Автоматические распаковщики исполняемых файлов

Автоматические распаковщики исполняемых файлов предназначены для снятия навесных протекторов и упаковщиков с PE-файлов без применения других инструментов. Безусловно, ручная распаковка - это круто, но когда реверсинг поставлен на поток или не хватает навыков для снятия серьезных протекторов, то автоматические распаковщики будут очень кстати. Наиболее мощные распаковщики находятся в привате, но есть много хороших инструментов и в свободном доступе. Часть из них я выложу здесь с небольшими описаниями.


Начнем с универсальных распаковщиков. Лидер в этой категории - Quick Unpack, уникальный продукт, не имеющий аналогов в мире. Позволяет за несколько секунд снимать более сотни известных пакеров и протекторов, а также новые и неизвестные пакеры. Более подробное описание возможностей есть в прилагаемой документации. Над программой в разное время работали разные люди, сейчас разработку Quick Unpack поддерживает команда tPORt.





RL!dePacker от ReversingLabs. Еще один универсальный распаковщик, также справляется более чем с сотней различных пакеров. К сожалению, неоднократно сталкивался с тем, что после распаковки получается нерабочий файл.




Dr.WEB FLY-CODE Unpacker от PE_Kill - универсальный распаковщик, основанный на движке FLY-CODE антивируса Dr.Web. Распаковывает многослойные пакеры и протекторы, в том числе и неизвестные, все промежуточные результаты сохраняются. Даже если файл не удается распаковать до рабочего состояния, секция кода в любом случае получается распакованной, а этого вполне достаточно для анализа. Рапсковщик имеет достаточно большой размер, скачать его можно здесь.


Faster Universal Unpacker - универсальный распаковщик, или скорее оболочка для плагинов, созданных на движке TitanEngine. Если вы обладаете достаточными навыками, то можете сами написать нужные плагины для снятия различных упаковщиков.


От универсальных распаковщиков перейдем к специализированным. Они заточены под строго определенные протекторы и работают, учитывая особенности их алгоритма защиты.


DilloDie - один из первых автоматических распаковщиков Armadillo от команды CiP. Прекрасно справляется со старыми версиями 3.xx-4.xx, на новых не работает. Было выпущено несколько версий распаковщика, я использую их все, т.к. на некоторых файлах разные версии дают более корректный результат.





ArmaGeddon от команды ARTeam - самый мощный распаковщик Armadillo на сегодняшний день. Справляется со всеми версиями протектора, включая последние. Я также держу под рукой несколько разных версий ArmaGeddon'а, иногда предыдущие версии дают более корректный результат. Последнюю версию всегда можно скачать с сайта разработчиков. Версия 1.9 поддерживает работу в Windows 7 x86.





ACKiller от HoBleen - предназначен для автоматической распаковки программ, защищенных протектором ACProtect (в прошлом UltraProtect). Работает со всеми известными версиями ACProtect со всеми опциями защиты.



Stripper от syd - единственный работающий распаковщик ASProtect, который есть в свободном доступе. Успешно справляется со старыми версиями ASProtect, на новых не работает. Из-за того, что разработчики протектора оперативно реагировали на появление новых версий Stripper'а, на некоторое время разработка была перенесена в приват. Но один мудак, имеющий доступ к приватным бета-версиям, выложил Stripper на паблик, из-за этого syd отказался от дальнейшей поддержки и разработки. Несмотря на то, что проект официально закрыт, его алгоритмы и модули используются в других распаковщиках, например, в Quick Unpack. Выложено несколько наиболее стабильных версий Stripper'а, так как они работают с разными версиями ASProtect.





Наконец-то вышел из привата релиз DecomAS - мощнейшего распаковщика ASProtect от PE_Kill. За пять лет разработки он доведен практически до совершенства и с легкостью справляется со всеми версиями ASProtect, включая последние. К сожалению, DecomAS работоспособен только на Windows XP и новых версий пока что не ожидается.



ASPack unpacker от PE_Kill предназначен для распаковки файлов, накрытых упаковщиком ASPack. Снятие упаковщика происходит настолько виртуозно, что файл восстанавливается практически до исходного состояния. К сожалению, у меня не сработал на файлах, упакованных последней версией ASPack, приходится распаковывать такие файлы вручную.



Themida / WinLicense Unpacker от китайских программистов. Первая публичная утилита, реально позволяющая автоматически снимать этот серьезный протектор. На новых версиях Themida не работает.


Еще есть утилиты для распаковки Themida от команды AoRE, но добиться рабочего результата от этих распаковщиков мне так и не удалось.


Unpacker ExeCryptor от RSI - единственный работающий автоматический распаковщик для протектора ExeCryptor. Работает со всеми версиями линейки 2.x, включая последнюю. В некоторых случаях требуются дополнительные патчи для распакованного файла, остальное меняется в настройках распаковщика. Назначение настроек подробно расписано в прилагаемой документации.



Это далеко не полный набор утилит для автоматической распаковки, но с их помощью вы сможете справиться с большинством современных защит и упаковщиков. Другие инструменты можно без особого труда найти через поисковые системы или на тематических ресурсах.

Комментарии

Добавить комментарий

Имя*:

Текст комментария (не более 2000 символов)*:

Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п. будут удаляться. Злостным нарушителям доступ к сайту может быть заблокирован.