Дам немного теории:
Упаковщики - особый класс программ. Много общего с архиваторами, но есть главное отличие - они сжимают исполняемые (EXE, COM) файлы и библиотечные модули (DLL). Причём не нарушая их работоспособности.
Перед дизассемблированием необходимо обязательно снять упаковку, иначе нужный результат не будет получен.
Если вы не знаете упакован ли файл вообще (или чем упакован), то используйте PEID. Он Вам выдаст подробную информацию о файле.
Итак, переходим к топику (тут выложены не только распаковщики, но и PE анализаторы, плагины к ним):
LordPE 1.4Ой, какая прелесть. Куда лучше, чем откровенно глюкавый ProcDump. Стабильная и весьма прилично работающая утилита. С таблицей импорта особо не дружит (хотя и лучше, чем ProcDump), ну так а для чего ImpRec или Revirgin?
Сайт программы:
http://mitglied.lycos.de/yoda2k/news.htmРазмер: 442.39 kb
Качать: _
http://www.wasm.ru/ba...ode=tool&id=44ImpRec 1.6 FINALОдин из лучших восстанавливателей таблицы импорта PE-файлов. Выдает список процессов, где надо выбрать искомый. Ну а дальше... Кроме того группа mackT выпустила движок ImpRec в виде dll + полные исходные кода движка.
Сайт программы:
http://wave.prohosting.com/mackt/Размер: 217.98 kb
Качать: _
http://www.wasm.ru/ba...ode=tool&id=64Revirgin 1.5.1Еще одна очень сильная утилита по восстановлению таблицы импорта. Этот релиз устраняет взвис под XP. Говорят :-), что есть проблемы с 9х. Вообще, время переходить на Win2000. Автор утилиты - Tsehp - ушел от нас, также как и fravia, так же как и ORC... Спасибо вам, домены cjb.net - вы вырастили многих талантливых взломщиков, жаль, что вы ушли, однако на смену вам придет что-то новое, и, будем надеятся, лучшее... Ave. Просто на всякий случай добавлен 1.3 для 9x.
Размер: 663.5 kb
Качать: _
http://www.wasm.ru/ba...ode=tool&id=65PE iDentifier v0.92 /релиз от November 21, 2004Вещь в хозяйстве незаменимая. Определит, чем запакован PE-файл, найдет точку входа (заодно и секцию покажет) или определит использованный компилятор (правда, последнее - хреново). Зато упаковщики/протекторы у меня определял корректно и безглючно. Есть возможность добавить вызов в контекстное меню. В этой версии действительно много нового. Автор даже не поленился привинтить дизассемблер. Словом - утилита однозначно стоит того, чтобы уделить ей МНОГО внимания.
Сайт программы:
http://peid.has.it/Размер: 223.9 kb
Качать: _
http://www.wasm.ru/ba...ode=tool&id=67Quick Unpack v0.4Очень забавная тулза для новичков. Если не умеете сами распаковать UPX или Aspack, или что-нибудь подобное по уровню сложности, то эта автоматическая штуковина в самый раз для вас. Распаковщик построен на куче технологий от более-менее широко известных в узких кругах утилит - ImpRec, GenOEP, PE Tools.
Сайт программы:
http://ahteam.orgРазмер: 103.52 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=252HASP Emulator PreProfessional Edition V1.07.D027Разумеется, данный инструмент с трудом попадает в данную категорию, однако, создавать отдельную папку для такого рода продуктов считаю нецелесообразным. Что это такое? Данная вещь - это эмулятор hasp. Иными словами, ваша программа не хочет работать без затычки в порту, что делать? Слить эту вещь, слить доки с сайта - и вперед! Мои благодарности infern0.
Сайт программы:
http://www.brstudio.com/index.htmlРазмер: 1080.62 kb
Качать: _
http://www.wasm.ru/ba...ode=tool&id=83Un-telock 0.99Автоматический сниматель защиты telock. Действительно работает. Существуют релизы telock 0.99, 1.0 и т.п., однако широкой публике они не доступны. Тем не менее, распаковщик версии - 0.98 и 0.99 к вашим услугам.
Сайт программы:
Размер: 29.72 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=199PE Tools v1.5.400.2003 Xmas EditionЭто дампер процессов, появившийся на свет позже ProcDump и LordPE, взявший в себя большинство идей, заложенных в вышеописанных дамперах, и теперь, без сомнения, аналогов уже не имеет. Движок по перестройке импорта был полностью переделан. Добавлен оригинальный алгоритм по перестройке директории перемещаемых элементов. Также готов движок по перестройке ресурсов. Словом - пробуйте!
Сайт программы:
http://uinc.ruРазмер: 216.43 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=124Stripper 2.11 RC2Экспериментальная версия распаковщика Asprotect 1.3-2.0. Возможно, сработает. А возможно, и нет. Мои благодарности Asterix.
Сайт программы:
http://syd.nightmail.ru/stripper.htmlРазмер: 137.85 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=130PE Rebuilder v0.96bОчень приятный маленький перестройщик PE-файлов. Определенно стоит положить его в свою коллекцию. Недавно мне сообщили, что этот файл определяется многими антивирусами как вирус. Возможно, хотя NAV Corporate Edition молчит. Дело не в этом. Файл не является вирусом, однако, если боитесь, разумеется, не сливайте.
Сайт программы: нету, сдохли все
Размер: 29.38 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=180CORSO 5.2 & SCANNER 5Это программа, которая снимает защиту с FoxPro (VFP 5,6,7,8). В принципе, она прошла долгую историю развития и должна работать весьма прилично. Подтверждено, что работает она весьма прилично - срывает защиту напрочь, далее дело за ReFOX MMII. В версии 5.2 поправлен взвис под XP. Автор утверждает, что он тщательно гонял утилиту. Многие из баг-репортов, высланные мне вами, в действительности таковыми не были! Так что, проверяйте тщательно, и, если это действительно баг, cAtA его поправит.
Сайт программы: who knows?
Размер: 762.24 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=138Relox v1.0aНынче протекторы взяли в моду коверкать не только директорию импорта, а и релоки. Директория релоков (relocation, fixup) - это директория, используемая ntdll.dll (более известному как WinLoader) тогда, когда адрес загрузки модуля отличается от такового в OptionalHeader.ImageBase. В этом случае из директории .reloc берутся поправки, которые патчат определенные call/jmp и т.п., так, чтобы они по- прежнему указывали куда надо, а не в космос. Эта утилита призвана вернуть все на круги своя, в том случае, если над dll поиздевалась какая-нибудь зараза. ТОЛЬКО ВНИМАТЕЛЬНО ЧИТАЙТЕ ИНСТРУКЦИИ!!! Теперь прилагается пара примеров по использованию.
Сайт программы:
http://wave.prohosting.com/macktРазмер: 156 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=155ITCompare by blowfish2000"А не приходилось ли тебе испытывать проблемы когда была необходимость сравнить таблицу импорта, восстановленную с помощью ImpRec или Revirgin, под разными операционными системами, например, 98-й и XP, и сброшенную в текстовый файл, ведь часто так бывает, что прога отколупанная от протектора в одной операционной системе, отказывается запускаться в другой. Гы. Какая долгая преамбула. Мне приходилось. Но теперь мы избавлены от этих проблем, т.к. появилась великая тулза ITCompare, которую я сегодня скачал и тебе тут рекламирую, гы-гы." От себя добавлю, что утилита предназначена для сравнения отчетов Revirgin и ImpRec. Интересно, кто-то еще 9x использует? Хотя, к моему дикому удивлению, большинство народа в форуме сидит на DOS!!! Это что-то!
Размер: 635.72 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=150PE Tool 0.45Шикарная вещь для новичков. Дампер процессов с полным открытым исходным кодом. А группа-то какая! mackT!
Сайт программы:
http://wave.prohosting.com/macktРазмер: 195 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=179Коллекция Resource RebuildersВ данной упаковке собраны лучшие перекраиватели ресурсов. Пакеры действительно не могут полностью перекраивать секцию ресурсов без боязни несовместимости. Имя секции (.rsrc) действительно имеет значение! Любые другие секции могут называться как угодно, но эта секция - нет. Доказательство - файл oleaut32.dll, который обращается к названию секции напрямую и этот баг не был исправлен со времен 9x. Он сохранился и под 2k. Вероятно, должен быть и под XP/2003. Что же до директории ресурсов, то, с высокой степенью вероятности
, они должна находится в секции .rsrc и из нее может уворовываться часть ресурсов, если не все равно, как будет выглядеть файл. Такой файл распаковать сложнее и обычные редакторы ресурсов его уже корректно не увидят. Используйте данные утилиты, чтобы собрать ресурсы до купы
Здесь лежит ResFixer v 1.0 beta 1 by seeQ, Resource Rebuilder v1.0 by Dr.Golova, pResFix v.0.2 by hapatsa.
Размер: 24 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=156ImpRec Plugins"Коллекция" плагинов под ImpRec. Один из них предоставлен Perch. Автор - Madness. Назначение - "to find asprotect 1.2x real API in its wrapped code". Второй предоставлен ZILOT (он же и автор). Назначение - снять выпендрежи SVK Protector c директорией импорта. Последний работает ТОЛЬКО под 2k, МОЖЕТ, под XP. Добавлен плагин от ZILOT, позволяющий снимать дампы с директории импорта, защищенной Obsidium. Добавлен плагин от bi0w0rM к ACProtect 1.23 beta. Теперь bi0w0rM написал еще один плагин для teLock 0.98.
Размер: 16.7 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=171PE verifyМаленький чекер на валидность PE-файла. Проверяется валидность директории импорта, немного проверяются секции. В целом - может оказаться полезным для того, чтобы разобраться - а почему дамп не хочет загружаться.
Сайт программы:
http://dweller.mail333.comРазмер: 4.6 k
Качать: _
http://www.wasm.ru/ba...de=tool&id=197Распаковка UPXЭто специальные UPX, которые, возможно, смогут распаковать тот exe файл, на котором обломался UPX обычный.
Размер: 206.37 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=214Armadillo nanomites recoverer 1.7 + dumperAramdillo - это, по сути, трейсер, использующий стандартные Win32 API-функции для расшифровки страниц отлаживаемого процесса на лету. Т.о. Armadillo, по сути, это два процесса - отлаживаемый процесс и процесс-отладчик. Sten'ом был придуман оригинальный способ попросить отладчик "отдать" все страницы в расшифрованном виде. Способ получил дальнейшую разработку в статье dragon'a. Теперь infern0 пошел еще дальше, написав слегка более продвинутый дампер армадилло, работающий ТОЛЬКО под 2k+. Также известно, что Armadillo заменяет условные прыжки в теле программы. Версия 1.7 позволит восстановить их, включая и арму 3.61. Кроме того, судя по всему, утилита медленно, но верно идет к полностью автоматическому распаковщику армадиллы.
Размер: 540.04 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=226Dumper v.1.0.1И еще один дампер армадилло. Степень точности у дампера от infern0, ушедшего в небытие дампера от Lunar_dast и этой игрущки примерно одинакова. Оданко данный дампер будет интересен тем любителям древности, что еще сидят на 9x. Дампер достаточно тщательно гонялся на 9x по 2003. Пробуйте.
Сайт программы:
[email protected]Размер: 6.67 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=225Armadillo Dumper LDE pluginИ еще один дампер Armadillo! LDE Plugin для Lord PE. Слейте себе Lord PE с этого же сайта, положите в папочку плагинов и радуйтесь. Бедные, бедные разработчики Armadillo...
Сайт программы:
http://www.kpteam.com/Размер: 2.88 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=226UPX-Ripper 1.3Еще один автоматический распаковщик файлов UPX, защищенных скрамблерами. Обычный UPX такой файл взять не может, а вот эта штучка - запросто. Поддерживаются UPX начиная от версии 1.24. Требует файл UPX в своей директории.
Размер: 419.65 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=228EVA Cleaner v2.7Известно, что Armadillo, ACProtect, PCGuard, Obsidium и SVK обожают гадить в реестре. Насуют туда барахла всякого, винда тормозить станет. Поэтому человеку на это безобразие больно смотреть стало. Написал он утилиту, исходные кода открыл, chm-мануальчик для нас с вами написал, чтобы не повадно было мерзким гадам больше в реестре пакостить. Утилита периодически обновляется, что очень и очень важно в проектах такого рода. Так что смело ее используйте!
Сайт программы:
http://www.blindprophet.tk/Размер: 374.18 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=238ACStripper/ACRebuilder 1.35 by Lunar DustACProtect - маленький братец ASProtect (см. раздел "протекторы"). А эти две утилиты - автоматические депротекторы.
Сайт программы: lunardust20(dog)yahoo.com
Размер: 104.3 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=297Novex Guardant envelope killer 1.4Программка расшифровывает PE EXE которые накрыты конвертом Guardant. Для расшифровки ключ не нужен, всю информацию она достает из самой защищенной EXEшки. Восстанавливается импорт (громко сказано, на деле восстанавливается правильный import table RVA и import table size), а также релоки, экспорт, ресурсы. Правится заголовок на предмет установки правильной OEP.
Поддержка последней версии конверта (4.44 от 13.05.2004) ВНИМАНИЕ! В связи с изменениями в конверте время работы киллера возросло до примерно 2-3 минут (p4 2ГГц). Будьте терпеливы
Сайт программы:
http://zor.org/tsrhРазмер: 21.51 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=282Plugin Loader for PEiD and PE ToolsУтилита для загрузки плагинов, созданных под PEiD 0.92/PE Tools 1.50. С помощью этой утилиты можно загружать плагины путем
* direct plugin loading
* command line support
* drag-n-drop support
Также в архиве плагин к PEiD/PE Tools позволяющий грузить плагины этих программ в любой из них. Подерживаются параметры командной строки (в т.ч. для автоматической загрузки плагина через контекстное меню).
Размер: 56.31 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=300UnVbAspr 1.1Аспротект 2.0 ворует байты из тела программы. Из-за этого ваш любимый дампер слепок-то создавать создает, но вот дамп получается недействующим. Данная тулза предназначена для восстановления таких байт в программах, написанных на VB (писать на VB - позор!).
Сайт программы:
http://reversing.dotfix.netРазмер: 16.13 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=302UnHidePEHidePE - это простенький обфускатор сигнатур пакеров. Утилиты типа PE Sniffer и PeID зачастую действительно ошибаются на таких файлах. UnHidePE предназначен для снятия HidePE, чтобы можно было увидеть, чем реально запакована программа.
Сайт программы:
http://reversing.dotfix.netРазмер: 21.01 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=303Lezgin 0.1.3Слова автора в письме ко мне: "Это эмулятор процессора х86 + дампер. Используется для расшифровки PE-программ. Так как это первая, опытная версия (только что закончил писать), то, наверное, есть ошибки. Не поддерживаются:
- Вызовы API
- FPU
- SSE
- SEH
- секции .reloc
- и много чего другого.
Но я работаю над программой." Добавка: "Исправил тучу ошибок. Добавил простой SEH."
Сайт программы:
http://www.droopy.nar...oad/lezgin.htmРазмер: 16.33 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=311Sentinel SSPro logger 1.2Как можно понять по названию - это просто логгер. Логгер обращения к ключу. Вывод по OutputDebugString. Исходный код открыт.
Сайт программы:
Размер: 49.66 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=316StarFuck v0.83Программка для обхода StarForce. Дополнительно требуется Alcohol + DaemonTools - т.е. это НЕ какой-нибудь универсальный эмулятор или съемщик или что-то подобное. К утилите бы не помешала маленькая дока, которая бы объяснила, что к чему... А до этого вам придется топать на сайт и разбираться там самим
По отзывам народа - радостных воплей очень много. Говорят, работает. Причем, слово "работает" звучит чаще, чем "не работает", что не может не радовать.
На данный момент времени проект заморожен. Новую версию обещают в феврале.
Сайт программы:
http://www.project-starfuck.tkРазмер: 1570.44 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=317Плагины к PeIDЗдесь лежит подборка плагинов для PEiD.
1. Kanal v.2.8 - поиск критосигнатур
2. SecTool v1.01 - манипуляции с секциями
3. ResView v1.02 - манипуляции с ресурсами
4. FixCRC - правит поле CheckSum PE-заголовка.
Обязательно загляните по линку - там много еще чего лежит. Также гляньте на
http://www.secretashell.com/BobSoft/Сайт программы:
http://www.secretashe.../peid/plugins/Размер: 146.06 kb
Качать: _
http://www.wasm.ru/ba...de=tool&id=318