Русский / Russian English / Английский

Сейчас на форуме: Zaxar90800, yashechka, galenkane, spinz (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

Ранг: 74.0 (постоянный)
Статус: Участник

Создано: 29 августа 2007 22:30 New!
Цитата · Личное сообщение · #2

Сабж прекрасно распаковывает DDeM prot ( защита от 7Волка) (при условии наличия их СД или Исошки)

А молебокс + АСПР ??? Млин начинает видимо нормально, доходит до покореженного импорта и все...


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 29 августа 2007 22:47 New!
Цитата · Личное сообщение · #3

Soft_Ice
Про аспр я уже писал, читайте топик внимательней, что он всё равно не сможет собрать всю ВМ (по крайней мере, пока я не сделаю менеджер памяти, а я ещё не уверен, надо ли его в паблик пихать), поэтому особого смысла не вижу ковыряццо, почему не берёт, если и так в общем случае брать не будет.
Насчёт мольбокса-аналогичная тема. QU предназначен для анпака 1 файла, в моль их может быть запихнуто много. Тут даже со скриптами, думаю, далеко не уедет QU.


Ранг: 1121.4 (!!!!)
Статус: Участник

Создано: 30 августа 2007 02:56 New!
Цитата · Личное сообщение · #4

Archer пишет:
насчёт QU ещё не знаю, включать ли это в публичную версию


а в чём проблема?

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 30 августа 2007 04:04 New!
Цитата · Личное сообщение · #5

Gideon Vi пишет:
а в чём проблема?

QU тихо мирно уходит в приват...


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 30 августа 2007 09:34 New!
Цитата · Личное сообщение · #6

Да не, пока в приват не собираюсь. Просто если прикрутить в паблик, мож начнут антидебаг делать. Ещё посмотрим, как по времени с проектом будет. В общем, в todo лист записал, а там глянем.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 30 августа 2007 10:13 New!
Цитата · Личное сообщение · #7

Archer пишет:
Тут даже со скриптами, думаю, далеко не уедет QU

Если позамарачиваться(ради конфесии),то сам молин *.exe,QU отдерёт.
Столен в Мольке нет,для таблички,в каких-то версиях,всего нужно один вызов занопить.
Выправить переходники темповой срани,на то что моля "за пазухой" держит,вот по сути и весь унпак."Обоз" тем же макаром дампиться.Просто в связке Олька/PE Tools/ImREC,это и быстрей и удобней.
Archer
"нубики онли"-насколько понял,это ирония.
Начиная с релиза версии QU.0.5,квик уже не имел аналогов.

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 31 августа 2007 18:20 · Поправил: DIMAIN New!
Цитата · Личное сообщение · #8

Archer
Заметил один косяк (хотя может только у меня), под VMware 5.5.2 не пашут распакованные файлы, сильно не разбирался но такое ощущение что с импортом проблема, ты глянь на досуге, многие люди юзают реверс софт именно под VMware...


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 31 августа 2007 18:45 New!
Цитата · Личное сообщение · #9

DIMAIN
Ну лично я анпакаю под вмварью и там же запускаю. Весь тестинг проходит только под ней. Так что даже не знаю, что там не так. =/

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 31 августа 2007 19:02 New!
Цитата · Личное сообщение · #10

Archer
А версия какая?


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 31 августа 2007 19:28 New!
Цитата · Личное сообщение · #11

DIMAIN
ВМВарь 6 версии. Но косяков по идее всё равно быть не должно. Разве что какой-нить хитрый косяк с разными версиями винды. =/

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 31 августа 2007 20:29 · Поправил: DIMAIN New!
Цитата · Личное сообщение · #12

Archer пишет:
ВМВарь 6 версии

Под 5 есть вариант проверить?, у меня подозрение что такой косяк не только у меня...
У меня винда в VMware - ХР сп1, остальные версии QU под ней раб. норм.


Ранг: 103.3 (ветеран)
Статус: Участник

Создано: 2 сентября 2007 02:09 · Поправил: NaumLeNet New!
Цитата · Личное сообщение · #13

проверил prerelease 2.0 на NsPack'e (дельфовая прога). вбил правильный oep (до этого делал все руками, т.е. дамп + прикрутка импорта), включил опцию Cut last sections & rebuild resources. анпакается нормально. но у анпакнутого приложения на oep оказывается не привычный дельфовый старт, а "мусор":

[code]
006CF340 >/$ BA 0EA48A00 MOV EDX,RIUnpack.008AA40E
006CF345 |. 52 PUSH EDX
006CF346 \. C3 RETN
006CF347 56 DB 56 ; CHAR 'V'
006CF348 B8 DB B8
[/code]

006CF347 - пошел уже дельфовый PUSH EPB и т.д., хотя 006CF340 - это OEP в оригинальном ехе и сразу с него идет дельфовое начало.

при ручной работе, понятное дело все нормально. в итоге результирующий файл тяжело реверсить, т.к. у ольги слетает анализ, да и не должно быть такого, имхо. но работает все как надо.

сразу предупрежу ) я не крякер. на паблик ехе выложить не могу, если потребуется, то через PM.


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 2 сентября 2007 09:00 New!
Цитата · Личное сообщение · #14

Странная фигня. Сомнительно как-то, что дело в QU... А если убрать галку резать секции, будет такая же жопа? А если руками анпачить, типа всё норм? Если реально такое дело (что мне сомнительно), кидай в личку файл. Естественно, без распространения.


Ранг: 103.3 (ветеран)
Статус: Участник

Создано: 2 сентября 2007 09:52 New!
Цитата · Личное сообщение · #15

Archer, pm. oep верняк верное. может конечно я прокосячил с анпаком, но сомневаюсь, что в QU можно умудриться прокосячить, тем более, не первый раз использую.


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 2 сентября 2007 12:44 New!
Цитата · Личное сообщение · #16

NaumLeNet
Глянул я мельком. Там Force mode юзать нужно, 1 ложный бряк по этому адресу есть, походу.
DIMAIN
Пока не нашёл никаких косяков с варью, но ещё просил тестеров посмотреть.


Ранг: 103.3 (ветеран)
Статус: Участник

Создано: 2 сентября 2007 13:26 · Поправил: NaumLeNet New!
Цитата · Личное сообщение · #17

Archer, force mode ситуацию не изменил. qu в итоге стартует приложение, грузит его целиком, закрываю руками, в логах показывает false bp: 1, сохраняет анпак. результат идентичен тому, что без force mode.

Еще пара моментов. Окно аттача к процессу. Двойной клик по списку модулей должен по идее: 1. выбрать, 2. подтвердить (ок).

То что приложение к которому идет аттач виснет после анпака - это нормально?

--
QuickUnpack - потрясающая тулза. Низкий поклон. Ее даже как ребилдер использовать куда быстрее и удобнее, что многие другие. Сенькс.


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 2 сентября 2007 16:34 New!
Цитата · Личное сообщение · #18

NaumLeNet
Если Force mode не изменил дело, значит косячно работает, наверно. В последней (пока не публичной) версии это поправлено.
Даблклик должен подтвердить модуль-может и сделаю. Ибо не любитель с гуями возиццо.
После аттача процесс не виснет, поток делается Suspended. Если надо, возобнови руками. Почему сделано так? Потому что изначально поток либо в петле (нужно вмешательство, значит), либо Suspended. Так что возвращаю к исходному.
Спасибо. Будет время-буду дальше апгрейдить.

Ранг: 19.8 (новичок)
Статус: Участник

Создано: 4 сентября 2007 14:38 New!
Цитата · Личное сообщение · #19

Archer
Извини я не тестил, некогда, но мне интересно есть (будет?) QU загружать сам нужные плагины скрипты в соответствием с пакозанием PEid ну или по выбору, вдруг байты похерены и пеид полчит.


Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 4 сентября 2007 17:05 New!
Цитата · Личное сообщение · #20

SPA
прикрути скрипт автораспознавания формата -- и все будет делать ). Главное чтобы голова и руки были... А написать все можно уже на этом этапи развития...


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 4 сентября 2007 18:13 New!
Цитата · Личное сообщение · #21

SPA
Неа, не будет, ну нафиг. Максимум-вынесу название пакера в скрипты.


Ранг: 133.2 (ветеран)
Статус: Участник
bbs.pediy.com

Создано: 4 сентября 2007 18:22 New!
Цитата · Личное сообщение · #22

I view: Each tool no matter is a quality, should support its development.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 6 сентября 2007 13:06 · Поправил: Bronco New!
Цитата · Личное сообщение · #23

Archer
Посмотри тут:
[url=http://exelab.ru/f/index.php?action=vthread&forum=1&topic=9731
]http://exelab.ru/f/index.php?action=vthread&forum=1&topic=9731
[/url]
Тут и tree от ИмРека,и адреса где пропатчить,чтобы дамп стартонул.
Или качни отсюда:
[url=http://webfile.ru/1517487
]http://webfile.ru/1517487
[/url]
Траблы с дампированием,чё то не с тем eip дампит.
Хоть вручную вбивай OEP,хоть плагом Usar идти к oep,хоть с аттача брать,дамп неадекватный получается.С tls косяки тоже.
-----------
Добавил:
Если юзать
[+]-Use force unpacking
И импортировать tree,то даже патчить не надо для старта.
Квик рулит...)))


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 6 сентября 2007 18:03 New!
Цитата · Личное сообщение · #24

Bronco
Последний QU порвал его как Тузик грелку. ОЕП берёшь от Юзара, ставишь форс мод+трассировку импорта и перестройку секций. И всё, никаких патчей и импорта из файла не надо.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 6 сентября 2007 21:23 New!
Цитата · Личное сообщение · #25

Archer пишет:
Последний QU порвал его как Тузик грелку

Ну тогда есть повод добавить и его в список "тузиков"
Хотя вон у людей паблик-релиз весит на этом файле.
А почему он в связке с Ольгой(на аттаче) косячит?
//EIP явно не то,на котором прога стояла.


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 6 сентября 2007 21:38 New!
Цитата · Личное сообщение · #26

Bronco
Скорее грелок Добавлю, фигле. А висит почему-хз, может ждали мало просто. Ну а про аттач-не знаю. У тебя есть линк нужный, в принципе. ;) Можешь и на последней проверить. А я пока сделаю вид, что не видел этого


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 7 сентября 2007 00:35 New!
Цитата · Личное сообщение · #27

Archer
Если бетка от 5.09.2007(17:14),то имеем:
В ольге EIP=OEP сабжа,а в дампе,после аттача QU-ком,адресок не от этой "грелки"
Ща качну на всяк случай заново.
А пока сделаю вид,что на лежбище иду,а с утречка гляну


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 7 сентября 2007 09:10 New!
Цитата · Личное сообщение · #28

Bronco
Только что не поленился и посмотрел аттач. Выбирал и Smart для импорта и Smart+tracer-всё норм с ОЕП. Если юзаешь Smart+tracer-чЕтай ридмис.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 7 сентября 2007 10:19 New!
Цитата · Личное сообщение · #29

Archer
Подтверждаю,косяк у меня.
После востановления кернеловских блоков ИАТ,хотя и востанавливаю по скрипту EIP,при аттаче квиком
Current EIP: 01850E76//по ходу адрес последней инструкции ret
Smart+tracer-я эту опцию редко юзаю.QU с ней чо то "думать" начинает.
Это нормально?


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 7 сентября 2007 10:58 New!
Цитата · Личное сообщение · #30

Bronco
Ну если кратко, то просто Smart-это статик восстановление, поэтому при аттаче ольку вообще можно не трогать, драйвер там реально не подключается. А вот Smart+tracer-это уже динамик восстановление, ольку надо деаттачить, начинается трассировка уже модулей, поэтому дольше пашет, хотя в любом случае если больше минуты-есть повод задумаццо.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 7 сентября 2007 11:32 New!
Цитата · Личное сообщение · #31

Archer
Заглянул в ридми,подумал может чо добавилось:
-"....трассировка импорта при аттаче довольно ненадёжная и медленная, поэтому использовать её нежелательно....."
Archer пишет:
если больше минуты-есть повод задумаццо.

Что-то вроде того.
Потому и редко юзаю эту опцию.
//Хотел бы порычать насчёт соглашающихся со статусом "нубики онли",
//но думаю что правило таксиста "ДДД",сработает наверняка.
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Видеокурс ВЗЛОМ