eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: UniSoft (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

Ранг: 271.7 (наставник)
Статус: Участник

Создано: 20 декабря 2018 18:34 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

rccrc

Виндебаг поставить для начала и задрачивать на нерабочие драйвера, при этом разбираться в кернел на уровне разраба.

> Как надо изменит хандле чтобы получится?

Ядро не манипулирует описателями, там прямые ссылки на обьекты(указатели). Если у вас не получается разобратся с симв. ссылками, закрой сразу всё и не мучайся зря

Текст транслирован автоматикой, но суть это не меняет.

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 20 декабря 2018 19:02 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #3

difexacaw пишет:
Паганые троли и модеры, как вы настоебали просто слов нет. И админ ваш гнилой чел совсем как я понял.


э ты не быкуй


послал в лс

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 20 декабря 2018 19:43 New!
Цитата · Личное сообщение · #4

difexacaw
difexacaw пишет:
Паганые троли и модеры, как вы настоебали просто слов нет. И админ ваш гнилой чел совсем как я понял.

Крелк ты ваще перега попутал? тут одни из самых нормальных админов во всем рунете!

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 20 декабря 2018 20:00 New!
Цитата · Личное сообщение · #5

SegFault
кряклаб это последний из старичков в рунете кто умудрился не скатится в гуан и также самый сильный по составу мемберов. Так что клекру просто надо успокоиться. Просто его на васме забанили вот и обострение.

Ранг: 237.9 (наставник)
Статус: Участник

Создано: 20 декабря 2018 20:41 New!
Цитата · Личное сообщение · #6

По составу единицы остались, большинство ушло в реал, вован из-за хохлосрачей перестал приходить, прогописа вообще всякой хуйней выжили, не вынесла душа поэта. Через пару лет тут вообще никого не будет. Новой крови как таковой нет совсем и это очень грустно

Ранг: 211.3 (наставник)
Статус: Участник

Создано: 20 декабря 2018 21:56 New!
Цитата · Личное сообщение · #7

TryAga1n
>Новой крови как таковой нет совсем и это очень грустно
Отчасти этому способствовал тред Запросы на взлом программ ну и нынешний порог вхождения, поди попробуй сходу снять вмпрот.

Ранг: 122.5 (ветеран)
Статус: Участник

Создано: 20 декабря 2018 21:58 New!
Цитата · Личное сообщение · #8

TryAga1n пишет:
Через пару лет тут вообще никого не будет


Если про визоры и моторы в каждом топике так и будет, то да. Выделять полезную информацию среди многочисленного цифрового мусора нет никакого желания.

Ранг: 407.8 (мудрец)
Статус: Участник

Создано: 21 декабря 2018 02:24 · Поправил: dosprog New!
Цитата · Личное сообщение · #9

void пишет:
Отчасти этому способствовал тред Запросы на взлом программ


Каким же это образом? Скорей наоборот.
Можно подумать, что кто постит туда запросы, сам бы разбирался, не будь того топика.
Нормальная тема имхо.

А так да, многих захлестнули проблемы ...

| Сообщение посчитали полезным: TryAga1n



Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 21 декабря 2018 02:51 · Поправил: plutos New!
Цитата · Личное сообщение · #10

TryAga1n пишет:
Новой крови как таковой нет совсем и это очень грустно


да, грустно, но это закон природы: вино переходит в уксус, энтропия растет.
Мастера стареют, а желающих корпеть над мануалами совсем не много. Так ведь это всегда было так.


Ранг: 527.7 (!)
Статус: Участник
оптимист

Создано: 21 декабря 2018 11:35 New!
Цитата · Личное сообщение · #11

TryAga1n пишет:
Новой крови как таковой нет совсем и это очень грустно
Ты ещё динозавров вспомни, главное что бы сайт жил ,здесь залежи полезной инфы в груде камней флюда


Ранг: 1982.2 (!!!!)
Статус: Модератор
retired

Создано: 17 января 2019 14:35 New!
Цитата · Личное сообщение · #12

Теперь исходники OEP Finder от UsAr. Основано на инжекте DLL. Переписан с ассемблера на С++, добавлена поддержка x64 и DLL. Собирался VS2008.
Лицензия-используйте как хотите и где хотите, но укажите автора.

{ Атач доступен только для участников форума } - UsarOEP.rar

| Сообщение посчитали полезным: DimitarSerg, v00doo, ClockMan, HandMill, Dart Raiden, tihiy_grom, sendersu, MarcElBichon, daFix, dosprog, DICI BF, SReg, TerminatorX, Orlyonok, 4kusNick



Ранг: 1982.2 (!!!!)
Статус: Модератор
retired

Создано: 15 февраля 2019 22:26 New!
Цитата · Личное сообщение · #13

Теперь исходники OEP Finder от Human. Основано на стандартном debug API. Переписан с ассемблера на С++, добавлена поддержка x64 и DLL. Собирался VS2008.
Лицензия-используйте как хотите и где хотите, но укажите автора.

{ Атач доступен только для участников форума } - HumanOEP.rar

| Сообщение посчитали полезным: HandMill, SReg, ClockMan, mak, Orlyonok, neomatr


Ранг: 271.7 (наставник)
Статус: Участник

Создано: 15 февраля 2019 23:34 · Поправил: difexacaw New!
Цитата · Личное сообщение · #14

Archer

200кб, с 86 сигнатурным хардкодом.. что то реализовано, не важно как; хотелось бы увидеть реальное применение. Я например искал решение данной задачи на основе сотни семплов, пытаясь найти общее решение. Но там немного иной подход был, эти мелкие задачи слежения за кодом не мешали. Есть сильные реализации в несколько десятков кб нэйтива, а может даже и меньше, которые покрывают все эти задачи и аналогичные решения.

Ранг: 41.2 (посетитель)
Статус: Участник

Создано: 16 февраля 2019 11:11 · Поправил: DrVB_5_6 New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Есть сильные реализации в несколько десятков кб нэйтива, а может даже и меньше, которые покрывают все эти задачи и аналогичные решения.

реализации в студию...

Не, возможен вариант интернет-сервиса. Открываешь новый топик (персонально) и всем желающим возвращаешь хотя бы ОЕР!!!

| Сообщение посчитали полезным: TryAga1n



Ранг: 1110.7 (!!!!)
Статус: Участник

Создано: 17 февраля 2019 02:58 New!
Цитата · Личное сообщение · #16

мне было интересно, кто первый поведется на очередной вброс Инде )

Ранг: 407.8 (мудрец)
Статус: Участник

Создано: 17 февраля 2019 17:15 New!
Цитата · Личное сообщение · #17

Gideon Vi пишет:
мне было интересно, кто первый поведется на очередной вброс Инде )

) Все продемонстрировали чудовищную выдержку.

| Сообщение посчитали полезным: difexacaw


Ранг: 41.2 (посетитель)
Статус: Участник

Создано: 17 февраля 2019 19:31 New!
Цитата · Личное сообщение · #18

Gideon Vi пишет:
мне было интересно, кто первый поведется на очередной вброс Инде )

Оттягивались в соседней теме


Ранг: 1982.2 (!!!!)
Статус: Модератор
retired

Создано: 17 марта 2019 17:13 New!
Цитата · Личное сообщение · #19

Теперь исходники OEP Finder от Deroko. Основано на dream of every reverser http://deroko.phearless.org/doer.html и так называемой рассинхронизации кеша TLB. По этой причине может не работать в ВМ, они TLB полноценно не эмулируют. Немного переписан, допилен и исправлен, добавлена поддержка x64 и DLL. Собирался VS2008.
Лицензия-используйте как хотите и где хотите, но укажите автора.

{ Атач доступен только для участников форума } - DerokoOEP.rar

| Сообщение посчитали полезным: Orlyonok, MarcElBichon, SReg, DimitarSerg, Lambda, difexacaw, HandMill


Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 марта 2019 15:42 New!
Цитата · Личное сообщение · #20

ну че где x64

Ранг: 271.7 (наставник)
Статус: Участник

Создано: 22 марта 2019 20:47 New!
Цитата · Личное сообщение · #21

Archer

Думаю автор на верном пути, норм реализация. Может во всём этом смысла нет, но сама системная обработка весьма стабильна. Хотя и не вполне корректна. Нельзя вызывать Zw стаб вне T-фрейма. Это уронит ос, не сразу, но проблемы будут. По нормальному устанавливается KDR вектор для обработки событий легальным путём(86).

Ну а на счёт EP - это ниочём. Задача сложная и какая то трассировка это даже не решение и не попытка, это просто трассировка. Которая в юм работает ничем не хуже чем в км. И даже лучше, межкольцевое переключене не профайл. Нет смысла прыгать туда-сюда, юм-км-юм..

Ранг: 438.8 (мудрец)
Статус: Участник

Создано: 22 марта 2019 20:54 New!
Цитата · Личное сообщение · #22

difexacaw пишет:
Ну а на счёт EP - это ниочём. Задача сложная и какая то трассировка это даже не решение и не попытка, это просто трассировка. Которая в юм работает ничем не хуже чем в км. И даже лучше, межкольцевое переключене не профайл. Нет смысла прыгать туда-сюда, юм-км-юм..

как обычно, всё вокруг говно, и только моторы и визоры рулят ?

| Сообщение посчитали полезным: DimitarSerg


Ранг: 271.7 (наставник)
Статус: Участник

Создано: 22 марта 2019 21:07 New!
Цитата · Личное сообщение · #23

tihiy_grom

Я не сказал что говно, даже наоборот.

Трап-обработку школьники не пишут. Пусть не вполне корректно реализовано(примитивный стаб), но сама попытка годная. Как минимум не сделано ошибок до включений прерываний, что уронило бы ос. Дальше он сделает лучше. Обработка ISR доступна лишь тем, кто отлично знает архитектуру. Там каждая инструкция вылизывается".

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 22 марта 2019 21:24 New!
Цитата · Личное сообщение · #24

difexacaw
Еще бы ты не похвалил. Ты же вырос можно сказать на копипасте с дероко в том числе, выдавая за свои "моторы" и "идеи"

| Сообщение посчитали полезным: SReg


Ранг: 271.7 (наставник)
Статус: Участник

Создано: 23 марта 2019 04:40 New!
Цитата · Личное сообщение · #25

Alchemistry

Да нет, какой копипаст, дероко только начал разбирать т-обработку, а я этим занимался много лет назад. Такая мысль только у юного сацуры могла возникнуть, у тебя мозга не хватило даже для установки своей аватарки, поэтому ты и думаешь что всё нужно рипать. Штатное мышление паразита.


Ранг: 1110.7 (!!!!)
Статус: Участник

Создано: 23 марта 2019 04:43 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #26

difexacaw, лол, глянь дату создания оригинального софта от дерыча.

Нет, нет, я случайно, я больше не буду, идите нахер.

Ранг: 271.7 (наставник)
Статус: Участник

Создано: 23 марта 2019 05:01 New!
Цитата · Личное сообщение · #27

Gideon Vi

2006 ?

И за столько лет дероко не понял как нужно правильно обрабатывать прерывания ?!

TLB вам чем то поможет найти EP, можно есчо немного драйверов пильнуть, ну пиара ради.

Добавлено спустя 13 минут
Получается с 2006 года, за 13 лет не сформулирован даже критерий EP, необходимый для решения. Тогда наверно изначально не следовало браться за это дело.


Ранг: 1110.7 (!!!!)
Статус: Участник

Создано: 23 марта 2019 05:28 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #28

difexacaw, лол. В последний раз я на это ведусь.
Это было реализовано дерычем. Давно. Давно было перенесено в qu. Много лет не выносилось в паблик, ходило по тестерам. Теперь вот Арчи дергает по кусочкам и выкладывает, может пригодиться кому. Тебе вот пригодилось: ходишь, серишь. Нам, отчасти - ржать с тебя.

зы. Как там инженеры интоля, купили у тебя технологию? Лол, мну зарекся, честно-честно. Твои посты телько в рид-онли режиме.

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 23 марта 2019 05:28 New!
Цитата · Личное сообщение · #29

difexacaw
Тебя он забыл спросить. Не написавшего в жизни ни одной программы кроме каких-то асм-гавнюшек.

Ранг: 237.9 (наставник)
Статус: Участник

Создано: 23 марта 2019 07:38 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #30

Alchemistry
IDP, GPE/GCBE, VMBE/VMBE2, SIDE, DYPE, BBPE, VISOR log.txt | vx с 2008

| Сообщение посчитали полезным: Alchemistry, difexacaw, DimitarSerg


Ранг: 271.7 (наставник)
Статус: Участник

Создано: 23 марта 2019 12:43 New!
Цитата · Личное сообщение · #31

Gideon Vi

Не вижу ничего смешного. В этой задаче главное определить критерий, который определяет что есть EP. И различает фейковые(загрузочные) --> Link <--

Только когда критерий есть можно что то реализовать. Тут же получается что каждая новая сборка которую даёт арчи это просто трассировка, в разных её вариантах. Можно даже ради интереса потестить последний проект на разных протекторах. Я уверен что ничего не выйдет. Так как задача совсем не в трассировке.

Добавлено спустя 24 минуты
Archer

Разрабы нт не глупые, но иногда их решения глупые. Всякая т-обработка должна происходить после формирования фрейма системой. Это событие никак не экспортится, те ось для этого не предназначена. Удобный обходной путь это вектор KDR, отладочный стаб. Ну кроме патча ядра. Он защищён PG. При этом механизм не работает, если активен юзер отладчик. Во втором варианте нужен мотор, который пересобирает код на другие адреса, что бы рипнуть формирующий фрейм код. В любом случае это быстрая трассировка в ядре. Есть хорошие способы проверенные обойтись и без этого. Но опять же это никаким образом не относится к определению EP.
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS