eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: stnt (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 .
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

Ранг: 131.5 (ветеран)
Статус: Участник

Создано: 28 апреля 2019 13:25 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #2

Dart Raiden
Да этот верисигн. На самом деле этот диалог, вообще весь этот диалог просмотра свойств очень ограниченный и не отображает всю информацию. Но не суть, ты можешь это все и так посмотреть в самом этом SbieDrv любым редактором.

Вот этот сертификат https://go.microsoft.com/fwlink/p/?linkid=321787 (VeriSign Class 3 Public Primary Certification Authority - G5.cer) это то что у тебя на картинке в руте. Он подписан MicrosoftCodeVerifRoot (https://www.microsoft.com/pki/certs/MicrosoftCodeVerifRoot.crt) - его нет в хранилище сертификатов машины, он забит в CI.dll (можешь взять байты из Public key поля, не забыв пропустить байты заголовка конечно, и поискать их в CI.dll). Вот список торговцев воздухом https://docs.microsoft.com/en-us/windows-hardware/drivers/install/cross-certificates-for-kernel-mode-code-signing, МС заверило их корневые серты своим (который уже есть в CI).

Также можешь провести эксперимент (любые эксперименты лучше делать на вм) чтобы увидеть этот рут от МС - скачать этот MicrosoftCodeVerifRoot.crt и поставить его в trusted root cert auth для машины. После этого он появится в списке Certification Path этого диалога свойств.

SegFault
vbs ps а потом пришел amsi и на форумах юных хэкиров и прочих блекхэтов стали появляется темы "куплю апход амси" "срочно обфусцировать скрипт от амси", "отключить амси" итд, бгг мы все это уже проходили много раз

Малварь никуда не денется, вендой мир не ограничен и венда далеко не самая популярная ось. К тому же приличная малварь сейчас имеет еулу, адвокатов, офф сайт и легальный ботнет из своих кастомеров лопухов. Если вдруг с малварью случится что-то плохое ты сразу об этом узнаешь из новостей о том как начнут схлопываться конторы, впаривающие воздух идиотам - те самые аверы. Вероятность этого события мала.


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 28 апреля 2019 18:58 New!
Цитата · Личное сообщение · #3

да вы же наркоманы


Ранг: 316.4 (мудрец)
Статус: Участник

Создано: 28 апреля 2019 19:01 · Поправил: difexacaw New!
Цитата · Личное сообщение · #4

SDK

Ну написал он под дурью про вбм, что такого, просто не знает что эмулится это всё давно очень. Про серты тоже верно(на счёт веществ), крэшит уже после запуска как бы. Может быть даже последние грибы в этом сезоне, так как потом из за отключения рф мы больше ничего не узнаем.


Ранг: 1995.9 (!!!!)
Статус: Модератор
retired

Создано: 28 апреля 2019 21:40 New!
Цитата · Личное сообщение · #5

Adler
Судя по крашдампу, StackLimit в KTHREAD нулевой. А почему-хороший вопрос, насколько помню, никакие эти служебные структуры я не трогаю.

Ранг: 46.0 (посетитель)
Статус: Участник

Создано: 28 апреля 2019 22:46 · Поправил: Adler New!
Цитата · Личное сообщение · #6

Archer, вот второй дамп с домашнего ПК, если что.


Ранг: 1995.9 (!!!!)
Статус: Модератор
retired

Создано: 29 апреля 2019 14:40 New!
Цитата · Личное сообщение · #7

В принципе то же самое, не проходит проверку границ стека. Но в идеале это отлаживать надо. Сходу не скажу, что тут могло пойти не так, структуры эти я не трогаю, GS тоже дефолтно заполняется.

| Сообщение посчитали полезным: Adler


Ранг: 13.4 (новичок)
Статус: Участник

Создано: 8 июня 2019 17:09 New!
Цитата · Личное сообщение · #8

Что означает сообщение "Wrong platform!"?
Borland Delphi
ASProtect(1.23-2.56)


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 9 июня 2019 05:11 New!
Цитата · Личное сообщение · #9

esa_r
x86 - для x86 на ОС x86
x64 - для x64 на ОС x64
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 .
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS