Русский / Russian English / Английский

Сейчас на форуме: Zaxar90800, yashechka, galenkane, spinz (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/


Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 13 сентября 2007 21:19 New!
Цитата · Личное сообщение · #2

Archer
Значит я был не в теме =)
Ну мот сделаешь авто-оепфайндер, чтобы когда прогу открываешь, автоматом оеп находился?


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 13 сентября 2007 21:34 New!
Цитата · Личное сообщение · #3

UsAr пишет:
может где-то и не будет работать

Всё в норме,ща даже шустрей стал.
###############
Archer
Раз не справшивают,значит все в курсах,а я чо то пропустил.
С чем это:
[-]-Load libraries only едят?


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 13 сентября 2007 21:50 New!
Цитата · Личное сообщение · #4

Bronco
Товарищ, оно же неактивно, ещё раз отправить ридми читать, что такой любопытный На самом деле эта опция всегда выключена и включить её нельзя, она не восстанавливает импорт, а просто берёт список либ и пишет по 1 фейковой функи из либы, чтобы при старте приложения нужные либы просто загрузились. Накой это надо? А вот, например, прот настолько жутко изгадил импорт, что даже трейсер не берёт, я тогда беру под шумок и юзаю эту опцию (активирую её по-хитрому), тогда будет работать не на всех машинах, а хотя бы на моей, пока патч от мелкомягких не испортит импорт. Лучше, чем ничего. И предполагалось, что будет это работать в связке с менеджером памяти, который тоже закончен, но пока приватный В общем, с 2 этими опциями я теоретически могу надрать вообще любой аспр (практически не пробовал ещё).

Ранг: 193.8 (ветеран)
Статус: Участник

Создано: 13 сентября 2007 22:18 New!
Цитата · Личное сообщение · #5

Archer опять тупой вопрос.А у тебя нет в планах добавить поддержку более серьёзных протов.Я не говорю про поддержку скриптов и нахождения ОЕП вручную,а говорю про снятие полностью автоматом.Ну как упх,загрузил,нажал кнопку и всё.Или ты всё-таки позиционируешь QuickUnpack,как распаковщик именно лёгких и неизвестных пакеров?
И ещё:
Archer пишет:
И предполагалось, что будет это работать в связке с менеджером памяти, который тоже закончен, но пока приватный

Ну и собственно возникает вопрос:пока приватный или скорее всего так и останется приватным?


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 13 сентября 2007 22:26 New!
Цитата · Личное сообщение · #6

Archer пишет:
В общем, с 2 этими опциями я теоретически могу надрать вообще любой аспр

Мама не горюй,там помимо Enabled=по хитрому ,есть ещё visible=по приватному.
А аспр считай уже не горизонт,гепотетически надо брать выше.
Как дампер/импрек он рвёт все,жаль приатачить в сырую вм пока нельзя(хотя по скрипту я так понял можно).
А ридми....да оно уже всё в дырках,от чтения


Ранг: 107.2 (ветеран)
Статус: Участник

Создано: 14 сентября 2007 13:24 New!
Цитата · Личное сообщение · #7

а что за девушка изображена на иконке?


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 14 сентября 2007 17:46 New!
Цитата · Личное сообщение · #8

Djeck
Ну, имхо, восстановителя импорта существующего для протов вполне хватает и в основном там загвоздка в ОЕП и прохождении до него. А для этого есть скрипты. В любом случае я ещё расширю скрипты, чтобы была возможность импортные функции тоже через скрипты искать и добавлять в импорт. Да что до всего доберёмся ещё.
Насчёт менеджера памяти, пока он ещё плохо оттестирован, но может и останеццо приватным, ибо не хочу вечно играццо с авторами разных говнопротов. А они уже вполне могут обратить внимание на проект, если уже не обратили.
Magister Yoda
Про девушку спроси у Фуера, в ридмишке ж написано, что иконка его, он, наверн, их в студии снимает.

Ранг: 63.1 (постоянный)
Статус: Участник

Создано: 14 сентября 2007 20:37 New!
Цитата · Личное сообщение · #9

Archer пишет:
Про девушку спроси у Фуера, в ридмишке ж написано, что иконка его, он, наверн, их в студии снимает.

Пусть в комлекте штук 30 приложет. В полный рост.


