеко не все ... но уже хоть что-то.
UPX и тот не распаковывает на некоторых компиляторах. На делфи почти все берет, а вот на Microsoft Visual C++ ни одного файла не распаковал. Файлы запакованные ASPack'ом вообще не распаковывает. Так что именно он распаковывает?

| Сообщение посчитали полезным:

deepred
NSPack, FSG 1.33, ASPack 2.11, bep - эти может распаковать (проверял на Делфийской проге) ... UPX - вроде распаковывается, но ImpRec.dll как-то криво импорт прикручивает - в итоге - не работает, вообще вся беда именно в ImpRec.dll, в FSG 2.0 - импорт не находит ... пока все ...
А работает проще простого:
1.Находим ОЕР (GenOEP.dll);
2.Ставим на него hardware breakpoint и топаем пока не достигнем;
3.Как дошли снимаем дамп (Dumper.dll) и прикручиваем импорт (ImpRec.dll)
4.Все

-----
Сотрудник DHARMA

| Сообщение посчитали полезным:

TrueLies пишет:
для простых пакеров - дело не сложное

ну ну, если заюзать чужые нароботки, то конечно не сложно...попробуй напиши с нуля!
особенно двиг восстановления импорта

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

TrueLies пишет:
А работает проще простого:
1.Находим ОЕР (GenOEP.dll);
2.Ставим на него hardware breakpoint и топаем пока не достигнем;
3.Как дошли снимаем дамп (Dumper.dll) и прикручиваем импорт (ImpRec.dll)
4.Все
первые версии QU :D

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Hellspawn
А я и говорил - на основе готовых dll, я авторство чужих творений не приписываю ... QU тоже на драйвере seed-а и ничего Заодно - пользуясь случаем хочу сказать СПАСИБО FEUERRADER - человек, который отвечал на все мои глупые вопросы и "здоровски" помог разобраться что к чему ...

-----
Сотрудник DHARMA

| Сообщение посчитали полезным:

Вот исходники (asm) китайского динамического распаковщика Easy Unpack, работает по такому же принципу, разве что ОЕР пытается найти и дампит сам. Чтоб не мучились, то лучше всего отключить оптимизацию файла (левый нижний CheckBox) и ОЕР задавать вручную - тогда работает Да и ImpRec.dll должна быть рядом.

Easy Unpack (11 Kb) - h**p://ifolder.ru/1439645

-----
Сотрудник DHARMA

| Сообщение посчитали полезным: