Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 17 сентября 2007 10:09 New!
Цитата · Личное сообщение · #2

Maximus
В БСОД?? В файндере от юзара нет даже драйвера, откуда там синяк может взяццо то... Очень сомнительно, что виноват файндер... Что делаешь то, что такой казус?


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 17 сентября 2007 10:29 New!
Цитата · Личное сообщение · #3

Archer у мну не синяк, у мну просто экран тухнет и все, больше ничего не происходит.

Archer пишет: Что делаешь то, что такой казус?
Система XP2 со всеми обновлениями.

Открываю в QU жертву, жму найти ОЕП по UsAr показывет ЕП сначала, жму Далее, и потом шмяк, экран тухнет и тишина....
Причем пробовал сразу после перезагрузки...


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 17 сентября 2007 10:40 New!
Цитата · Личное сообщение · #4

Maximus
А ты уверен, что это не прога делает, обнаружив отладку? Я скажу Юзару, но вряд ли дело в файндере...


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 17 сентября 2007 10:49 New!
Цитата · Личное сообщение · #5

Archer а у меня не только с этой прогой так, со всеми (((...
Пусть пишет мне, я постраюсь дать все что нужно будет для отладки...


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 18 сентября 2007 12:57 New!
Цитата · Личное сообщение · #6

Спасибо UsAr и Archer, разобрались в моей проблеме.
У мну финдер не работал из-за антикейлогера, удалил, все стало работать...


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 8 октября 2007 00:56 · Поправил: Bronco New!
Цитата · Личное сообщение · #7

Archer
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
Вау...вкуснятина какая...
//Дождались всё таки,но пока зависаем..
[+] добавлены некоторые возможности. например, возможность установить конец модуля при трассировке функций импорта
А вот с этой опциеей непонятно,как и для чего?
//ReadMe как обычно - читал...


Ранг: 72.5 (постоянный)
Статус: Участник

Создано: 8 октября 2007 03:28 New!
Цитата · Личное сообщение · #8

Бля у меня вообщем нескачивает этот QUnpar 2.0 final пишет сайта такого несуществует перезалейте ктонибудь на другой сайт пожалйста


Ранг: 72.5 (постоянный)
Статус: Участник

Создано: 8 октября 2007 03:44 New!
Цитата · Личное сообщение · #9

всё скачал наконецто блин на офф. сайт зайти по прежнему немогу пишет такой страницы нету что делать незнаю


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 8 октября 2007 09:42 New!
Цитата · Личное сообщение · #10

Stars
qunpack.ahteam.org У меня всё норм заходит, хотя иногда сайтег и ложиццо, может и такое быть.
Bronco
Ты почто новые фичи палишь, народ сейчас губу раскатает, а я ещё не знаю, когда это релизну. Конец модуля нужен вот для чего. Когда идёт трассировка импорта и находится обращение, похожее на импорт, идёт проверка, вдруг это обращение в сам модуль (какая-то своя функа), тогда считаеццо, что не импорт. Но видел прот, где идёт перенаправление в последнюю секцию, в этом случае надо выставлять конец модуля руками, чтобы эта последняя секция не попала в него. Это только для трассировки импорта юзаеццо.


Ранг: 72.5 (постоянный)
Статус: Участник

Создано: 9 октября 2007 00:38 New!
Цитата · Личное сообщение · #11

Archer всё я скачал с горем пополам но чтото сайт иногда неоткрывается толи у меня провайдер глючит толи другое здесь не вкурсах а так прога хороша только русского нету , а так друзья в моём городе меня просят чтоб я перевёл им я им перевёл её им тоже понравилась надо тебе как то обдумать сделать её на разные языки.


Ранг: 500.5 (!)
Статус: Участник

Создано: 9 октября 2007 07:07 New!
Цитата · Личное сообщение · #12

Archer
А эта совсем новая версия, или та, которую ты выкладывал c месяц назад ?


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 9 октября 2007 12:00 New!
Цитата · Личное сообщение · #13

Stars
В принципе там в основном на диалогах и ресторатором несложно переделать. Переводить всю прогу реально лень. Мну едва себя пересиливает, валяя ридми и справку по скриптам на 2 языках. Пусть лучше инглиш учат, без него в ревёрсинге делать нечего.
Smon
Ну Бронко палит новую версию, которая где-то раз в неделю для бетатестеров выкладываеццо по приватному линку.


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 9 октября 2007 20:20 · Поправил: Bronco New!
Цитата · Личное сообщение · #14

Archer пишет:
Бронко палит новую версию

Броночко, искренне рад за развитие проекта.
_http://www.realmusic.ru/play/file/hifi/0/193781/ysaty_nyan_193781.mp3
//По личкам неохото радость обсуждать.
Выходит что не палю,а пиарю потихоньку,чтоб топ не замирал,чтоб слюньки потекли
###########
А можно Import RVA вынести в форму [Import table]?
//После трасировки будет понятнее что вписывать в эдит.
Да и по сути плясать можно от последней функи,ну типа мож прога хай сама считает?
Я так понял,что rva без imagebase надо вписывать,хотя ОЕР с ним считается.


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 9 октября 2007 20:44 · Поправил: depler New!
Цитата · Личное сообщение · #15

Archer
предлагаю добавить в QUnpack функции защиты самого себя (как phantom плагин для olly)
Yoda Protector например останавливает процесс (потоки), так что dump пролетает мимо; некоторые проты QUnpack ввобще отрубают или отказываются запускаться. Вывод - неплохо было бы скрытие процесса и окон, на уровне драйвера естессна.



Вод, попробуй распаковать QUnpack'ом http://webfile.ru/1551942


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 9 октября 2007 22:00 New!
Цитата · Личное сообщение · #16

Bronco пишет:
Import RVA вынести в форму [Import table]

Можно, а вот только нужно ли? ОК, вынесу. Не, прога не считает, самому надо тыкнуть, а то вдруг не туда напихаед.
RVA-по определению без imagebase.
depler
Насчёт нычки возлагаю надежды на новое двигло, только вот встал как-то тот проект, поэтому хз, чо там будет. В принципе фантом пишу тож я, так что портировать не долго, но пока подожду, не буду дёргаццо и лишнее гонять. Ну а что можно убить QU-тут убеждать не надо, верю на слово, ибо защиты нету.


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 10 октября 2007 01:32 New!
Цитата · Личное сообщение · #17

Archer

А не планируешь от дров отказаться в пользу юзер-моде висты?

PS: кстати не в курсе как загружать DLL от администратора с запросом прав? (как это доктор веп делает)
То есть смысл сделать LoadLibrary с UAC запросом на админа из запущенной не из под админа проги.


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 10 октября 2007 09:07 New!
Цитата · Личное сообщение · #18

GPcH
Не, от дроф отказаццо не желаю. Дебажить в юзер-моде-по-любому аццкое палево, что все дыры там не перекроешь. А если постараццо получше-будет слишком медленно. Это дикое извращение, не буду так, пожалуй.
Насчёт загрузки длл-без понятия, ибо не игрался практически с вистой. Если веб так делает-может, есть смысл его подебажить.


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 10 октября 2007 16:59 New!
Цитата · Личное сообщение · #19

Archer пишет:
Насчёт загрузки длл-без понятия, ибо не игрался практически с вистой.


Да ужас - мне приходится щас под этой системой постоянно работать.
Хочешь не хочешь а приходится разбираться с тонкостями этого UAC.

Archer пишет:
Если веб так делает-может, есть смысл его подебажить.


Чет както ломает Думал мож кто это знает без дебага


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 11 октября 2007 19:03 · Поправил: FEUERRADER New!
Цитата · Личное сообщение · #20

GPcH
Если uac отключить, то чисто визуально QU работает как в ХР
Я думаю все этот uac отключают или нет?


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 11 октября 2007 19:23 New!
Цитата · Личное сообщение · #21

FEUERRADER пишет:
Если uac отключить, то чисто визуально QU работает как в ХР


UAC это часть системы. Его нельзя отключать. Его отключить - равносильно что под админом работать и все приходящие трояны запускать.


Ранг: 756.2 (! !)
Статус: Участник
Student

Создано: 11 октября 2007 22:50 New!
Цитата · Личное сообщение · #22

А что значит Protection Error (Error: 85) при использовании QU?
И как с этим бороться?


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 11 октября 2007 22:51 New!
Цитата · Личное сообщение · #23

Isaev ты там аспр что ли пытаешься распаковать?


Ранг: 756.2 (! !)
Статус: Участник
Student

Создано: 11 октября 2007 23:26 New!
Цитата · Личное сообщение · #24

дяяя... А что это только на аспре наблюдается?

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 12 октября 2007 00:12 New!
Цитата · Личное сообщение · #25

Isaev пишет:
А что это только на аспре наблюдается?

ога. аспр в QU онпакать жесть %)


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 12 октября 2007 00:37 · Поправил: GPcH New!
Цитата · Личное сообщение · #26

Isaev пишет:
А что значит Protection Error (Error: 85)


Ошибка нахождения отладчика аспра - юзай стриппер 2.14

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 12 октября 2007 02:44 New!
Цитата · Личное сообщение · #27

GPcH пишет:
юзай стриппер 2.14

дай линк


Ранг: 2008.8 (!!!!)
Статус: Модератор
retired

Создано: 12 октября 2007 08:35 New!
Цитата · Личное сообщение · #28

DIMAIN
Нету его на паблике. Анпак аспра по мылу, может, поможет. Ну или руками. Пока QU не возьмёт аспр последних версий.

Ранг: 117.1 (ветеран)
Статус: Участник

Создано: 12 октября 2007 09:32 New!
Цитата · Личное сообщение · #29

GPcH пишет:
Его отключить - равносильно что под админом работать и все приходящие трояны запускать.


Это из-под учетки "Пользователя" то? А вы что сидите под админом? UAC отключают все, кто решается работать на висте, потому что это "смеркалось" надоедает очень быстро.


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 12 октября 2007 10:41 New!
Цитата · Личное сообщение · #30

насчет смеркалось это правда после установки висты только дряни отрубать приходится иначе невозможно работать

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 12 октября 2007 11:12 New!
Цитата · Личное сообщение · #31

Archer пишет:
Нету его на паблике

да я знаю, да тут товарисчь пишет, возьми, а линк замылил кудато
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Видеокурс ВЗЛОМ