eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 28 января!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 27 . 28 . 29 . 30 . 31 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/


Ранг: 1096.7 (!!!!)
Статус: Участник

Создано: 25 сентября 2018 16:40 New!
Цитата · Личное сообщение · #2



Ранг: 112.0 (ветеран)
Статус: Участник

Создано: 25 сентября 2018 19:29 New!
Цитата · Личное сообщение · #3

difexacaw
Да ты даже это обосрался правильно представить. Зачем мне этот хлам с тоннами сисколов в логе, еще и месаджбоксов напихал, чтоб еще мусора в логе было от сисколов шадова, когда задача в треде была озвучена предельно четко? Визор визор, что за визор. Я уж подумал имеется в виду гипервизор аля hyperplatform, а тут очередной твой извращенный термин. Я тебя поздравил - xed ты освоил, молодец че) А теперь расскажи сколько потребуется доработки чтобы эти логи высирались на любом ехе который я хочу посмотреть. Или там будет как с идп - допиливание под каждый конкретный кейс? Открой для себя уже консоль венды потому что смотреть это в дебагерах уже запарило. В общем негодно инде, неправославно и по аверски.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 25 сентября 2018 20:01 New!
Цитата · Личное сообщение · #4

difexacaw пишет:
Вот собрал пример

Ух ты.. Софтинка.
Только я не понял зачем 1.5 Мб на то, чтоб три раза сказать "zzzzz". Ну жужжать умеет, отлично.
Я даже в параметрах передавал разные файлы, одна холера, жужжит и всё. Что делать то должна?

Не пинайте меня, я тупенький. Мне и жужжалка пригодится.. ..тёмными зимними вечерами.


Ранг: 137.3 (ветеран)
Статус: Участник

Создано: 25 сентября 2018 20:48 New!
Цитата · Личное сообщение · #5

hypn0 пишет:
Только я не понял зачем 1.5 Мб на то, чтоб три раза сказать "zzzzz".

Это на то, чтобы самому дизассемблер длин и дизассемблер нескольких инструкций не делать.

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 25 сентября 2018 21:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #6

cppasm

> Что оно там внутри ещё делает никому нафиг не интересно - практической пользы ноль.

Практической пользы и не должно быть, это пример, POC. Ответ на вопросы выше, почитайте. Есть производитель и потребитель. Производитель реализует идеи для потребителя в законченном продукте. Потребителя не волнует как и что делал производитель и начинка его тоже не волнует. В данном случае все кто ответил сегодня - потребители. После обсуждения методов трека тск и тп. начали искать в примере какой то софт и практическую пользу, а не теоретическую. У вас там походу с понималкой напряг

> Если можно запустить процесс под отладкой, включить сингл стэп и в обработчике анализировать опкоды.

И реализовать трассировку в ядре, ибо юзер не пригодна ни для каких целей, только лишь для ручной отладки.

f13nd

> "дробить по инструкциями перехода" нету

А какая в принципе разница и проблема посчитать общую длину всех инструкций до ветвления.

> Помнится шеллшторм выкладывал полторы строчки на си

Ну покажи как это делается за пару строчек. Уже бы сделал, небось скила маловато.

hypn0

> Ух ты.. Софтинка.
Только я не понял зачем 1.5 Мб на то, чтоб три раза сказать "zzzzz".

Читать выше. Где вы нашли что это какой то софт.

Gideon Vi

Файл, который запускается --> Link <--. Добавил системную обработку. Олли кстате под ним работает, но очень медленно. Летать будет если пакетную обработку добавить.


Ранг: 137.3 (ветеран)
Статус: Участник

Создано: 25 сентября 2018 21:45 · Поправил: f13nd New!
Цитата · Личное сообщение · #7

difexacaw пишет:
Ну покажи как это делается за пару строчек. Уже бы сделал, небось скила маловато.

Не "пару строчек", а "полторы", это фигура речи. Показано было вот здесь --> Link <--, тебе напомнить твое мнение и твое видение тогда, как это должно работать? Вот --> Link <-- Щас ты наконец-то снизошел до того, чтоб показать о чем стучал пяткой в грудь и уверял, что можешь реализовать и вываливаешь это. Немая сцена, занавес.

Насчет "показать", мне не 15 лет и нету столько времени, чтоб браться за что-то, просто чтоб кому-то что-то доказать. Мне эти зиродей-технологии пока ни разу не были нужны и вряд ли понадобятся.

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 25 сентября 2018 21:53 New!
Цитата · Личное сообщение · #8

f13nd

Ты что то путаешь дружок. У вас по ссылке блочная сборка, я это давно пилю и не закончил. А данный пример я за выходные почти с нуля собрал, так интереса ради. Потому что все прошлые сборки очень большие и много лишнего содержат, не годятся как пример.


Ранг: 137.3 (ветеран)
Статус: Участник

Создано: 25 сентября 2018 22:00 · Поправил: f13nd New!
Цитата · Личное сообщение · #9

difexacaw пишет:
У вас по ссылке блочная сборка

difexacaw пишет:
А какая в принципе разница и проблема посчитать общую длину всех инструкций до ветвления.



Короче нас наеобманули, расходимся.

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 25 сентября 2018 22:09 New!
Цитата · Личное сообщение · #10

f13nd

В чём именно обман. По мойму только в твоём возрасте, больше не в чём.

Ранг: 218.8 (наставник)
Статус: Участник

Создано: 25 сентября 2018 23:20 · Поправил: cppasm New!
Цитата · Личное сообщение · #11

difexacaw пишет:
Практической пользы и не должно быть, это пример, POC.
//...
После обсуждения методов трека тск и тп. начали искать в примере какой то софт и практическую пользу, а не теоретическую. У вас там походу с понималкой напряг


У кого тут напряг с понималкой всем кроме тебя давно ясно.
Когда хотят показать как что-то работает - выкладывают исходники.
Нафиг кому упало разбирать твою поделку, если ты сам не удосужился нормально продемонстрировать что она вообще работает.


Ранг: 137.3 (ветеран)
Статус: Участник

Создано: 26 сентября 2018 04:06 · Поправил: f13nd New!
Цитата · Личное сообщение · #12

cppasm пишет:
Когда хотят показать как что-то работает - выкладывают исходники.

Да не, так тоже было бы норм. Просто от него ждали не этого примера. Когда человек любую тему способен свести к своему "визору", который снимает порчу и лечит энурез, даже вон поставку пиваса готовы наладить, лишь бы показал уже что это страшилище может существовать и даже работать. А выкатывает то, что и без него было понятно, что работает. Завтра будет уверять, что клерковизор-таки готов, но вы барыги-коммерсы и жаждете практической пользы. Почтальона Печкина с его ящиком напоминает.

| Сообщение посчитали полезным: sefkrd


Ранг: 266.3 (наставник)
Статус: Участник

Создано: 26 сентября 2018 05:49 · Поправил: difexacaw New!
Цитата · Личное сообщение · #13

cppasm

>Когда хотят показать как что-то работает - выкладывают исходники.

С чего бы вдруг. Копипаст не есть хорошо.

> не удосужился нормально продемонстрировать что она вообще работает.

Я показал что оно работает, все юзер события мониторятся. Сделав это через дебагпринты(вывод) рациональным путём(прямое исполнение) за несколько дней без всяких извратов с ядром и эмуляторами.

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 30 сентября 2018 20:09 · Поправил: difexacaw New!
Цитата · Личное сообщение · #14

Gideon Vi

Где же мой обещанный пивас ?

Немного допилил семпл, работает на многих апп, которые не обрабатывают сложным путём исключения, тоесть без них - абсолютная стабильность. Гуглохром запускался, хотя не уверен что в этом билде запустится - он тоже фолты тягает, работоспособность зависит от опций. Темида под этим запускается без проблем, privexeprot тоже. Обсидиум падает из за какой то ошибки, я её не смог пока резолвить(контекст двойной и найти ошибку довольно сложно), там что то запутанное с обработкой фолтов, но это не сам прот делает, а баг в движке, что то не корректно обрабатывается. Можите любое приложение запустить и посмотреть.



--> Link <--

| Сообщение посчитали полезным: Orlyonok



Ранг: 1096.7 (!!!!)
Статус: Участник

Создано: 1 октября 2018 05:30 New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Где же мой обещанный пивас ?


