Вопросы по распаковке

Тема в разделе "WASM.RESEARCH", создана пользователем M0rg0t, 15 сен 2020.

Метки:
  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    > а строки эти откуда берутся?

    Это ведь вирта, часть статик, большая часть формируется в динамике при работе вирты. Вопрос в том, каким инструментом выполнить девирт и где его взять. А ты говоришь не пригодно против аверов, вот такая сборка как раз годится врядле у них тоже инструменты есть.
     
  2. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    860
    Я про скрипты и говорил. VB6 не поддерживает. Но vbs код компилируется в P-код насколько мне известно - там похожая ВМ. Проблема vbs в том что он работает только с Variant'ом, т.е. о эффективности скриптов можно забыть. Но ничто не мешает сделать внешние скомпилированные функции для скрипта.

    Я делал небольшой патч для msvbvm виртуальной машины. Тут можешь посмотреть, там некоторые обработчики опкодов изменяются. Сама таблица опкодов тут. Я не сильно исследовал этот режим работы, т.к. в основном предпочитаю компиляцию в нативный код - так намного эффективней получаются приложения.
     
  3. Digika

    Digika New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2021
    Сообщения:
    3
    Привет, у меня вопрос немного примитивный - кто знает есть ли распаковщики или наработки пл Nullsoft 3.x от 2020? Они там алгоритм поменяли, раньше 7z просто lzma детектил и распаковывал payload, сейчас у них там изменилось все.
    Вот пример:
    https://download.unity3d.com/downlo...64EditorInstaller/UnitySetup64-2020.2.5f1.exe

    binwalk чушь всякую выдают, рендомные lzma без размера, Adobe Flash, короче явно false positive
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Digika,

    Не верно мыслишь, не нужно читать примитивные публикации.

    Любой протектор сам себя восстанавливает в памяти(обратную операцию никто кроме меня не смог реализовать). Самые сложные с виртой аналогично, но небольшая часть кода покрыта виртой.

    Тут вся суть в инструментах - статически нужен депак, но в динамике это не нужно. Достаточно прикрепить к модулю инструмент, который обнаружит событие, когда модуль будет открыт. Это огромное число раз проверено на всех существующих протекторах. Обычно это событие выполнение EP, давно решено.

    https://archivevx.net/exelab/f/pages/action=vthread&forum=6&topic=25429&page=0.html
    https://wasm.in/threads/oep-protektory.33242/
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    О хосподе, посмеялся до слез, вот такие у нас спецы на васме. Самое то Nullsoft'овский инсталлятор за протектор принимать. Да-да, восстанавливает себя в памяти, накрыт виртой, ага.
     
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Не имеет значения какое апп, протектор криптор пакер без разницы. Другое дело это если там вирта или это комовкий образ.
     
  7. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    Имеет значение, ты еще инсталлятор легитимного софта визором погоняй.
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Ты ведь недавно говорил что ты не реверсер, отладчик не твой инструмент. Откуда тогда знаешь что там внутри этого софта ?
     
  9. Digika

    Digika New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2021
    Сообщения:
    3
    Вообще Rel прав, это просто NSIS - https://nsis.sourceforge.io/Main_Page
    Просто для x64/2020 нет анпакеров, по крайней мере в паблике (7zip распаковывает 2.x/x32 версии, но на последних лишь может извлечь blob payload на 2Gb). Я просто думал кто сталкивался и написал на коленке оный. Раньше, помню, был форум, decompressor.ru или что-то такое, там все возможные форматы пакеров обсуждались. Сейчас его найти не могу, наверное помер. Понимаю, что мой вопрос скорее оффтоп, но спросить негде было.
     
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Digika,

    Я не понимаю. Зачем анпакер для приложения, которое само себя распаковывает ?

    Вообще что такое анпакер и зачем это нужно ?

    Это статик инструменты и методы древние как говно мамонта, когда небыло инструментов для работы с апп в динамике.
     
  11. Digika

    Digika New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2021
    Сообщения:
    3
    Indy_
    А, понял что вам смутило. Анпакер для удобства, ибо инсталляторы от 2GB до 3GB, а из них нужно выудить 2-3 файла, таких инсталляторов каждый месяц по 1-2, сейчас уже близко к 50+. Устанавливать же не будешь каждый, это на стену лезть захочется, да и глупо.
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Digika,

    Пол сотни вирт подними и распакуй всё за час. Лень конечно технологии двигает.