eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler, PsySerg, DeeDee (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 25 апреля 2019 14:13 New!
Цитата · Личное сообщение · #2

Adler пишет:
Не понял, почему "QuickUnpackRules*" 3 файла, а режимов только 2.

Потому что перехват IDT и виртуализация (1 AMD+1 Intel).


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 26 апреля 2019 05:48 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #3

Adler пишет:
проц G2010


фиг знает, может какие ограничения у пеньков. У меня тоже ивик, но i5 - всё работает.
Традиционно, онтевирусного балагана нет? Запуск не под виртуалкой?

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 26 апреля 2019 10:04 New!
Цитата · Личное сообщение · #4

Gideon Vi пишет:
Традиционно, онтевирусного балагана нет? Запуск не под виртуалкой?

Установлен вечто выключенный 360 TS (иногда запускается вручную). Не под виртуалкой.

Ранг: 46.4 (посетитель)
Статус: Участник

Создано: 26 апреля 2019 10:15 New!
Цитата · Личное сообщение · #5

проц Хасвелл и то же самое
FAILURE_BUCKET_ID: DISABLED_INTERRUPT_FAULT_1ef1c3aa111fae7a!unknown_function

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 26 апреля 2019 12:25 New!
Цитата · Личное сообщение · #6

Gideon Vi пишет:
может какие ограничения у пеньков. У меня тоже ивик, но i5 - всё работает.

У i5-3340 (первый попавшийся открыл), в отличии от G2010 есть поддержка - "Технология виртуализации Intel® для направленного ввода/вывода (VT-d) ‡". Не знаю что это, но в этом отличия хоть как то касающиеся виртуализации.

Ранг: 241.5 (наставник)
Статус: Участник

Создано: 26 апреля 2019 12:47 New!
Цитата · Личное сообщение · #7

Вам VT-d не нужна, только VT-x

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 26 апреля 2019 13:08 New!
Цитата · Личное сообщение · #8

TryAga1n пишет:
только VT-x

У G2010 есть.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 26 апреля 2019 18:51 New!
Цитата · Личное сообщение · #9

Я вот одного не пойму. В чём проблема посмотреть аварийный дамп ?
Ясно что кроме как кнопки жать отписавшие не на что больше не пригодны, но ведь некоторые ответили которые вроде бы как не совсем полные овощи.

Ранг: 238.7 (наставник)
Статус: Участник

Создано: 26 апреля 2019 19:15 New!
Цитата · Личное сообщение · #10

Если крашит у двух человек, остальные крэшдамп должны в хрустальном шаре увидеть, или где?


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 26 апреля 2019 19:32 · Поправил: difexacaw New!
Цитата · Личное сообщение · #11

cppasm

Он сохраняется, просто никто про это не подумал, так как товарищи понятия не имеют про крэшдампы. Вы ведь тоже не спросили дамп, что бы выяснить причину падения.

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 26 апреля 2019 22:07 · Поправил: Adler New!
Цитата · Личное сообщение · #12

difexacaw, если речь о тех, что в %systemroot%\minidump то за них я в курсе, только мне они особо ничего не скажут, а никто другой о них не спросил.
P.S. Или надо %systemroot%\MEMORY.DMP


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 26 апреля 2019 22:24 New!
Цитата · Личное сообщение · #13

Adler

Давай сюда его.

Добавлено спустя 13 минут
Adler

> мне они особо ничего не скажут

Кстате думаю тебе это будет интереснее чем мне, ну что бы ты понял как разбирать системные падения.

Загружаешь данный инструмент --> Link <--

Выбираешь аварийный дамп. Этот инструмент командный, поэтому вбиваешь штатную analyze -v и видишь причину падения.

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 26 апреля 2019 23:48 · Поправил: Adler New!
Цитата · Личное сообщение · #14

Проверил дома на i5-6600k. Результат следующий :
В режиме "VMM" - BSOD (Результат analyze -v во вложении. Куда смотреть пока не знаю, еще не разбирался), в режиме "normal" - мгновенная перезагрузка без BSOD`а и дампов.
В качестве подопытного для распаковки взял BOOTICEx64_2016.06.17_v1.3.4.0.exe (он же test.exe в отчете) упакованный обычным UPX (другого ничего под рукой не нашлось).

P.S. При повторном запуске в режиме "VMM" зависло намертво, только Reset.

{ Атач доступен только для участников форума } - dbg.txt

Ранг: 46.4 (посетитель)
Статус: Участник

Создано: 27 апреля 2019 09:46 · Поправил: Alf New!
Цитата · Личное сообщение · #15

difexacaw пишет:
Загружаешь данный инструмент --> Link <--

есть однокнопочные решения и попроще --> https://blog.simplix.info/minidumper/ <--

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 27 апреля 2019 10:27 · Поправил: Adler New!
Цитата · Личное сообщение · #16

Alf, ну он минут 5 думал над %systemroot%\MEMORY.DMP и выдал:
Code:
  1. MiniDumper 1.8
  2.  
  3. Дамп: MEMORY.dmp (25.04.2019 12:40:53)
  4. Код: не обнаружен
  5. Процесс: не обнаружен, вероятно вызвано: Unknown_Image
  6. FAILURE_BUCKET_ID: CORRUPT_MODULELIST_0x139

Минидамп почему то не делается на рабочей машине, хотя в настройках стоит "Автоматический дамп памяти" и старые минидампы есть (за 2018 год).


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 27 апреля 2019 11:59 New!
Цитата · Личное сообщение · #17

Лучше бы выкладывать именно полноценный MEMORY.DMP, а не вывод в консоль отладчика. По логу видно, что не нравятся ему стек или его границы. А почему-неизвестно.

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 27 апреля 2019 12:22 · Поправил: Adler New!
Цитата · Личное сообщение · #18

Archer пишет:
Лучше бы выкладывать именно полноценный MEMORY.DMP

Вечером залью дамп с домашней машины.

P.S. --> Свежий дамп с рабочей машины <--


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 27 апреля 2019 16:22 New!
Цитата · Личное сообщение · #19

Adler

У меня сеть с мобилки, на загрузку 800М нужно не приемлемо много времени. Откройте сами виндебагом дамп и покажите что он выдаёт.

Если аварийный дамп создаётся, то проблему решить не сложно. Иначе если бы дамп не создавался, то это бы значило что из за грубой ошибки процессор мгновенно уходит в ребут, без обработки исключений, а это очень редкая ситуация.

Ранг: 27.7 (посетитель)
Статус: Участник

Создано: 27 апреля 2019 19:07 · Поправил: Adler New!
Цитата · Личное сообщение · #20

difexacaw пишет:
Откройте сами виндебагом дамп и покажите что он выдаёт.

Вчера выкладывал результат !analyze -v.
После однокнопочного MiniDumper от simplix отчет получается "жирнее" (после отчета !analyze -v еще какие то данные).
Во вложении отчеты рабочего и домашнего дампов. При чем домашний и рабочий отчеты по дампам существенно отличаются по объему.

difexacaw пишет:
Если аварийный дамп создаётся, то проблему решить не сложно. Иначе если бы дамп не создавался, то это бы значило что из за грубой ошибки процессор мгновенно уходит в ребут, без обработки исключений, а это очень редкая ситуация.

Дамп создается раз через раз. Точнее из ~5 попыток запуска чаще всего либо виснет намертво, либо мгновенно ребутится. BSOD из них был только один раз.
Так же и вчера дома, при первом запуске был BSOD, а при повторном - намертво зависло. Тоже об этом вчера писал выше.


{ Атач доступен только для участников форума } - !analyze -v.7z

| Сообщение посчитали полезным: difexacaw



Ранг: 291.1 (наставник)
Статус: Участник

Создано: 27 апреля 2019 19:16 · Поправил: difexacaw New!
Цитата · Личное сообщение · #21

Adler

KERNEL_SECURITY_CHECK_FAILURE

Это нарушение защищённых обьектов ядра, в частности это делает KPP:

KiRaiseSecurityCheckFailure().

Система обнаружила изменения в запротекченных обьектах и её сбрасывает по этой причине.
Используя отладчик можно узнать где портится ядро. Оказывается это не проблема с железом, а кривая реализация. Не удивительно впрочем, это всё построено из говна и палок.

Добавлено спустя 9 минут
Archer

Не нужно было трогать системные обьекты, но без патча никак лол

Впрочем это можно было предсказать.

Добавлено спустя 14 минут
Adler

Кстате просто что бы ты знал на будущее, система всегда обрабатывает ошибку, даже при её рекурсивном появлении(двойной фаулт). Есть редкие события, когда процессор сразу уходит в ребут, к примеру попытка загрузки микрокода с невалид сигнатурой. Но эти события столь редки, что ты их никогда не встретишь.

Ранг: 122.1 (ветеран)
Статус: Участник

Создано: 27 апреля 2019 21:11 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #22

Интересное обсуждение в топике (нет я не имею в виду очередное обострение пациента из РБ).

В венде многие механизмы безопасности реализованы по принципу security through obscurity. Некоторые вообще представляли(ют) просто пугалки, т.е. на заборе написано "нельзя", а на самом деле очень даже можно.

Цифровые подписи это из той же оперы.
2 аспекта здесь - это юзермодный обвес (все эти политики, страшные диалоги "не удается загрузить klekrhui.sys потому что у него отсутствует или неправильная цифровая подпись итд) и проверку в ядре компонентом CI.dll. Эта дллка хранит в себе список корневых сертификатов, забитый через открытые ключи. Ее защитой занимается патчгард, который например проверяет в том числе состояние ее SeCiCallbacks (вин10+).

Если коротко:
1. CI.dll не учитывает время. Вы можете подписывать просроченным сертификатом свои дрова, перемотав время например и венда их загрузит. Это проверяет юзермодный обвес, т.е. при попытке запустить на повышение прав например подписанный таким образом ехе вы увидите "желтое" окошко УАК. Насчет китайской тулзы что тут упоминается, никакой магии тут нет. DSignTool это просто вариация signtool только от реальной легитимной (лол) компашки TrustAsia башляющей сертификатами. Китайцы уже лет 10 используют метод с патчем Dsigntool/signtool (либо прямо ехе либо через хук - что угодно), где перехватывается GetLocalTime и функция верификации в crypt32.dll CertVerifyTimeValidity чтобы всегда возвращала 0 (валид время).

2. Проверки EXE и SYS несколько отличаются и в случае ЕХЕ если у вас revoked сертификат и включен УАК - при попытке запуска файл будет заблокирован и вы увидите "красный" диалог УАК. Если же грузится драйвер вы ничего не увидите. Потому что этой проверки нет, здесь важное замечание насчет десяточки, см ниже. С точки зрения венды верификация успешна - и действительно хеш файла соответствует хешу удостоверяемому сертом. На самом деле это легко проверить серией экспериментов, берете семерку например и какую-нибудь тулзу руссиновича с драйвером и добавляете сертификаты ее и ее драйвера в недоверенные. С корневыми так не выйдет ибо они забиты в ci.dll

Что вам нужно - вам нужен реальный сертификат с ключем кросс серта который есть в CI.dll, просроченный, отозванный это неважно, венда у вас должна быть не 10-ка, а если 10-ка, то поставлена методом апгрейда, а не на "чистую" либо версия ниже 1703 либо другие исключения см ниже.

3. В 10-ке 1607 анонсировали изменение политики подписи драйверов https://web.archive.org/web/20170903081729/https://blogs.msdn.microsoft.com/windows_hardware_certification/2015/04/01/driver-signing-changes-in-windows-10/. Сразу это не работало и было требованием на бумаге. Теперь это работает. Есть список условий при которых на этих системах старые дрова будут работать как прежде. Одно из условий это установка методом апгрейда с предыдущей версии винды до 10, например с 7, выключенным secureboot, дрова подписаны до середины 2015 года с кроссподписью от поддерживаемого центра сертификации.