я заднюю не давал, poc есть, в твоём стиле, но есть Даже лучше, чем обычно. Шли координаты
Я, правда, ожидал чего-нибудь действительно интересного, но это мои половые трудности

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 1 ноября 2018 20:07 New!
Цитата · Личное сообщение · #16

Gideon Vi

Я за некоторое время допилил двиг до стабильного состояния, тоесть он запускается под каждым апп и под любым пакером(особый гемор был с obsidium, он использует ESP как регистр GPR). Изначально я планировал определить EP, но задача оказалась не решаемой пока.

Но любое событие и активность апп можно получить простым путём. Вот текущие сурки кому интересно --> Link <--

Там решена куча системных задач, это поможет очень тому, кто захочет это повторить.

| Сообщение посчитали полезным: Gideon Vi, Jupiter, ClockMan, hors, 4kusNick, mak, daFix



Ранг: 577.9 (!)
Статус: Модератор
Research & Development

Создано: 2 ноября 2018 01:07 New!
Цитата · Личное сообщение · #17

difexacaw
Что означает "+" в комментариях к функции?

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 2 ноября 2018 13:34 New!
Цитата · Личное сообщение · #18

Jupiter

Значит что отлажено, тоесть не нуждается в отладке.


Ранг: 1972.5 (!!!!)
Статус: Модератор
retired

Создано: 18 ноября 2018 18:38 New!
Цитата · Личное сообщение · #19

Теперь полные исходники драйвера на аппаратной виртуализации VMX на Intel. Он основан не на перехвате IDT, как прошлый драйвер, а на аппаратной виртуализации. Собирался VS2008+WDK 7. Как и прошлый драйвер, этот x86+x64.
Лицензия-используйте как хотите и где хотите, но укажите автора.

{ Атач доступен только для участников форума } - engine_vmx.rar

| Сообщение посчитали полезным: difexacaw, HandMill, 4kusNick, Jupiter, ClockMan, SReg, mak, sendersu, MarcElBichon, WildGoblin


Ранг: 266.3 (наставник)
Статус: Участник

Создано: 18 ноября 2018 18:56 New!
Цитата · Личное сообщение · #20

Archer

Тяжелые сурки, но главное что мод даже не кернел, а вовсе -1. Зачем это нужно такое, все эти задачи успешно решаются в юм. Ваше решение использовать фактически не реально


Ранг: 996.3 (! ! !)
Статус: Участник

Создано: 18 ноября 2018 19:06 New!
Цитата · Личное сообщение · #21

критикуя предлагай

клерк тебе +10500 раз говорили - сделай готовую тулзу,
хотя бы на основе того же Quick Unpack только на своем двиге

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 18 ноября 2018 19:14 New!
Цитата · Личное сообщение · #22

reversecode

А у меня рабочее и готовое к решению любой задачи, ну из тех что решить на данный момент в принципе возможно. Не решена задача по наследованию указателей, но эта задача полный оверхед, на это нужны огромные обьёмы памяти. Для иных любых целей лучшего решения чем юзер визор быть не может.

В апп интеграция монитора, работающего в ином моде невозможна. А если монитор и апп не слиты воедино, то будет утеря части событий, весьма важной.

А трогать драйвера лишний раз не стоит. Если есть более простой путь. Обычно проблема даже такое разобрать, не говоря уже про кернел виртуализацию.

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 19 ноября 2018 08:22 New!
Цитата · Личное сообщение · #23

более простой путь это как раз виртуализация, а не дрочево с асм кодами, сам подход кривой

Ранг: 266.3 (наставник)
Статус: Участник

Создано: 19 ноября 2018 19:10 · Поправил: difexacaw New!
Цитата · Личное сообщение · #24

SegFault

Арчи мотор собран масмом. Так что это ты не подумав как всегда утверждаешь. Каждый выбирает подходящий ему яп. Как кто то говорил от масма с его макро остались лишь названия регистров..

Подход верный. Не правильный - использовать иной мод.

Так все эти решения по протекторам, то же самое что и задачи виксов, просто в последних куда сложнее. Если для протектора нужно лишь любым колхозным способом затруднить анализ, в крипторах иначе - там чёткие задачи поставлены. Никакой уровень авера обнаружить ничего не должен, в самом предельном случае должен блокироваться сканер памяти. Это довольно сложное решение относительно протекторов, совершенно из иной области и по уровню.

Инструменты, нормальные должы работать в том же режиме, что и их обрабатываемый код. В противном случае обработка станет невозможной, как это было с ав виртуальными машинами из за изоляции мода, кстате после этого уже никто не обсуждает нигде ав вм, так как это смысла не имеет. Из за изоляции выборки данных, данное событие теряется в ином режиме и так реализуется анклав(вм машина теряет данные и прекращается, кернел сканер получает N/A).

Ну а далее никаких преимуществ вмх не имеет, одни лишь проблемы:

- огромная матчасть, изучение которой, отладка и попытка реализации очень сложна. Так как это всё ядерное, мало что теорию нужно годами изучать, а есчо это нужно ровно реализовать и отладить.

- не интегрируемо в апп. Для запуска нужно задействовать всю систему.

- изоляция данных апп. Для этого нужно решить кучу системных задачь, из за разницы в моде это нельзя сделать просто, это приводит к куче ядерных решений для элементарных задач.

- детект по факту виртуализации.

- абсолютно не портируемо никуда и не совместимо с железом, не поддерживающим виртуализацию.

- новые билды нт поддерживают виртуализацию, это как пример показал Ionescu.

- не возможно использовать на уровне сборки, так как для этого нужно знать теорию и механизмы вмх.


Ранг: 1972.5 (!!!!)
Статус: Модератор
retired

Создано: 18 декабря 2018 17:29 New!
Цитата · Личное сообщение · #25

Теперь полные исходники драйвера на аппаратной виртуализации SVM на AMD. Он основан не на перехвате IDT, как первый драйвер, а на аппаратной виртуализации, как прошлый драйвер для Intel. Собирался VS2008+WDK 7. Как и прошлые драйверы, этот x86+x64.
Лицензия-используйте как хотите и где хотите, но укажите автора.

{ Атач доступен только для участников форума } - engine_svm.rar

| Сообщение посчитали полезным: HandMill, oooirbis, MarcElBichon, Gideon Vi, dosprog, Alchemistry, plutos, Dart Raiden


Ранг: 266.3 (наставник)
Статус: Участник

Создано: 19 декабря 2018 18:08 New!
Цитата · Личное сообщение · #26

Archer

--> Link <--

| Сообщение посчитали полезным: wacaxefid


Ранг: -0.3 (нарушитель)
Статус: Участник

Создано: 19 декабря 2018 18:40 New!
Цитата · Личное сообщение · #27

difexacaw, согласен

| Сообщение посчитали полезным: kulerk


Ранг: 266.3 (наставник)
Статус: Участник

Создано: 19 декабря 2018 19:02 · Поправил: difexacaw New!
Цитата · Личное сообщение · #28

wacaxefid

Странно что вновь зарегавшийся(троль перевернувший ник) соглашается, ваше мнение значения не имеет ведь

По факту просто получается - что бы заюзать какой то гпв инструмент нужно апдейтить ось. Но тогда нет смысла в инструментах, если это штатный апи нового ос билда, а в версии при апдейте разницы нет

Накой чёрт нужны драйвера, если это саппортит ось и ионеску через её интерфейсы собрал визор малого размера. Я деталями не интересовался(мне не интересен гпв).

Ранг: 0.5 (гость)
Статус: Участник

Создано: 20 декабря 2018 00:44 New!
Цитата · Личное сообщение · #29

я думаю стоить попробовать интегрировать сорцы дровины в один из предыдцщих моторов (DUPA или AVVM)


Ранг: 112.0 (ветеран)
Статус: Участник

Создано: 20 декабря 2018 06:24 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #30

difexacaw пишет:
Накой чёрт нужны драйвера, если это саппортит ось


Windows 10 Spring Update (1803)

Хотя бы на тот что вендоус 10 не нужен. Как и твой пост не по теме.

Ранг: 2.1 (гость)
Статус: Участник

Создано: 20 декабря 2018 18:30 New!
Цитата · Личное сообщение · #31

Пожалуйста подскажите как надо сделать quick unpack работать с 64бит драйвер. Только vmx запускается на 64битная ос но Quick unpack его не видит ошибка Invalid handle. Если изменит \device и \dosdevice на \device\qunpack0 и \dosdevice\qunpack0 и скомпилирую драйвер не запускается? Как надо изменит хандле чтобы получится?
<< 1 ... 27 . 28 . 29 . 30 . 31 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS