ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

deepred, Hellspawn, etc - не только у вас проблема с синим экранчиком. процесс остается в памяти только после второй ! некорректной распаковки. выход: после первой неудачной распаковки закрывать qunpack, открыть вновь и пробовать снова. или рискнуть, но если вторая попытка будет неудачной, то процесс останется в памяти, тогда его лучше совсем не трогать, хотя при рестарте винды она все ж упадет.

ИМХО пока самая стабильная - v0.7

На самом деле у меня и после первой же попытки прога вроде как распаковывается, но процесс остаётся висеть, а дальше система помирает при убийстве процесса. Связано это с драйвером, я поговорю с автором проги, может получится решить эту проблему...

Ну что сказать, пока выход один: юзайте более стабильный релиз )

FEUERRADER
Хотелось бы узнать - в каком направлении сейчас ведется работа?

В принципе можно юзать и этот билд, галку снимать только Use force mode. Тогда бсода и незакрытых процессов не будет.

HoBleen
Баги пофикшу, и пожелания еще тут на форме перечитаю..

ИМХО, ребилдер нужен. Против протов один не попрешь - тогда уж сделать гибкую подержку плагинов, кот. помогут и против среднего уровня.

FEUERRADER пишет:
В принципе можно юзать и этот билд, галку снимать только Use force mode. Тогда бсода и незакрытых процессов не будет.

Вот как раз в 2003 на PEiD со снятой галкой и проверял... Один раз остался в памяти висеть PEiD, я его грохнул и винда без запроса перегрузилась

ЗЫ. крайне странные импорты после использования движка сида: в импорте я удаляю ВСЕ неправильные импорты, в т.ч. пробовал оставлять и не оставлять вызовы функций ядра. В итоге распакованный PEiD не стартует, а когда я смотрю импорты (смотрел своим плагом, который как-бы смотрит их в том порядке что и лоадер, хотя хз, мо баги полезли %) ), то вижу в них кучу левых функций...

=TS= пишет:
Вот как раз в 2003 на PEiD со снятой галкой и проверял... Один раз остался в памяти висеть PEiD, я его грохнул и винда без запроса перегрузилась
блин, аналогичная фигна получалась, через раз.

=TS= пишет: на PEiD со снятой галкой и проверял
Хм, бажная версия. пятая бетка peid распаковывала без проблем, а эта не берет.

Спасибо за каменты. Будем работать )

FEUERRADER пишет:
галку снимать только Use force mode
От галки тут ничего не зависит, это баг драйвера. То же наблюдается и в анпакере армы, что битхак делает и в последнем стриппере сида.

ЗЫ Да и добавлено то в новой дровине только эмуляция RDTSC нужно ли это против пакеров? ХЗ...

История версий
————–
v1.0 beta8 [!] Пофиксен глюк с Always on top
[!] Пофиксен глюк с незавершающимися процессами и BSOD
[!] Оптимизирован код восстановления импорта по методу syd
[+] Добавлено сохранение импорта в дерево imprec
[+] Теперь используется обновленный engine.sys
[!] Пофиксены баги при распаковке dll
[!] Пофиксен баг с определением ОЕР у старых версий upx для dll
[!] Улучшена экстренная остановка процесса распаковки
[!] Изменен внешний вид таблицы импорта для метода syd
[+] Добавлено открытие директорий объектов

--> Прямой ссыль (732 кб) <-- http://qunpack.ahteam.org/wp-content/uploads/2007/02/quickunpack10beta8.zip

FEUERRADER
Спасибо хроший список ;) потестим!
А скриптовый язык не планируеш?

Весч вроде лучше стала. Много чего пофиксено это хорошо.

Да чё там говорить,грамотноя прога.Из категории полезностей.
Спасибо за 8 бету!

Спасибо, намного лучьше, особенно заметно вот это

FEUERRADER пишет:
[!] Пофиксен глюк с незавершающимися процессами и BSOD
[!] Оптимизирован код восстановления импорта по методу syd

как это? :

FEUERRADER пишет:
[+] Добавлено открытие директорий объектов

И совсем мелочи -- при просмотре найденной OEP форматирование листинга немного кривое -- наверное не моноширинный шрифт ... А может просто выводить в list с двумя колонками...
и для правильного отбражения там же адресов делаем

Options.AlternativeAddres = dCorrectOffset + (pcMem - pDataBuff);

перед каждым

dLen = InstrDecode (pcMem, &tdci->Instr, FALSE);

FEUERRADER Да, получше стала прога в сравнении с первыми версиями!Так держать!!!

FEUERRADER пишет:
[+] Добавлено сохранение импорта в дерево imprec
[+] Теперь используется обновленный engine.sys
считаю это самые важные изминения. побольше б таких

v1.0 RC1.
[!] Отрезаются корректно секции
[+] Новый пункт восстановления ресурсов с трейсером (восстанавливает перенаправленный импорт)! Теперь берет даже простенькие протекторы. Например Yoda Protector!!
[+] Сообщение о критических ошибках
[!] При падении программы всё корректно выгружается
[!] Оптимизирован код и исправлены некоторые баги
[!] Поправлен метод восстановления через импрек
[!] Исправлен Force Mode
[!] Переписан драйвер с улучшением эмуляции rdtsc и изменением точек останова

qunpack.ahteam.org/wp-content/uploads/2007/03/quickunpack10rc1.zip

FEUERRADER
Шибко нравиться Smart metod,как в импреке его не хватает((((
Протестировал на последнем дие.0.62,не взял почему то,А эта(если приатачу)за секунду......

- unpec2.rar

Ещё раз попробую приатачить.Напонимаю,всего 10 кило,и не атачиться.........

- unpec2.rar

Bronco что тут не понимать движок переписываеться :\\ заливай на файлообменниг...

Bronco
Не взял, потому что на импорте запарывается. Там полная эмуляция пары функций есть, с этим ничо не поделаешь.
А на будущее, если чо-то не работает, просьба сообщать, что именно и где именно (синий экран/просто свалилась/сообщение об ошибке/полученный файл не работает), желательно лог аттачить.

Archer пишет:
с этим ничо не поделаешь.

там импорт в чистом виде получить можно

Hellspawn
Да может и можно, не смотрел. Но эта прога заточена под общие принципы, а конкретно под отдельные пакеры переделывать её не катит. Так что не порти тут малину, сказал, нельзя, значит нельзя.

Archer
Сенькс и за "Обьщие",приятная глазу программа.Не врублюсь,чё то у меня на параметрах "Generic method through imprec.dll" подвисает.
Попробую опять приатачить сорцы)))))))))))


{ Атач доступен только для участников форума } - unpec2.rar

FEUERRADER пишет:
--> Link <--
Интерфейс стал приятней, но почему прога, скачанна из
http://exelab.ru/f/index.php?action=vthread&forum=1&topic=2984 (Взлом SecureBook )
распаковавшись через эту тулзу, превратилась из 5 метров в 444 Кб???

Gambit пишет:
но почему прога, скачанна из
http://exelab.ru/f/index.php?action=vthread&forum=1&topic=2984 (Взлом SecureBook )
распаковавшись через эту тулзу, превратилась из 5 метров в 444 Кб???
Наверно потому что 444кб это тело SecureBook, а остальные 4.5 мб это тело книги приаттаченная оверлеем и распаковывается только сама программа, и оверлей надо приделывать руками или типа того.

Archer пишет:
Так что не порти тут малину, сказал, нельзя, значит нельзя.
Можно, похукав длл.