day & night

Распаковщики, Снимаем упаковку EXE, DLL
Дата обновления: , перейти к новому сообщению
#1
SpiderX



Siemensovod
[SoftoRooMTeaM] Group Icon

Группа: Наши Люди
Сообщений: 962
Регистрация: 5.11.2004
Пользователь №: 1.716


Респектов: 26
-----X----




Дам немного теории:
Упаковщики - особый класс программ. Много общего с архиваторами, но есть главное отличие - они сжимают исполняемые (EXE, COM) файлы и библиотечные модули (DLL). Причём не нарушая их работоспособности.
Перед дизассемблированием необходимо обязательно снять упаковку, иначе нужный результат не будет получен.

Если вы не знаете упакован ли файл вообще (или чем упакован), то используйте PEID. Он Вам выдаст подробную информацию о файле.

Итак, переходим к топику (тут выложены не только распаковщики, но и PE анализаторы, плагины к ним):

LordPE 1.4
Ой, какая прелесть. Куда лучше, чем откровенно глюкавый ProcDump. Стабильная и весьма прилично работающая утилита. С таблицей импорта особо не дружит (хотя и лучше, чем ProcDump), ну так а для чего ImpRec или Revirgin?
Сайт программы: http://mitglied.lycos.de/yoda2k/news.htm
Размер: 442.39 kb
Качать: _http://www.wasm.ru/ba...ode=tool&id=44

ImpRec 1.6 FINAL
Один из лучших восстанавливателей таблицы импорта PE-файлов. Выдает список процессов, где надо выбрать искомый. Ну а дальше... Кроме того группа mackT выпустила движок ImpRec в виде dll + полные исходные кода движка.
Сайт программы: http://wave.prohosting.com/mackt/
Размер: 217.98 kb
Качать: _http://www.wasm.ru/ba...ode=tool&id=64

Revirgin 1.5.1
Еще одна очень сильная утилита по восстановлению таблицы импорта. Этот релиз устраняет взвис под XP. Говорят :-), что есть проблемы с 9х. Вообще, время переходить на Win2000. Автор утилиты - Tsehp - ушел от нас, также как и fravia, так же как и ORC... Спасибо вам, домены cjb.net - вы вырастили многих талантливых взломщиков, жаль, что вы ушли, однако на смену вам придет что-то новое, и, будем надеятся, лучшее... Ave. Просто на всякий случай добавлен 1.3 для 9x.
Размер: 663.5 kb
Качать: _http://www.wasm.ru/ba...ode=tool&id=65

PE iDentifier v0.92 /релиз от November 21, 2004
Вещь в хозяйстве незаменимая. Определит, чем запакован PE-файл, найдет точку входа (заодно и секцию покажет) или определит использованный компилятор (правда, последнее - хреново). Зато упаковщики/протекторы у меня определял корректно и безглючно. Есть возможность добавить вызов в контекстное меню. В этой версии действительно много нового. Автор даже не поленился привинтить дизассемблер. Словом - утилита однозначно стоит того, чтобы уделить ей МНОГО внимания.
Сайт программы: http://peid.has.it/
Размер: 223.9 kb
Качать: _http://www.wasm.ru/ba...ode=tool&id=67

Quick Unpack v0.4
Очень забавная тулза для новичков. Если не умеете сами распаковать UPX или Aspack, или что-нибудь подобное по уровню сложности, то эта автоматическая штуковина в самый раз для вас. Распаковщик построен на куче технологий от более-менее широко известных в узких кругах утилит - ImpRec, GenOEP, PE Tools.
Сайт программы: http://ahteam.org
Размер: 103.52 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=252

HASP Emulator PreProfessional Edition V1.07.D027
Разумеется, данный инструмент с трудом попадает в данную категорию, однако, создавать отдельную папку для такого рода продуктов считаю нецелесообразным. Что это такое? Данная вещь - это эмулятор hasp. Иными словами, ваша программа не хочет работать без затычки в порту, что делать? Слить эту вещь, слить доки с сайта - и вперед! Мои благодарности infern0.
Сайт программы: http://www.brstudio.com/index.html
Размер: 1080.62 kb
Качать: _http://www.wasm.ru/ba...ode=tool&id=83

Un-telock 0.99
Автоматический сниматель защиты telock. Действительно работает. Существуют релизы telock 0.99, 1.0 и т.п., однако широкой публике они не доступны. Тем не менее, распаковщик версии - 0.98 и 0.99 к вашим услугам.
Сайт программы:
Размер: 29.72 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=199