4. У мс имеется специальная фича, сделанная для китайцев. Это лицензирование венды для использования самоподписанных драйверов. Т.е. ваши драйвера будут работать в том числе с включенным secureboot, без каких-либо тестовых режимов, ватермарков итд, но только там где они подписаны. Называется эта редакция виндоус 10 China Government Edition или EnterpriseG.
ЕМНИП.

| Сообщение посчитали полезным: Dart Raiden, plutos, Gideon Vi, dosprog, TryAga1n


Ранг: 80.7 (постоянный)
Статус: Участник

Создано: 27 апреля 2019 23:10 · Поправил: Dart Raiden New!
Цитата · Личное сообщение · #23

Весь прикол в том, что дровина, подписанная с помощью того самого DSignTool и просроченного&отозванного сертификата, успешно работает на 1809, установленной начисто, в то время как из вышенаписанного, если я правильно трактую, следует, что не должна. Причём, это видеодровина, то есть, не какой-то вшивый exe, а nvlddmkm.sys (подписана nvlddmkm.sys, подсунута в дистрибутив дров NVIDIA и сгенерирован .cat, подписанный всё той же протухшей подписью). Переводим время на 2012 год и вуаля, сертификат в свойствах .sys отображается как валидный, а дрова встают и работают даже после возврата времени на актуальное.

Ранг: 122.1 (ветеран)
Статус: Участник

Создано: 27 апреля 2019 23:44 New!
Цитата · Личное сообщение · #24

Dart Raiden
А чего им не вставать и не работать, эти проверки установщиков бгг. Вся валидация модуля драйвера происходит при его загрузке в ядре.Certificate path посмотри в свойствах у этого драйвера. Если задача прекратить этот бардак то новое железо и HVCI спасут.

Помню даже как-то дрова помоему леново официальные примерно таким образом ставились на х64 еще когда даже восьмерка не вышла.

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 27 апреля 2019 23:48 New!
Цитата · Личное сообщение · #25

древние бояны описываете, vbs хоронит это всё, вместе с малварью ( крелк прикинь, не ты победил малварь, а vbs lol )

Ранг: 80.7 (постоянный)
Статус: Участник

Создано: 28 апреля 2019 00:19 · Поправил: Dart Raiden New!
Цитата · Личное сообщение · #26

Alchemistry пишет:
Certificate path посмотри в свойствах у этого драйвера



{ Атач доступен только для участников форума } - explorer_ntOLZ0E75j.png

Alchemistry пишет:
Если задача прекратить этот бардак то новое железо и HVCI спасут.

Вот теперь стало понятно, почему эта подпись не у всех работает:
"HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC". И понятно почему я такого не наблюдаю на своём шестом поколении.

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 28 апреля 2019 00:35 · Поправил: SegFault New!
Цитата · Личное сообщение · #27

Dart Raiden
в последних виндах любая штука запускающаяся идет через встроенный сендбокс на базе контейнеров. По факту это уничтожает все малварь просто на корню

Ранг: 11.6 (новичок)
Статус: Участник

Создано: 28 апреля 2019 10:29 New!
Цитата · Личное сообщение · #28

SegFault
Всё течёт,всё меняется,в том числе и технологии,как знать,может кто-то и придумает новые виды заработка...разве во времена первых арифмометров или ENIAC кто-то думал о том,что будет так,как на сегодняшний день?)))


Ранг: 482.5 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 28 апреля 2019 10:56 New!
Цитата · Личное сообщение · #29

BiteMoon пишет:
как знать,может кто-то и придумает новые виды заработка


Придумают, можете не сомневаться: голь на выдумку хитра.


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 28 апреля 2019 12:13 New!
Цитата · Личное сообщение · #30

SegFault пишет:
Но мой хрустальный шар


я верю, друзья, караваны ракет...

Ранг: -11.6 (нарушитель)
Статус: Участник

Создано: 28 апреля 2019 12:38 New!
Цитата · Личное сообщение · #31

Gideon Vi пишет:
я верю, друзья, караваны ракет...


На пыльных тропинках
Сложнейших программ
Останутся
Инди следы.

| Сообщение посчитали полезным: hash87szf

<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS