Посл.ответ |
Сообщение |
 Ранг: 55.8 (постоянный) Статус: Участник [www.AHTeam.org]
|
Создано: 13 мая 2006 12:51 · Поправил: Модератор New! Цитата · Личное сообщение · #1
Quick Unpack 2.1
История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты
Конструктивные отзывы приветствуются.
Ссылки на архив:
http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip
Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/
|
|
Ранг: 214.1 (наставник) Статус: Участник
|
Создано: 27 января 2007 22:02 New! Цитата · Личное сообщение · #2
deepred, Hellspawn, etc - не только у вас проблема с синим экранчиком. процесс остается в памяти только после второй ! некорректной распаковки. выход: после первой неудачной распаковки закрывать qunpack, открыть вновь и пробовать снова. или рискнуть, но если вторая попытка будет неудачной, то процесс останется в памяти, тогда его лучше совсем не трогать, хотя при рестарте винды она все ж упадет.
|
 Ранг: 500.5 (!) Статус: Участник
|
Создано: 28 января 2007 00:16 New! Цитата · Личное сообщение · #3
ИМХО пока самая стабильная - v0.7
|
 Ранг: 1972.5 (!!!!) Статус: Модератор retired
|
Создано: 28 января 2007 00:19 New! Цитата · Личное сообщение · #4
На самом деле у меня и после первой же попытки прога вроде как распаковывается, но процесс остаётся висеть, а дальше система помирает при убийстве процесса. Связано это с драйвером, я поговорю с автором проги, может получится решить эту проблему...
|
 Ранг: 55.8 (постоянный) Статус: Участник [www.AHTeam.org]
|
Создано: 28 января 2007 09:43 New! Цитата · Личное сообщение · #5
Ну что сказать, пока выход один: юзайте более стабильный релиз )
|
 Ранг: 240.5 (наставник) Статус: Участник Author of ACKiller
|
Создано: 28 января 2007 09:55 New! Цитата · Личное сообщение · #6
FEUERRADER
Хотелось бы узнать - в каком направлении сейчас ведется работа?
|
 Ранг: 55.8 (постоянный) Статус: Участник [www.AHTeam.org]
|
Создано: 28 января 2007 10:48 New! Цитата · Личное сообщение · #7
В принципе можно юзать и этот билд, галку снимать только Use force mode. Тогда бсода и незакрытых процессов не будет.
HoBleen
Баги пофикшу, и пожелания еще тут на форме перечитаю..
|
 Ранг: 240.5 (наставник) Статус: Участник Author of ACKiller
|
Создано: 28 января 2007 10:54 New! Цитата · Личное сообщение · #8
ИМХО, ребилдер нужен. Против протов один не попрешь - тогда уж сделать гибкую подержку плагинов, кот. помогут и против среднего уровня.
|
 Ранг: 250.6 (наставник) Статус: Участник Seeker
|
Создано: 28 января 2007 14:50 New! Цитата · Личное сообщение · #9
FEUERRADER пишет:
В принципе можно юзать и этот билд, галку снимать только Use force mode. Тогда бсода и незакрытых процессов не будет.
Вот как раз в 2003 на PEiD со снятой галкой и проверял... Один раз остался в памяти висеть PEiD, я его грохнул и винда без запроса перегрузилась
ЗЫ. крайне странные импорты после использования движка сида: в импорте я удаляю ВСЕ неправильные импорты, в т.ч. пробовал оставлять и не оставлять вызовы функций ядра. В итоге распакованный PEiD не стартует, а когда я смотрю импорты (смотрел своим плагом, который как-бы смотрит их в том порядке что и лоадер, хотя хз, мо баги полезли %) ), то вижу в них кучу левых функций...
|
Ранг: 64.0 (постоянный) Статус: Участник
|
Создано: 29 января 2007 17:53 New! Цитата · Личное сообщение · #10
=TS= пишет:
Вот как раз в 2003 на PEiD со снятой галкой и проверял... Один раз остался в памяти висеть PEiD, я его грохнул и винда без запроса перегрузилась
блин, аналогичная фигна получалась, через раз.
|
Ранг: 214.1 (наставник) Статус: Участник
|
Создано: 29 января 2007 19:24 New! Цитата · Личное сообщение · #11
=TS= пишет: на PEiD со снятой галкой и проверял
Хм, бажная версия. пятая бетка peid распаковывала без проблем, а эта не берет.
|
 Ранг: 55.8 (постоянный) Статус: Участник [www.AHTeam.org]
|
Создано: 29 января 2007 20:25 New! Цитата · Личное сообщение · #12
Спасибо за каменты. Будем работать )
|
 Ранг: 793.4 (! !) Статус: Участник Шаман
|
Создано: 29 января 2007 20:42 · Поправил: PE_Kill New! Цитата · Личное сообщение · #13
FEUERRADER пишет:
галку снимать только Use force mode
От галки тут ничего не зависит, это баг драйвера. То же наблюдается и в анпакере армы, что битхак делает и в последнем стриппере сида.
ЗЫ Да и добавлено то в новой дровине только эмуляция RDTSC нужно ли это против пакеров? ХЗ...
|
 Ранг: 55.8 (постоянный) Статус: Участник [www.AHTeam.org]
|
Создано: 5 февраля 2007 08:00 New! Цитата · Личное сообщение · #14
История версий
————–
v1.0 beta8 [!] Пофиксен глюк с Always on top
[!] Пофиксен глюк с незавершающимися процессами и BSOD
[!] Оптимизирован код восстановления импорта по методу syd
[+] Добавлено сохранение импорта в дерево imprec
[+] Теперь используется обновленный engine.sys
[!] Пофиксены баги при распаковке dll
[!] Пофиксен баг с определением ОЕР у старых версий upx для dll
[!] Улучшена экстренная остановка процесса распаковки
[!] Изменен внешний вид таблицы импорта для метода syd
[+] Добавлено открытие директорий объектов
--> Прямой ссыль (732 кб) <-- http://qunpack.ahteam.org/wp-content/uploads/2007/02/quickunpack10beta8.zip
|
Ранг: 1045.7 (!!!!) Статус: Участник
|
Создано: 5 февраля 2007 08:21 · Поправил: pavka New! Цитата · Личное сообщение · #15
FEUERRADER
Спасибо хроший список ;) потестим!
А скриптовый язык не планируеш?
|
 Ранг: 161.0 (ветеран) Статус: Участник
|
Создано: 5 февраля 2007 10:57 New! Цитата · Личное сообщение · #16
Весч вроде лучше стала. Много чего пофиксено это хорошо.
|
 Ранг: 256.3 (наставник) Статус: Участник Advisor
|
Создано: 5 февраля 2007 13:22 New! Цитата · Личное сообщение · #17
Да чё там говорить,грамотноя прога.Из категории полезностей.
Спасибо за 8 бету!
|
 Ранг: 250.6 (наставник) Статус: Участник Seeker
|
Создано: 5 февраля 2007 15:08 · Поправил: =TS= New! Цитата · Личное сообщение · #18
Спасибо, намного лучьше, особенно заметно вот это
FEUERRADER пишет:
[!] Пофиксен глюк с незавершающимися процессами и BSOD
[!] Оптимизирован код восстановления импорта по методу syd
как это? :
FEUERRADER пишет:
[+] Добавлено открытие директорий объектов
И совсем мелочи -- при просмотре найденной OEP форматирование листинга немного кривое -- наверное не моноширинный шрифт  ... А может просто выводить в list с двумя колонками...
и для правильного отбражения там же адресов делаем
Options.AlternativeAddres = dCorrectOffset + (pcMem - pDataBuff);
перед каждым
dLen = InstrDecode (pcMem, &tdci->Instr, FALSE);
|
Ранг: 7.5 (гость) Статус: Участник
|
Создано: 5 февраля 2007 21:38 New! Цитата · Личное сообщение · #19
FEUERRADER Да, получше стала прога в сравнении с первыми версиями!Так держать!!!
|
Ранг: 64.0 (постоянный) Статус: Участник
|
Создано: 5 февраля 2007 22:37 New! Цитата · Личное сообщение · #20
FEUERRADER пишет:
[+] Добавлено сохранение импорта в дерево imprec
[+] Теперь используется обновленный engine.sys
считаю это самые важные изминения. побольше б таких
|
 Ранг: 55.8 (постоянный) Статус: Участник [www.AHTeam.org]
|
Создано: 13 марта 2007 18:24 New! Цитата · Личное сообщение · #21
v1.0 RC1.
[!] Отрезаются корректно секции
[+] Новый пункт восстановления ресурсов с трейсером (восстанавливает перенаправленный импорт)! Теперь берет даже простенькие протекторы. Например Yoda Protector!!
[+] Сообщение о критических ошибках
[!] При падении программы всё корректно выгружается
[!] Оптимизирован код и исправлены некоторые баги
[!] Поправлен метод восстановления через импрек
[!] Исправлен Force Mode
[!] Переписан драйвер с улучшением эмуляции rdtsc и изменением точек останова
qunpack.ahteam.org/wp-content/uploads/2007/03/quickunpack10rc1.zip
|
 Ранг: 256.3 (наставник) Статус: Участник Advisor
|
Создано: 14 марта 2007 03:33 New! Цитата · Личное сообщение · #22
FEUERRADER
Шибко нравиться Smart metod,как в импреке его не хватает((((
Протестировал на последнем дие.0.62,не взял почему то,А эта(если приатачу)за секунду......  - unpec2.rar
|
 Ранг: 256.3 (наставник) Статус: Участник Advisor
|
Создано: 14 марта 2007 03:42 New! Цитата · Личное сообщение · #23
Ещё раз попробую приатачить.Напонимаю,всего 10 кило,и не атачиться.........  - unpec2.rar
|
 Ранг: 221.8 (наставник) Статус: Участник
|
Создано: 14 марта 2007 05:02 New! Цитата · Личное сообщение · #24
Bronco что тут не понимать движок переписываеться :\\ заливай на файлообменниг...
|
 Ранг: 1972.5 (!!!!) Статус: Модератор retired
|
Создано: 14 марта 2007 22:02 New! Цитата · Личное сообщение · #25
Bronco
Не взял, потому что на импорте запарывается. Там полная эмуляция пары функций есть, с этим ничо не поделаешь.
А на будущее, если чо-то не работает, просьба сообщать, что именно и где именно (синий экран/просто свалилась/сообщение об ошибке/полученный файл не работает), желательно лог аттачить.
|
 Ранг: 990.3 (! ! !) Статус: Модератор Author of DiE
|
Создано: 14 марта 2007 22:07 New! Цитата · Личное сообщение · #26
Archer пишет:
с этим ничо не поделаешь.
там импорт в чистом виде получить можно
|
 Ранг: 1972.5 (!!!!) Статус: Модератор retired
|
Создано: 15 марта 2007 22:44 New! Цитата · Личное сообщение · #27
Hellspawn
Да может и можно, не смотрел. Но эта прога заточена под общие принципы, а конкретно под отдельные пакеры переделывать её не катит. Так что не порти тут малину, сказал, нельзя, значит нельзя.
|
 Ранг: 256.3 (наставник) Статус: Участник Advisor
|
Создано: 15 марта 2007 23:04 New! Цитата · Личное сообщение · #28
Archer
Сенькс и за "Обьщие",приятная глазу программа.Не врублюсь,чё то у меня на параметрах "Generic method through imprec.dll" подвисает.
Попробую опять приатачить сорцы)))))))))))
{ Атач доступен только для участников форума } - unpec2.rar
|
 Ранг: 107.6 (ветеран) Статус: Участник
|
Создано: 16 марта 2007 01:53 New! Цитата · Личное сообщение · #29 |
Ранг: 617.3 (!) Статус: Участник
|
Создано: 16 марта 2007 02:16 New! Цитата · Личное сообщение · #30
Gambit пишет:
но почему прога, скачанна из
http://exelab.ru/f/index.php?action=vthread&forum=1&topic=2984 (Взлом SecureBook )
распаковавшись через эту тулзу, превратилась из 5 метров в 444 Кб???
Наверно потому что 444кб это тело SecureBook, а остальные 4.5 мб это тело книги приаттаченная оверлеем и распаковывается только сама программа, и оверлей надо приделывать руками или типа того.
|
 Ранг: 793.4 (! !) Статус: Участник Шаман
|
Создано: 16 марта 2007 10:02 New! Цитата · Личное сообщение · #31
Archer пишет:
Так что не порти тут малину, сказал, нельзя, значит нельзя.
Можно, похукав длл.
|