PE Tools v1.5.400.2003 Xmas Edition
Это дампер процессов, появившийся на свет позже ProcDump и LordPE, взявший в себя большинство идей, заложенных в вышеописанных дамперах, и теперь, без сомнения, аналогов уже не имеет. Движок по перестройке импорта был полностью переделан. Добавлен оригинальный алгоритм по перестройке директории перемещаемых элементов. Также готов движок по перестройке ресурсов. Словом - пробуйте!
Сайт программы: http://uinc.ru
Размер: 216.43 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=124

Stripper 2.11 RC2
Экспериментальная версия распаковщика Asprotect 1.3-2.0. Возможно, сработает. А возможно, и нет. Мои благодарности Asterix.
Сайт программы: http://syd.nightmail.ru/stripper.html
Размер: 137.85 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=130

PE Rebuilder v0.96b
Очень приятный маленький перестройщик PE-файлов. Определенно стоит положить его в свою коллекцию. Недавно мне сообщили, что этот файл определяется многими антивирусами как вирус. Возможно, хотя NAV Corporate Edition молчит. Дело не в этом. Файл не является вирусом, однако, если боитесь, разумеется, не сливайте.
Сайт программы: нету, сдохли все
Размер: 29.38 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=180

CORSO 5.2 & SCANNER 5
Это программа, которая снимает защиту с FoxPro (VFP 5,6,7,8). В принципе, она прошла долгую историю развития и должна работать весьма прилично. Подтверждено, что работает она весьма прилично - срывает защиту напрочь, далее дело за ReFOX MMII. В версии 5.2 поправлен взвис под XP. Автор утверждает, что он тщательно гонял утилиту. Многие из баг-репортов, высланные мне вами, в действительности таковыми не были! Так что, проверяйте тщательно, и, если это действительно баг, cAtA его поправит.
Сайт программы: who knows?
Размер: 762.24 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=138

Relox v1.0a
Нынче протекторы взяли в моду коверкать не только директорию импорта, а и релоки. Директория релоков (relocation, fixup) - это директория, используемая ntdll.dll (более известному как WinLoader) тогда, когда адрес загрузки модуля отличается от такового в OptionalHeader.ImageBase. В этом случае из директории .reloc берутся поправки, которые патчат определенные call/jmp и т.п., так, чтобы они по- прежнему указывали куда надо, а не в космос. Эта утилита призвана вернуть все на круги своя, в том случае, если над dll поиздевалась какая-нибудь зараза. ТОЛЬКО ВНИМАТЕЛЬНО ЧИТАЙТЕ ИНСТРУКЦИИ!!! Теперь прилагается пара примеров по использованию.
Сайт программы: http://wave.prohosting.com/mackt
Размер: 156 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=155

ITCompare by blowfish2000
"А не приходилось ли тебе испытывать проблемы когда была необходимость сравнить таблицу импорта, восстановленную с помощью ImpRec или Revirgin, под разными операционными системами, например, 98-й и XP, и сброшенную в текстовый файл, ведь часто так бывает, что прога отколупанная от протектора в одной операционной системе, отказывается запускаться в другой. Гы. Какая долгая преамбула. Мне приходилось. Но теперь мы избавлены от этих проблем, т.к. появилась великая тулза ITCompare, которую я сегодня скачал и тебе тут рекламирую, гы-гы." От себя добавлю, что утилита предназначена для сравнения отчетов Revirgin и ImpRec. Интересно, кто-то еще 9x использует? Хотя, к моему дикому удивлению, большинство народа в форуме сидит на DOS!!! Это что-то!
Размер: 635.72 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=150

PE Tool 0.45
Шикарная вещь для новичков. Дампер процессов с полным открытым исходным кодом. А группа-то какая! mackT! smile.gif
Сайт программы: http://wave.prohosting.com/mackt
Размер: 195 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=179

Коллекция Resource Rebuilders
В данной упаковке собраны лучшие перекраиватели ресурсов. Пакеры действительно не могут полностью перекраивать секцию ресурсов без боязни несовместимости. Имя секции (.rsrc) действительно имеет значение! Любые другие секции могут называться как угодно, но эта секция - нет. Доказательство - файл oleaut32.dll, который обращается к названию секции напрямую и этот баг не был исправлен со времен 9x. Он сохранился и под 2k. Вероятно, должен быть и под XP/2003. Что же до директории ресурсов, то, с высокой степенью вероятности smile.gif, они должна находится в секции .rsrc и из нее может уворовываться часть ресурсов, если не все равно, как будет выглядеть файл. Такой файл распаковать сложнее и обычные редакторы ресурсов его уже корректно не увидят. Используйте данные утилиты, чтобы собрать ресурсы до купы smile.gif Здесь лежит ResFixer v 1.0 beta 1 by seeQ, Resource Rebuilder v1.0 by Dr.Golova, pResFix v.0.2 by hapatsa.
Размер: 24 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=156

ImpRec Plugins
"Коллекция" плагинов под ImpRec. Один из них предоставлен Perch. Автор - Madness. Назначение - "to find asprotect 1.2x real API in its wrapped code". Второй предоставлен ZILOT (он же и автор). Назначение - снять выпендрежи SVK Protector c директорией импорта. Последний работает ТОЛЬКО под 2k, МОЖЕТ, под XP. Добавлен плагин от ZILOT, позволяющий снимать дампы с директории импорта, защищенной Obsidium. Добавлен плагин от bi0w0rM к ACProtect 1.23 beta. Теперь bi0w0rM написал еще один плагин для teLock 0.98.
Размер: 16.7 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=171

PE verify
Маленький чекер на валидность PE-файла. Проверяется валидность директории импорта, немного проверяются секции. В целом - может оказаться полезным для того, чтобы разобраться - а почему дамп не хочет загружаться.
Сайт программы: http://dweller.mail333.com
Размер: 4.6 k
Качать: _http://www.wasm.ru/ba...de=tool&id=197

Распаковка UPX
Это специальные UPX, которые, возможно, смогут распаковать тот exe файл, на котором обломался UPX обычный.
Размер: 206.37 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=214

Armadillo nanomites recoverer 1.7 + dumper
Aramdillo - это, по сути, трейсер, использующий стандартные Win32 API-функции для расшифровки страниц отлаживаемого процесса на лету. Т.о. Armadillo, по сути, это два процесса - отлаживаемый процесс и процесс-отладчик. Sten'ом был придуман оригинальный способ попросить отладчик "отдать" все страницы в расшифрованном виде. Способ получил дальнейшую разработку в статье dragon'a. Теперь infern0 пошел еще дальше, написав слегка более продвинутый дампер армадилло, работающий ТОЛЬКО под 2k+. Также известно, что Armadillo заменяет условные прыжки в теле программы. Версия 1.7 позволит восстановить их, включая и арму 3.61. Кроме того, судя по всему, утилита медленно, но верно идет к полностью автоматическому распаковщику армадиллы.
Размер: 540.04 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=226

Dumper v.1.0.1
И еще один дампер армадилло. Степень точности у дампера от infern0, ушедшего в небытие дампера от Lunar_dast и этой игрущки примерно одинакова. Оданко данный дампер будет интересен тем любителям древности, что еще сидят на 9x. Дампер достаточно тщательно гонялся на 9x по 2003. Пробуйте.
Сайт программы: [email protected]
Размер: 6.67 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=225

Armadillo Dumper LDE plugin
И еще один дампер Armadillo! LDE Plugin для Lord PE. Слейте себе Lord PE с этого же сайта, положите в папочку плагинов и радуйтесь. Бедные, бедные разработчики Armadillo...
Сайт программы: http://www.kpteam.com/
Размер: 2.88 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=226

UPX-Ripper 1.3
Еще один автоматический распаковщик файлов UPX, защищенных скрамблерами. Обычный UPX такой файл взять не может, а вот эта штучка - запросто. Поддерживаются UPX начиная от версии 1.24. Требует файл UPX в своей директории.
Размер: 419.65 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=228

EVA Cleaner v2.7
Известно, что Armadillo, ACProtect, PCGuard, Obsidium и SVK обожают гадить в реестре. Насуют туда барахла всякого, винда тормозить станет. Поэтому человеку на это безобразие больно смотреть стало. Написал он утилиту, исходные кода открыл, chm-мануальчик для нас с вами написал, чтобы не повадно было мерзким гадам больше в реестре пакостить. Утилита периодически обновляется, что очень и очень важно в проектах такого рода. Так что смело ее используйте!
Сайт программы: http://www.blindprophet.tk/
Размер: 374.18 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=238

ACStripper/ACRebuilder 1.35 by Lunar Dust
ACProtect - маленький братец ASProtect (см. раздел "протекторы"). А эти две утилиты - автоматические депротекторы.
Сайт программы: lunardust20(dog)yahoo.com
Размер: 104.3 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=297

Novex Guardant envelope killer 1.4
Программка расшифровывает PE EXE которые накрыты конвертом Guardant. Для расшифровки ключ не нужен, всю информацию она достает из самой защищенной EXEшки. Восстанавливается импорт (громко сказано, на деле восстанавливается правильный import table RVA и import table size), а также релоки, экспорт, ресурсы. Правится заголовок на предмет установки правильной OEP.
Поддержка последней версии конверта (4.44 от 13.05.2004) ВНИМАНИЕ! В связи с изменениями в конверте время работы киллера возросло до примерно 2-3 минут (p4 2ГГц). Будьте терпеливы smile.gif
Сайт программы: http://zor.org/tsrh
Размер: 21.51 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=282

Plugin Loader for PEiD and PE Tools
Утилита для загрузки плагинов, созданных под PEiD 0.92/PE Tools 1.50. С помощью этой утилиты можно загружать плагины путем
* direct plugin loading
* command line support
* drag-n-drop support
Также в архиве плагин к PEiD/PE Tools позволяющий грузить плагины этих программ в любой из них. Подерживаются параметры командной строки (в т.ч. для автоматической загрузки плагина через контекстное меню).
Размер: 56.31 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=300

UnVbAspr 1.1
Аспротект 2.0 ворует байты из тела программы. Из-за этого ваш любимый дампер слепок-то создавать создает, но вот дамп получается недействующим. Данная тулза предназначена для восстановления таких байт в программах, написанных на VB (писать на VB - позор!).
Сайт программы: http://reversing.dotfix.net
Размер: 16.13 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=302

UnHidePE
HidePE - это простенький обфускатор сигнатур пакеров. Утилиты типа PE Sniffer и PeID зачастую действительно ошибаются на таких файлах. UnHidePE предназначен для снятия HidePE, чтобы можно было увидеть, чем реально запакована программа.
Сайт программы: http://reversing.dotfix.net
Размер: 21.01 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=303

Lezgin 0.1.3
Слова автора в письме ко мне: "Это эмулятор процессора х86 + дампер. Используется для расшифровки PE-программ. Так как это первая, опытная версия (только что закончил писать), то, наверное, есть ошибки. Не поддерживаются:
- Вызовы API
- FPU
- SSE
- SEH
- секции .reloc
- и много чего другого.
Но я работаю над программой." Добавка: "Исправил тучу ошибок. Добавил простой SEH."
Сайт программы: http://www.droopy.nar...oad/lezgin.htm
Размер: 16.33 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=311

Sentinel SSPro logger 1.2
Как можно понять по названию - это просто логгер. Логгер обращения к ключу. Вывод по OutputDebugString. Исходный код открыт.
Сайт программы:
Размер: 49.66 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=316

StarFuck v0.83
Программка для обхода StarForce. Дополнительно требуется Alcohol + DaemonTools - т.е. это НЕ какой-нибудь универсальный эмулятор или съемщик или что-то подобное. К утилите бы не помешала маленькая дока, которая бы объяснила, что к чему... А до этого вам придется топать на сайт и разбираться там самим sad.gif По отзывам народа - радостных воплей очень много. Говорят, работает. Причем, слово "работает" звучит чаще, чем "не работает", что не может не радовать.
На данный момент времени проект заморожен. Новую версию обещают в феврале.
Сайт программы: http://www.project-starfuck.tk
Размер: 1570.44 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=317

Плагины к PeID
Здесь лежит подборка плагинов для PEiD.
1. Kanal v.2.8 - поиск критосигнатур
2. SecTool v1.01 - манипуляции с секциями
3. ResView v1.02 - манипуляции с ресурсами
4. FixCRC - правит поле CheckSum PE-заголовка.
Обязательно загляните по линку - там много еще чего лежит. Также гляньте на http://www.secretashell.com/BobSoft/
Сайт программы: http://www.secretashe.../peid/plugins/
Размер: 146.06 kb
Качать: _http://www.wasm.ru/ba...de=tool&id=318
User is offline
Go topGo end
 

Ответов(1 - 1)
14.12.2008 - 17:07
#2
aleksandrom



Опытный юзверь
**

Группа: Пользователи
Сообщений: 54
Регистрация: 19.06.2006
Пользователь №: 181.990


Респектов: 12
-----X----


Предупреждений:


RDG Packer Detector v0.6.6 2k8 рус. Самый лучший пожалуй анализатор предназначен для определения типа
пакера/протектора/компилятора у ЕХЕ, dll файлов. позволяет узнать,
чем же сжат файл, встраивается в контекстное меню в этой версии можно использовать сигнатуры от Peid.
Скачать:
User is offline
Go topGo end

Topic Options
Сейчас: 29.03.2024 - 11:02
Мобильная версия | Lite версия