Всем доброго, светлого. Нужен пакер для упаковки native PE, работающих в пользовательском режиме (т.е. не драйверы). Это те самые, которые не могут использовать ничего, кроме native API (ntdll.dll). Из найденных ничего не подходит, просьба помочь.

| Сообщение посчитали полезным:

IOCTL_ пишет:
Из найденных ничего не подходит, просьба помочь.

а какие были уже испробованы, что б дважды не предлагать?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

а для чего вам? Сжатие для уменьшения размера?
Для защиты от отладки,или для скрытия от ав?
Да и что паковать собрались какой язык?

| Сообщение посчитали полезным:

plutos пишет:
а какие были уже испробованы
Пробовал UPX, NsPack, PECompact, Upack, все самые свежие версии. Авторы PECompact пишут, что "It supports native PE modules", но хз, что они понимают под "native", т.к. юзать kernel32.dll это явно не "native".

SDK пишет:
а для чего вам? Сжатие для уменьшения размера?
Да.

Добавлено спустя 23 минуты
Кстати, из всех только UPX сказал честно: "subsystem 1 is not supported", остальные вежливо промолчали.

| Сообщение посчитали полезным:

Если задача только сжать, можно соорудить хоть бы и на том же LZ77 что-нибудь собственноручно за пару часов. Раскодируется он примитивно, сжатие даст нормальное.

-----
2 оттенка серого

| Сообщение посчитали полезным:

не вспомню названия но есть такая примочка их очень много было,(на дисках с игрушками)упаковщик был консольный работал под дос под вин 32-64 расширения любые.создавал контейнер типа зип архива и писал распаковщик в тело при клике оригинал выгружался в корень диска и запускался ))) такое подходит?

| Сообщение посчитали полезным:

SDK пишет:
тело при клике оригинал выгружался в корень диска и запускался ))) такое подходит?
Если он при этом только функции ntdll использовал, что маловероятно.

-----
2 оттенка серого

| Сообщение посчитали полезным:

SDK пишет:
при клике оригинал выгружался в корень диска и запускался

касперский выскажет всё, что о тебе думает
Вообще, учитывая, что топик-стартер оперирует такими понятиями, как native PE, в чём проблема самому себе паковать/распаковывать?

f13nd пишет:
Если он при этом только функции ntdll использовал, что маловероятно.

ну так можно код написать самому, не используя api

| Сообщение посчитали полезным:

Gideon Vi пишет:
ну так можно код написать самому, не используя api
который выгрузит файл на диск и запустит? и без апи? только про ядерные сервисы не говори, призовешь древнее зло.

Gideon Vi пишет:
оперирует такими понятиями, как native PE, в чём проблема самому
Может журнал хакер читал

-----
2 оттенка серого

| Сообщение посчитали полезным:

конечно скажет, тс же сказал ему просто сжать, а не зевс криптрвать)
для крутых перцев вот статья на хакере https://xakep.ru/2012/10/29/own-exe-files-packer/

Добавлено спустя 22 минуты
еще один пакер-криптор вспомнил,консольный,но там точно не нт, но мне показалось интересным.
(лет 9 назад тоже в играх использовался в мирных целях, )технология сжатия как у jpeg разбивался на куски и шифровался,сжатие хорошее такое как и упх,недостаток был ручная паковка и распаковка ,паковал картинки и бинарики, но изменив расширение на длл и ехе делал свое дело можно было и само тело подправить,а дальше надо было сделать автораспаковщик и прикрепить к контейнеру идея была хороша но сил и времени небыло вот и забросил) у фрозенкрев был похожий криптерпакер глючный и медленный)

| Сообщение посчитали полезным: TryAga1n

f13nd пишет:
Если задача только сжать, можно соорудить хоть бы и на том же LZ77 что-нибудь собственноручно за пару часов.
Жаль, но я такое не потяну. К тому же на native API. Разве что кто-то возьмётся...
Нужен простейший native пакер с in-place декомпрессией, т.е. напрямую в память, без копипасты.
Есть даже болванка под это благородное дело: http://hex.pp.ua/native-stub.php
Вот только я в этом вообще не силён

Добавлено спустя 12 минут
Мне тут мысля пришла, если вдруг кто взяться захочет. Лучший пакер для таких дел - это, наверно, Upack. Модуль распаковки у него каких-то 352 байта, а жмёт лучше всех (lzma). Но он дёргает kernel32.dll, что не есть хорошо. Если б его на ntdll пересадить - получился бы мегапакер, умеющий то, чего не умеет никто

| Сообщение посчитали полезным:

IOCTL_ пишет:
Мне тут мысля пришла, если вдруг кто взяться захочет
Да не вопрос! Выкладывай сырки Upack'a и пересадим

| Сообщение посчитали полезным: SDK

Ребят у Microsoft тоже были упаковщики,как раз для Dos NT 98 ME их тоже можно использовать )

| Сообщение посчитали полезным:

IOCTL_ пишет:
Это те самые, которые не могут использовать ничего, кроме native API (ntdll.dll)
Ну так поставь галочку не трогать таблицу IAT(API)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Ну так поставь галочку не трогать таблицу IAT(API)
IOCTL_ пишет:
Кстати, из всех только UPX сказал честно: "subsystem 1 is not supported", остальные вежливо промолчали.
IAT (не Import table) в native pe вообще нет, а сама таблица импорта вообще какая-то лайтовая (первые 3 поля нули).

-----
2 оттенка серого

| Сообщение посчитали полезным:

Хотел отправить всё это вчера, но форум мне радостно сообщил, что я отправляю сообщения "слишком часто" и "подождите до завтра". Я было пожаловался модератору, но он мне ответил, что ничего сделать не может, ибо фича сия захардкожена в движке форума. Истинно говорю вам: недалёк тот день, когда Скайнет захватит планету и ни один модератор не сможет ему помешать! Внемлите сему пророчеству и ввергните антиспам во власть модераторов!

* * *

ClockMan пишет:
Ну так поставь галочку не трогать таблицу IAT(API)
Точно! И ещё одну: переместить базовый адрес в 10000h

TryAga1n пишет:
Да не вопрос! Выкладывай сырки Upack'a и пересадим
А отреверсить 352 байта модуля распаковки? И патчик состряпать, шоб он уже упакованную обычным Upack'ом тулзу патчил до совместимой с ntdll? Вон, Иду седьмую китайцы на радость Ильфаку давно уже выложили. Теперь, как говорится, сам Б-г велел Upack доработать

f13nd пишет:
только про ядерные сервисы не говори, призовешь древнее зло.
Эх, напрасно вы, ребята, над Dr0p'ом смеётесь. Как бы вам объяснить... Вы когда-нибудь испытывали щенячий восторг от созерцания SDT (SST) в Malware Defender'е, осознавая тот факт, что кодить можно и без обращения к API, а напрямую юзать sysenter / int 2E, прямо как int 21 в DOS'е?

А я вот испытывал. Странно, да? Ведь я и кодить толком-то не умею и в отладчике никогда не сидел. Разве что в турбо дебугере лет 15 назад. Я ведь даже не кодер. Моим первым (и последним) "приложением" было не хеллоуворлд, а дров на MASM'е, написанный при помощи KmdTut, скомпиленный при помощи KmdKit и музицирующий PC-спикером "К Элизе" Бетховена. А когда я понял суть программирования (а заодно и нотной грамоты), то потерял к нему интерес и пошёл изучать этот мир дальше.

Спрашивается, зачем было себя так мучить? Зачем искать какие-то ноты какой-то "К Элизе", изучать MASM, и что означают все эти закорючки (ноты)? Ради чего? Чтобы просто послушать "К Элизе" на PC-спикере?! "Бред, абсурд, маразм!" - воскликнете вы и, возможно, окажетесь правы. Для вас это, возможно, бред, абсурд и маразм. Но не для нас.

Хакерство - это не "высокое мастерство программирования", как принято думать. Хакерство - это образ мышления. Тип сознания, если угодно. И это сознание жаждет лишь одного: выходить за пределы ограничений и проникать в самую суть. И ещё оно не терпит рутины: познав что-то одно, оно движется дальше и дальше и дальше... Такова суть хакерства. И это намного, намного шире, чем программирование. Поэтому цель хакера - выходить за пределы ограничений и проникать в самую суть, а не заботиться о "практической применимости" волений своего Духа. Ибо Дух хакера дышит, где хочет, а не только лишь там, где "надо", "можно" или "положено"

Ну не системные люди мы, не системные... Поэтому мы так любим системное программирование - чтобы выходить за пределы ограничений (хакать системы).

И ишо кое-что: если хакер обзывает вас нубами, то это не потому, что он вас хочет унизить или потешить своё ЧСВ. Этим он просто пытается выразить собственное негодование: "Как вы не понимаете, почему не видите мир так, как Я вижу????!!!11111" Очень похоже на школоту, правда? Но это не потому, что он - школота, а потому, что Дух хакера вечно молод ;)

П.С.
Кстати, о пользе SDT можно почитать тут: http://hex.pp.ua/service-descriptor-table.php ;)

"Ядерные сервисы" - это не только аверы и вирмейкерство, но и весьма продвинутая защита от начинающего реверсера и мощнейшее антиотладочное средство супротив ring 3 дебагеров. Это если говорить о "практической применимости".

А вообще, по поводу "практической применимости" как таковой в своё время хорошо написал классик: --> Link <--

Надеюсь, антиспам уже успокоился)

| Сообщение посчитали полезным:

IOCTL_ пишет: Эх, напрасно вы, ребята, над Dr0p'ом смеётесь. Как бы вам объяснить.

несчастный токсикозник, что может быть проще, взять и заменить в upx вызовы из прослоек на вызовы из ntdll.

IOCTL_ пишет: Хакерство - это не "высокое мастерство программирования", как принято думать. Хакерство - это образ мышления.

на самом деле это зашквар (кидисы) или в лучшем случае отсутствие диплома в профильной сфере.
судя по дальнейшему повествованию, ТС либо толстый тролль или отстающий в развитии школьник.
жаль нет банхамера..

| Сообщение посчитали полезным:

IOCTL_ пишет:
А отреверсить 352 байта модуля распаковки? И патчик состряпать, шоб он уже упакованную обычным Upack'ом тулзу патчил до совместимой с ntdll?
Попробуй себе представить как это может быть реализовано. Если в этих 352 байтах нету апи, так и проблемы нет, а если есть? Найти или добавить в импорт соответствующие. Импорт там не совсем типичный, поддерживает его упак? Поддерживает упак алигнменты 20h?

IOCTL_ пишет:
Вы когда-нибудь испытывали щенячий восторг от созерцания SDT
Испытывал щенячий восторг от созерцания что делает восстановление SDT с проактивками А осознавая мысль, что кодить без апи так можно только под конкретную ОС неа, не испытывал.

IOCTL_ пишет:
Хакерство - это не "высокое мастерство программирования", как принято думать. Хакерство - это образ мышления. Тип сознания, если угодно. И это сознание жаждет лишь одного: выходить за пределы ограничений и проникать в самую суть.
Я б так не сказал. Это умение доставать из помойки у конечной непробитые автобусные билеты как делал кевин митник в детстве. То, чего бы никому в голову не пришло Умение видеть возможности, а не проникать в какую-то там суть.

-----
2 оттенка серого

| Сообщение посчитали полезным: Gideon Vi

f13nd пишет: Попробуй себе представить как это может быть реализовано.

попробовать он нам предлагает, а он хочет только малварку накрыть и сделать прогрузы.
это при том что алгоритмы сжатия отвязаны от api, они нужны только вспомогательным функциям, которые нам нужно (нет) переписать и возможно, при определенной конечно же удаче, его майнер будет крутиться на наших пеках.

| Сообщение посчитали полезным:

shellstorm пишет:
попробовать он нам предлагает, а он хочет только малварку накрыть и сделать прогрузы
Упаком? Какое-то новое слово в малваростроении. Сомневаюсь.

-----
2 оттенка серого

| Сообщение посчитали полезным:

IOCTL_
Для размышлений о смысле жизни есть Оффтоп (Ранг >= 20) и Дневники и блоги

-----
EnJoy!

| Сообщение посчитали полезным: plutos

f13nd пишет: Упаком?

сломать сигны, ntdll грузится с осью, до остального юзерспейса, эдакий недоруткит для бедных.

| Сообщение посчитали полезным:

shellstorm пишет:
сломать сигны
А дальше что? Когда антивирус упак свернет? Натив пе грузится как чкдиск, под самый занавес. Не понимаю что это даст.

-----
2 оттенка серого

| Сообщение посчитали полезным:

на уровне проверки диска уже в разы больше возможностей для закрепа, но в фуде главная цель это сбить статические сигнатуры, поведенческий анализ это совсем другая история и другие способы обхода, это следующий вопрос ТС, возможно на другом форуме. других смысловых нагрузок для плясок с ntdll просто нет, это бессмысленно, ТС обычный кидис, который чужими руками делает криптор.

| Сообщение посчитали полезным:

shellstorm пишет:
на уровне проверки диска уже в разы больше возможностей для закрепа Ладно не буду спорить. Пусть бочка будет лошадкой

-----
2 оттенка серого

| Сообщение посчитали полезным:

ребят это все тлен(

| Сообщение посчитали полезным:

IOCTL_ пишет:
А я вот испытывал. Странно, да?

не, не странно. Ты толком не кодер, в отладчике не сидишь. Вот кодил бы, не приходил бы в лютый восторг от жуткого хардкода.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Ты толком не кодер, в отладчике не сидишь.
difexacaw пишет:
Я забыл когда последний раз открывал отладчик - вы не сможете на должном уровне листаль код как я, на это нужны десятилетия.
а вот сейчас обидно было

-----
2 оттенка серого

| Сообщение посчитали полезным:

Ну что ж, реакция вполне ожидаемая

Говорю сразу: не угадали. Пакер нужен по прямому своему назначению, т.к. места на "винте" мало, а положить туда хочется много. В идеале вообще было бы хорошо ещё и ntdll пакнуть, а то она, зараза, 689 кило цельных весит. Система XP, совместимость с другими ОС не требуется. Здесь как раз бы "ядерные сервисы" пригодились. Но это если у кого-то реально в душе отклик возникнет таким извратом заняться.

f13nd пишет:
А осознавая мысль, что кодить без апи так можно только под конкретную ОС неа, не испытывал.
Это не совсем так. Номера функций и вправду разнятся от версии к версии, но не рамдомно, а известным заранее образом. А раз известным, то это можно использовать в своих сугубо корыстных целях. Версию винды можно определить по количеству функций, обнаруженных в SDT: 247 для W2k, 282 для XP и т.д.

| Сообщение посчитали полезным:

f13nd пишет:
а вот сейчас обидно было

я использовал слова тс

| Сообщение посчитали полезным: