Автоматические распаковщики исполняемых файлов
Автоматические распаковщики исполняемых файлов предназначены для снятия навесных протекторов и упаковщиков с PE-файлов без применения других инструментов. Безусловно, ручная распаковка - это круто, но когда реверсинг поставлен на поток или не хватает навыков для снятия серьезных протекторов, то автоматические распаковщики будут очень кстати. Наиболее мощные распаковщики находятся в привате, но есть много хороших инструментов и в свободном доступе. Часть из них я выложу здесь с небольшими описаниями.Скриншот программы Quick Unpack
Начнем с универсальных распаковщиков. Лидер в этой категории - Quick Unpack, уникальный продукт, не имеющий аналогов в мире. Позволяет за несколько секунд снимать более сотни известных пакеров и протекторов, а также новые и неизвестные пакеры. Более подробное описание возможностей есть в прилагаемой документации. Над программой в разное время работали разные люди, сейчас разработку Quick Unpack поддерживает команда tPORt.
Скриншот программы RL!dePacker
RL!dePacker от ReversingLabs. Еще один универсальный распаковщик, также справляется более чем с сотней различных пакеров. К сожалению, неоднократно сталкивался с тем, что после распаковки получается нерабочий файл.
Скриншот программы Dr.WEB FLY-CODE Unpacker
Dr.WEB FLY-CODE Unpacker от PE_Kill - универсальный распаковщик, основанный на движке FLY-CODE антивируса Dr.Web. Распаковывает многослойные пакеры и протекторы, в том числе и неизвестные, все промежуточные результаты сохраняются. Даже если файл не удается распаковать до рабочего состояния, секция кода в любом случае получается распакованной, а этого вполне достаточно для анализа. Распаковщик имеет достаточно большой размер, скачать его можно здесь.
Скриншот программы Faster Universal Unpacker
Faster Universal Unpacker - универсальный распаковщик, или скорее оболочка для плагинов, созданных на движке TitanEngine. Если вы обладаете достаточными навыками, то можете сами написать нужные плагины для снятия различных упаковщиков.
Скриншот программы UN-PACK
UN-PACK - консольный анализатор и распаковщик исполняемых файлов. Несмотря на то, что программа была разработана еще во времена MS-DOS, она остается актуальной и сейчас. Распаковка современных пакеров и протекторов выполняется за счет внешних плагинов.
От универсальных распаковщиков перейдем к специализированным. Они заточены под строго определенные протекторы и работают, учитывая особенности их алгоритма защиты.
Скриншот программы DilloDie
DilloDie - один из первых автоматических распаковщиков Armadillo от команды CiP. Прекрасно справляется со старыми версиями 3.xx-4.xx, на новых не работает. Было выпущено несколько версий распаковщика, я использую их все, т.к. на некоторых файлах разные версии дают более корректный результат.
Скриншот программы ArmaGeddon
ArmaGeddon от команды ARTeam - самый мощный распаковщик Armadillo на сегодняшний день. Справляется со всеми версиями протектора, включая последние. Я также держу под рукой несколько разных версий ArmaGeddon'а, иногда предыдущие версии дают более корректный результат. Последнюю версию всегда можно скачать с сайта разработчиков. Версия 1.9 поддерживает работу в Windows 7 x86, версия 2.0 достаточно успешно борется с самыми последними версиями Armadillo, но работоспособна только на системе Windows XP x86.
Скриншот программы ACKiller
ACKiller от HoBleen - предназначен для автоматической распаковки программ, защищенных протектором ACProtect (в прошлом UltraProtect). Работает со всеми известными версиями ACProtect со всеми опциями защиты.
Скриншот программы Stripper
Stripper от syd - единственный работающий распаковщик ASProtect, который есть в свободном доступе. Успешно справляется со старыми версиями ASProtect, на новых не работает. Из-за того, что разработчики протектора оперативно реагировали на появление новых версий Stripper'а, на некоторое время разработка была перенесена в приват. Но один мудак, имеющий доступ к приватным бета-версиям, выложил Stripper на паблик, из-за этого syd отказался от дальнейшей поддержки и разработки. Несмотря на то, что проект официально закрыт, его алгоритмы и модули используются в других распаковщиках, например, в Quick Unpack. Выложено несколько наиболее стабильных версий Stripper'а, так как они работают с разными версиями ASProtect.
Скриншот программы DecomAS
Наконец-то вышел из привата релиз DecomAS - мощнейшего распаковщика ASProtect от PE_Kill. За пять лет разработки он доведен практически до совершенства и с легкостью справляется со всеми версиями ASProtect, включая последние. После длительного перерыва автор вернулся к разработке, последняя версия работает даже на современных системах.
Скриншот программы CASPRGUI
Для распаковки старых версий ASProtect рекомендую использовать консольный распаковщик CASPR от SAC/UG2001. Он распаковывает ASProtect полностью в статичном режиме, то есть без запуска файла. Эх, были же светлые головы! CASPR уже давно не обновлялся, но до сих пор остается отличным примером того, как надо писать статические распаковщики.
Скриншот программы ASPack unpacker
ASPack unpacker от PE_Kill предназначен для распаковки файлов, накрытых упаковщиком ASPack. Снятие упаковщика происходит настолько виртуозно, что файл восстанавливается практически до исходного состояния. К сожалению, у меня не сработал на файлах, упакованных последней версией ASPack, приходится распаковывать такие файлы вручную.
Скриншот программы Themida / WinLicense Unpacker
Themida / WinLicense Unpacker от китайских программистов. Первая публичная утилита, реально позволяющая автоматически снимать этот серьезный протектор. На новых версиях Themida не работает.
Еще есть утилиты для распаковки Themida от команды AoRE, но добиться рабочего результата от этих распаковщиков мне так и не удалось.
Скриншот программы Unpacker ExeCryptor
Unpacker ExeCryptor от RSI - единственный работающий автоматический распаковщик для протектора ExeCryptor. Работает со всеми версиями линейки 2.x, включая последнюю. В некоторых случаях требуются дополнительные патчи для распакованного файла, остальное меняется в настройках распаковщика. Назначение настроек подробно расписано в прилагаемой документации.
Это далеко не полный набор утилит для автоматической распаковки, но с их помощью вы сможете справиться с большинством современных защит и упаковщиков. Другие инструменты можно без особого труда найти через поисковые системы или на тематических ресурсах.
Просмотров: 111665 | Комментариев: 55
Метки: реверсинг
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
ManHunter
(04.01.2024 в 13:54):
XVolkolak здесь не будет, как не будет и других поделий хорса.
Благодарный человек
(31.12.2023 в 16:15):
Мерси, помог распаковщик aspack kill
==DJ==[ZLO]
(30.12.2023 в 10:57):
Приветствую!
Имеет место добавить в коллекцию XVolkolak is an unpacker emulator.
Имеет место добавить в коллекцию XVolkolak is an unpacker emulator.
ManHunter
(14.06.2022 в 11:41):
Вот это действительно годнота, спасибо, добавил.
Petya
(14.06.2022 в 10:47):
PE_Kill не просто появился на лабе (как обсуждалось недавно в чате), но и выложил там новый DecomAS. Правда, изменения по существу не очень понятны. Возможно, стоит подновить и здесь.
ManHunter
(12.02.2021 в 11:04):
Откуда он норм-то? С последними аспаками даже ASPack unpacker от PE_Kill нормально не справляется, а эта утилита вообще древняя как мамонт. Хорошо, если 2.12 распакует, но с этим гораздо лучше и чище справляется распаковщик от PE_Kill.
Алексей
(12.02.2021 в 10:51):
ManHunter вот норм на Aspack + исходник :) https://www.aldeid.com/wiki/AspackDie
user
(21.12.2020 в 09:38):
Спс, утянул.
ManHunter
(21.12.2020 в 07:26):
CodeCopyr 1.0
https://www.upload.ee/files/12...1.0.zip.html
https://www.upload.ee/files/12...1.0.zip.html
user
(20.12.2020 в 12:01):
Кстат, в порядке оффтопа, тулзу от PE_Kill на эту тему не встречал,
ссылка на неё осталась сейчас только на экзклаб,
который благополучно прикрыт ментами.
ссылка на неё осталась сейчас только на экзклаб,
который благополучно прикрыт ментами.
user
(20.12.2020 в 11:38):
Ну, дамп можно получить разными способами, а вот копировать из него данные в нужный файл уже лучше всего руками, в Hiew.
ManHunter
(20.12.2020 в 00:12):
user, CodeCopyr от PE_Kill же. Или он со старой версией аспра не справился? Мой UnWrapper Helper тоже заточен как раз для подобных случаев.
user
(20.12.2020 в 00:04):
Насчёт CASPR'а добавлю, что при всей его классности (помогал очень часто),
сам статический способ распаковки не годится для ASPR'а, если при его прикручивании была использована опция шифрования исполняемого кода "сладких" опций, доступных только после регистрации.
Вернее, он-то такую программу распакует, но закрученные опции в ней запустить не удастся, даже имея ключ к программе.
На прошлой неделе столкнулся с ситуацией, когда программа (под ASPR 1.1) распаковывается автоматически только CASPR'ом, при этом к ней есть валидный ключ,
но распакованный файл будет и дальше работать как демоверсия.
Пришлось тогда доковыривать ручками,таская куски из дампа оригинальной зарегистрированной программы.
Но в любом случае, если бы не CASPR, то возня с той программой не имела бы смысла.
сам статический способ распаковки не годится для ASPR'а, если при его прикручивании была использована опция шифрования исполняемого кода "сладких" опций, доступных только после регистрации.
Вернее, он-то такую программу распакует, но закрученные опции в ней запустить не удастся, даже имея ключ к программе.
На прошлой неделе столкнулся с ситуацией, когда программа (под ASPR 1.1) распаковывается автоматически только CASPR'ом, при этом к ней есть валидный ключ,
но распакованный файл будет и дальше работать как демоверсия.
Пришлось тогда доковыривать ручками,таская куски из дампа оригинальной зарегистрированной программы.
Но в любом случае, если бы не CASPR, то возня с той программой не имела бы смысла.
Александр
(27.10.2020 в 00:09):
Добавляйте Ещё Всё Что Есть, Всё Нужно !
Leonid
(17.06.2020 в 05:32):
Спасибо,отличный обзор!
Андрей
(09.03.2020 в 17:18):
И в новой версии Quick Unpack 4.3 x64 до сих пор нельзя импортировать win-x32 приложение - пишет "Wrong Platform", а Quick Unpack 4.3 x32 на win10 x64 нельзя запустить!
ManHunter
(18.02.2020 в 08:30):
Ручками самостоятельно или заказывать за деньги.
Светлана
(18.02.2020 в 08:26):
Всем привет.Может здесь кто-нибудь подскажет как снять с файла exe (игры)
Enigma Protecror V5.x(A)?
Enigma Protecror V5.x(A)?
ManHunter
(06.09.2019 в 12:25):
Добавил Quick Unpack 4.3 x86 и x64
Xor
(05.09.2019 в 03:56):
Неплохо было бы обновить Quick unpack до 4.3 (обе версии + исходник)
Александр
(20.03.2019 в 20:54):
Подскажите, пожайлуста рабочий инструмент для распаковки SafeCast
dmitrii
(21.01.2019 в 19:00):
Файлы с расширением .pak из игры miscreated какой утилитой открыть. Подскажите кто нибудь.
ManHunter
(24.10.2017 в 17:25):
Владёха, русский язык сперва выучи, потом только за компьютер садись.
Владёха
(24.10.2017 в 16:17):
А что сам он распаковывает файлы из зип архива раз он автоматический?! Или в ручную надо за место него это делать опять челу из за программистиков?!
ManHunter
(23.06.2017 в 09:05):
Избавь человечество от себя, не засоряй генофонд планеты.
Покежь-ка
(23.06.2017 в 08:52):
Не вижу здесь пока ничего автоматического!
ManHunter
(05.03.2017 в 00:37):
Отладчик, голова и руки. Иначе никак.
Александр
(05.03.2017 в 00:11):
ENIGMA 4.0 распаковщик нужен дайте пожалуйста
Ted
(15.09.2016 в 09:21):
Спасибо. Для распаковки ASPack v1.08.02 подошёл ASPack unpacker 1.13
speedboy
(23.03.2016 в 09:40):
good
ManHunter
(19.12.2014 в 09:26):
"Статью не читал, но прокомментирую" (с)
александр
(19.12.2014 в 08:53):
а где yoda s , armadillo потерял?
Alex
(23.08.2014 в 13:21):
Ребята может кто подскажет как взломать Exe файл защищенный паролем. Купил у одного мудака курс "как набрать вес" а он закрыл сайт поддержки и теперь после переустановки винды не могу активировать этот курс. А автор не отвечает на письма. пробовал всеми програмками выложенными сдесь ничего не получилось. Программа защищена 24 значным паролем. И для ее активации требует перейти по ссылке, ввести на сайте сгенерированый программой ключ, и полученный пароль активации ввести в соответствующем окне. Подскажите кто вкурсе как ломонуть эту защиту
Egorich
(27.02.2014 в 13:36):
Стало быть у меня какая-то особенная проблемма
ManHunter
(27.02.2014 в 12:10):
Это не так. Все работает прекрасно.
Egorich
(27.02.2014 в 12:09):
Quick Unpack в 7-ке на последних стадиях обработки виснет и завершается
Vladimir
(06.11.2013 в 03:36):
ArmaGeddon 2.0 - просто волшебный. Без малейших усилий снять Armadillo и получить работающий exe - просто фантастика! Спасибо за шикарную подборку.
Johan pipka
(07.03.2013 в 21:47):
goood!!!
миргалим
(17.02.2013 в 18:01):
познавательно спасибо
SERGEY
(14.02.2012 в 23:28):
Действительно ОГРОМНОЕ СПАСИБо !! долго бился с новым Asprotectom 2.28 кое как дополз до OEP и просто наткнулля на этот сайт СПАСИБО !! за DecomAS
всё получилось не пришлось терять время
очень хорошая и свежая подборка
всё получилось не пришлось терять время
очень хорошая и свежая подборка
ManHunter
(20.10.2011 в 13:20):
Начни с мозга, дальше видно будет.
ил
(20.10.2011 в 13:19):
и чёёёё выбирать
anonymous
(08.10.2011 в 03:09):
Спасибо, очень полезная подборка. Про многие не знал.
А есть что-нибудь действенное против Enigma Protector?
А есть что-нибудь действенное против Enigma Protector?
Дмитрий
(13.07.2011 в 19:37):
Спасибо "RL!dePacker" нашел точку входа и смог распаковать. Когда вручную подставил OEP, то и "Quick Unpack" справился...
Сайт однозначно в мемориз :-)
Сайт однозначно в мемориз :-)
ManHunter
(10.06.2010 в 22:41):
Добавил, спасибо. Как-то я его на кряклабе не заметил.
xXx
(10.06.2010 в 22:23):
Unpacker ExeCryptor 2.x.x RC2
http://www.cracklab.ru/f/index...&topic=10070
http://www.cracklab.ru/f/index...&topic=10070
semiono
(10.06.2010 в 20:08):
Неплохо бы по дебагерам теперь пройтись, вернее достаточно OllyDbg,
но хотелось бы статей по MSDN/API/FASM...
По CRACKME статей хватает, однако отлаживание своего кода до меня не доходит, может это только со мной так :)
Про дебагер напишите пожалуйста.
но хотелось бы статей по MSDN/API/FASM...
По CRACKME статей хватает, однако отлаживание своего кода до меня не доходит, может это только со мной так :)
Про дебагер напишите пожалуйста.
Soso
(10.06.2010 в 19:29):
Спасибо ManHunter? за отличные нвости, поучительно !!!
x
(09.06.2010 в 21:58):
Спасибо, хорошая информация.
ManHunter
(09.06.2010 в 10:36):
Поправил, спасибо. Вредно по ночам статьи писать :)
Rustamer
(09.06.2010 в 10:35):
Не знал про File Format Identifier. Думал это какой-нибудь старый сниффер. Почитал и попробовал - однозначно в коллекцию. Спасибо! Кстати еще у унпакера от PE_Kill'а поправь версию - там 1.13. Правда эту версию я в первый раз вижу 0_o.
ManHunter
(09.06.2010 в 10:35):
Добавил Unpacker ExeCryptor
ManHunter
(09.06.2010 в 10:06):
Китайский VMUnpacker очень удачно трансформировался в утилиту под названием File Format Identifier. Я ее выкладывал раньше, так что дублировать здесь не стал:
http://www.manhunter.ru/underg..._faylov.html
Stripper 1.35 после использования часто валит систему в синий экран, поэтому я его тоже не выкладываю. По функционалу его прекрасно заменяет следующая версия 2.11 rc2. А анпакер для говнокриптора да, действительно забыл. У меня их целая куча всяких разных, вот и пропустил :)
http://www.manhunter.ru/underg..._faylov.html
Stripper 1.35 после использования часто валит систему в синий экран, поэтому я его тоже не выкладываю. По функционалу его прекрасно заменяет следующая версия 2.11 rc2. А анпакер для говнокриптора да, действительно забыл. У меня их целая куча всяких разных, вот и пропустил :)
Rustamer
(09.06.2010 в 08:33):
Хм, а что tPORt решилась продолжить разработку QU? Да и Archer был в tPORt на тот момент...
По делу, имхо еще стоит добавить неплохой анпакер для execryptor'а от RSI. Ну и из универсалов VMUnpacker от китайцев тоже имхо вполне неплох, хоть и на него многие грешат, но зато делает все на автомате. Есть еще версия StripperXP v.1.35 для аспра. Ну а остальную кучу анпакеров и действительно можно найти в инете.
Спасибо за разные версии некоторых анпакеров - многие в первый раз их вижу.
По делу, имхо еще стоит добавить неплохой анпакер для execryptor'а от RSI. Ну и из универсалов VMUnpacker от китайцев тоже имхо вполне неплох, хоть и на него многие грешат, но зато делает все на автомате. Есть еще версия StripperXP v.1.35 для аспра. Ну а остальную кучу анпакеров и действительно можно найти в инете.
Спасибо за разные версии некоторых анпакеров - многие в первый раз их вижу.
Добавить комментарий
Заполните форму для добавления комментария
I was able to download useful programs from it that work.
Especially that Armadillo.
It didn't work with versions I had, but it does now.
Thank you for making it so accessible Manhunter