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 14 сентября 2007 22:25 New!
Цитата · Личное сообщение · #10

Sey пишет:
Пусть в комлекте штук 30 приложет. В полный рост.


Зайди сюда: www.askjolene.com - там таких много, без баннеров, с предпросмотром и без троянов.

Archer

Как скоро релиз новой версии?


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 15 сентября 2007 01:40 New!
Цитата · Личное сообщение · #11

Можно добавить PELock,в список "грелок".
//Ох и лютый релиз QU получился.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2007 05:23 New!
Цитата · Личное сообщение · #12

Bronco пишет:
Можно добавить PELock,в список "грелок"

Хм.. Ну импорт он возможно и восстановит, оеп PELock не ворует нормально ;) будем считать что тож справиться ;) А вот редирект кода и перемещение инит тейбл делфи ?


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 15 сентября 2007 09:32 New!
Цитата · Личное сообщение · #13

pavka
Бестолковость - это мультиЭкстрактор(2.00а),накрыт PELock,файдер usar рулит,с опциями форсемод+трасировка импорта,QU его ...
вообщем как грелку..

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2007 11:19 New!
Цитата · Личное сообщение · #14

Bronco пишет:
Бестолковость - это мультиЭкстрактор(2.00а),накрыт PELock,файдер usar рулит,с опциями форсемод+трасировка импорта,QU его ...
вообщем как грелку..

Я разубеждать тебя не буду ..Оеп и импорт в пелоке не самые сложные опции .. да и по мультиЭкстрактору я снимал его раз пять там редирект кода в память 009XXXXX чет типа того Да и часть кода там покриптована ;)
Archer пишет:
восстановителя импорта существующего для протов вполне хватает

Хм.. Не понимаю смысла этои фразы .. для какаих протов? По определению он должен сейчас распаковывать проты на сырках Yoda, NT Kernel , StProtector PeQuake PeArmor ... но увы


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 15 сентября 2007 13:09 New!
Цитата · Личное сообщение · #15

pavka пишет:
Я разубеждать тебя не буду

В смысле того,что у тебя МультиЭкстрактор вообще что-то извлекает?
Хотя насчёт прота ты всё таки прав,похоже это частный случай,когда QU его порвал.
Но импорт трасирует на ура,я так посмотрел по скриптам выложеным в топе,getwindowstexta они чо то не находят,хотя там и глядя на табличку сообразить не сложно по этой функе.
pavka пишет:
часть кода там покриптована

Значит покриптованна всё таки?


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 15 сентября 2007 13:22 New!
Цитата · Личное сообщение · #16

GPcH
Про релиз именно финальной версии даже не знаю, сложно сказать чо-то определённое, ибо пока особо не делал и не решил для себя, что сделаю вот это и это и тогда финал. Ориентировочно новый год, но плавать может вплоть до пары месяцев туда-сюда.
pavka
Инит тейбл дельфи пока действительно нету кода для её восстановления, ибо ни разу как-то не встречал, чтоб надо было её ребилдить после QU. SDProtector вообще с 2 процессами, тут отдельная тема. А какой-нить PEArmor, для импорта действительно, имхо, QU должно хватить. Скорее всего он запарывается (если реально запарывается), на проходе до ОЕП. С йодой-вполне можно юзать ОЕП-файндер хумана, детачится им и аттачится QU.


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 15 сентября 2007 13:45 New!
Цитата · Личное сообщение · #17

Archer пишет:
Ориентировочно новый год


Намек понял

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2007 14:48 New!
Цитата · Личное сообщение · #18

Archer пишет:
ибо ни разу как-то не встречал, чтоб надо было её ребилдить после QU

Любое запротекченое пелоком делфи посмотри анпаки Smona к примеру Да и с импортом не все так просто иногда сделать табличку это децл от того что нужно сделать еще что бы ее можно было пользовать ;)


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 15 сентября 2007 16:19 New!
Цитата · Личное сообщение · #19

pavka
Желательно ссыль, если есть под рукой на чо-нить, где с импортом заморочки и табличкой инициализации. Вполне вероятно, что восстановление таблицы инициализации и прикручу.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2007 17:22 New!
Цитата · Личное сообщение · #20

Вот китайцы просили снять пелок
rapidshare.com/files/55909906/Paked.Keygen.Xilisoft.DVD.Audio.Ripper.4.0.77.build.0601.NEW.by.TheConductor.rar
и вот к примеру посмотри по импорту если что там есть скрипты
rapidshare.com/files/50513858/Pe123___Pe_Cancer_fix_imp.rar


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 15 сентября 2007 20:04 New!
Цитата · Личное сообщение · #21

pavka
ПЕЛок от кетайчегов у мну отказался пахать. Может потому что сайс заинсталлен, но не запущен, хз.
А вот с импортом ещё переходники надо хандлить, не только call []/jmp [], но также и call/jmp. Думаю, что вполне это реализую.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 16 сентября 2007 00:45 New!
Цитата · Личное сообщение · #22

В звязке с ольгой унпачит,при унпаке в QU,дамп не стартует.
Вроде какой то мод upx.

{ Атач доступен только для участников форума } - test.rar

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 16 сентября 2007 04:35 New!
Цитата · Личное сообщение · #23

Archer пишет:
Может потому что сайс заинсталлен, но не запущен

Сайс тож заинстален дело не в сайсе .
Попробуй из этого топика Там правда демкой запротекчено без редиректа, но табличка перемещена
http://exelab.ru/f/index.php?action=vthread&forum=10&topic=9907[i]Ar cher пишет:
А вот с импортом ещё переходники надо хандлить, не только call []/jmp [], но также и call/jmp. Думаю, что вполне это реализую.
Можешь посмотреть SoftWrap 6..7


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 16 сентября 2007 09:51 New!
Цитата · Личное сообщение · #24

Bronco
Там несколько функций импорта хитро хардкодяццо по коды проги. Так что после анпака в ольке скорее всего на другой ОС не запашет, ибо импорт не весь на месте. Можно там, конечно, извернуццо и сделать финт ушами, но я забью, пожалуй на этот ехе, ибо защита там руками доведена, походу.
pavka
Этот пелок тоже в том же месте норовит упать, может ВМварь не нравиццо ему.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 16 сентября 2007 16:17 New!
Цитата · Личное сообщение · #25

При неактивированной опции форсемоде,вылазит окно декриптора ошибки.
//snd прикольно так оформил всё.и гиф, и музон,и асмлистинг.

{ Атач доступен только для участников форума } - test.rar


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 16 сентября 2007 16:23 New!
Цитата · Личное сообщение · #26

pavka пишет:
и вот к примеру

Это что за зверушка пе123?
//музычку с каким расширением рипать?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 16 сентября 2007 16:34 New!
Цитата · Личное сообщение · #27

Bronco пишет:
Это что за зверушка пе123?

Простеньнький китайский прот;)


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 16 сентября 2007 17:34 New!
Цитата · Личное сообщение · #28

Bronco
А у мну на последней версии всё норм. =/


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 16 сентября 2007 17:52 · Поправил: Bronco New!
Цитата · Личное сообщение · #29

Archer
Я на паблик-релизе унпачил
//если ссыль таже,проверю обязательно.
pavka пишет:
Простеньнький

Дамп_ ,без оригинала в том же каталоге, не стартует.
Точнее стартует,но после ShellExecute(кажется так),идёт цикл,после которого jmp eax= FatalExit(век живи,век удивляйся,я такую функу первый раз вижу).
#########
[добавил]
Тоже самое.Попробуй с этими опциями:
[-]-Use force unpacking
[+]-Smart method
[+]-Cut last sections && rebuild resources
-----------------
18:12:56 - Target loaded at 0x00400000
18:12:56 - EntryPoint: 0040108B
18:12:56 - OEP: 0040108B
18:12:56 - Breaked at 0040108B
18:12:56 - Dumping...
18:12:56 - Done
18:12:56 - вылазит окно ошибки!


Ранг: 2006.1 (!!!!)
Статус: Модератор
retired

Создано: 16 сентября 2007 20:04 New!
Цитата · Личное сообщение · #30

Bronco
Вот если секции резать-реально косяк, будет поправлено.


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 17 сентября 2007 08:57 New!
Цитата · Личное сообщение · #31

Archer
Добавь в списке:
Protection Plus 4.x -> Concept Software

У меня стабильно уходит в БСОД при попытке найти второй вариант ОЕП финдером от UsAr.
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Видеокурс ВЗЛОМ