eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: jabroni, rmn, Gideon Vi (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/


Ранг: 1120.0 (!!!!)
Статус: Участник

Создано: 1 июля 2007 03:05 New!
Цитата · Личное сообщение · #2

Archer пишет:
Чо-то глухо всё


Archer, Bronco правду говорит - лето на дворе. Это для всей около-компьютерной индустрии так


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 1 июля 2007 03:16 New!
Цитата · Личное сообщение · #3

Archer
Не печалься, прога нужна на самом деле очень многим, т.к. экономит уйму времени. Пока версия 1.0 Final работает стабильно и никаких глюков не замечал. Просто у таких хорошо развивающихся программ глюков бывает мало, поэтому народ молчит. Да и не китайцы мы, чтобы говорить постоянно "СПАСИБО".


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 1 июля 2007 08:54 New!
Цитата · Личное сообщение · #4

Всем респект за саппорт.
Bronco
Действительно в последней версии был косячок с ТЛС. Тут версия с поправленной этой фишкой. hххp://qunpack.ahteam.org/wp-content/uploads/2007/07/quickunpack20beta .zip

Ранг: 52.7 (постоянный)
Статус: Участник

Создано: 1 июля 2007 14:18 New!
Цитата · Личное сообщение · #5

THIS LINK IS DEAD


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 1 июля 2007 14:22 · Поправил: Archer New!
Цитата · Личное сообщение · #6

nopnop
The last link is OK, just remove the space. By the way it was said, that this was not a release, just for beta testing, so the link may die at any moment, when there will be no more need in testing.


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 1 июля 2007 14:41 New!
Цитата · Личное сообщение · #7

nopnop

Link is work just remove spaces and replace xx to tt, or try my one: link_deleted_by_forum_engine/files/1126943
=)

Ранг: 52.7 (постоянный)
Статус: Участник

Создано: 1 июля 2007 23:24 New!
Цитата · Личное сообщение · #8

thanx guys
for mirror this


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 2 июля 2007 01:07 New!
Цитата · Личное сообщение · #9

Archer
А связочка с Ольгой,крутая фишка.
Привыкнуть надо только...))))
Тут уж надо по полной.
И секции левые срезать,если антидамп
И табличку в родное место тыкнуть,если место есть.
Чтобы печаль не грызла,ща навыдумываем насущный гимор...))))


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 2 июля 2007 13:20 New!
Цитата · Личное сообщение · #10

Потестил, вроде все работает без косяков.
тока не распаковывает такие пакеры как: Unnamed Scrambler, unkOwn_Crypter, fEaRz Crypter и .т. д. (короче как я заметил эта технология - создание потока/ запись в память потока / разморозка потока в последнее время стала очень популярна)
думаю Quick Unpack нужно научить дампить их на kernel32.ResumeThread
P.S Archer где взял Oep Finder V1.60 by Human/MiNT


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 2 июля 2007 13:30 New!
Цитата · Личное сообщение · #11

Archer
При 3-ем использовании Human'овского ОЕПа прога слетает

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 2 июля 2007 13:55 New!
Цитата · Личное сообщение · #12

Flint пишет:
последнее время стала очень популярна)

Юзают одни исходники толпой вот и популярна ;)
Flint пишет:
Quick Unpack нужно научить дампить

Имхо не нужно ;) тратить время на такое дерьмо ! Сабж развивается в нужном направлении ;)


Ранг: 533.8 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 2 июля 2007 15:16 New!
Цитата · Личное сообщение · #13

Archer
Поменял название темы. Так пойдёт ?

Поглядел в эбауте тулзы эх какие имена, кстати
помарки такие, поправь: "Bad_Guy" правильнее "Bad_guy"
"CRACKLAB" либо: "CRACKL@B", либо "CRACKLAB.rU"


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 2 июля 2007 17:35 New!
Цитата · Личное сообщение · #14

Bronco
Насчёт резать секции-там и так нули в конце секции срезаются, так что должно быть норм (хотя сам не тестил). Ещё опция порезать секции с конца до ресурсов включительно есть, тогда ресурсы ребилдятся.
А вот табличку в родное место, имхо, нафиг. Там и так нормальный ребилд импорта идёт+ТЛС и ресурсы при необходимости.
Flint
Пакеры я гляну, хотя вряд ли буду затачивать под такие конкретные вещи, как запись в чужой поток. А сорцы взял на exetools, там же и разрешение получил на юзанье.
Spirit
Насчёт многократного юза, уже были косяки. Видно не до конца их запатчил, проверю.
Bad_guy
Ну в принципе он не только ЕХЕ, он ДЛЛ тоже может распачить, так что ЕХЕ убрать из темы и норм будет. Насчёт эбаутов-поправлю, спс.


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 2 июля 2007 19:06 New!
Цитата · Личное сообщение · #15

Archer
Ещё опция порезать секции с конца до ресурсов
Я пробовал,пока только на моле...
Тока Quick резанул вместе.... с секцией ресурсов.)))
Вообще я имел ввиду срезание в ручном режиме.
Выборочно,с возможностью правки,по необходимости,..
К примеру ПеП,так просто не сдампишь...)))
Да и другие пакеры/проты хвосты за собой - тоже тянут.
Ну это для связки с Ольгой,приятно было бы иметь такой дампер/имрек в одном флаконе.
Тем паче секция .idata замыкающая.
Насчёт перестраивания ресурсов,не надо.Утиля Seti хорошо грызёт - всё.
Табличку в "родное место"? Не горит,оставим на перспективу...))))
Подождём пока "печалиться" начнёшь...))))))
Хотя...лучше радуйся...!!!!


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 2 июля 2007 20:28 New!
Цитата · Личное сообщение · #16

Bronco
Там режется с конца до секции ресурсов ВКЛЮЧИТЕЛЬНО. При этом ресурсы оно ребилдит (ну должно по крайней мере), т.е. это всё уже реализовано, причём в версии RC1, вроде. А вот насчёт среза секций вручную, в принципе можно прикрутить такую тему, что типа резать по дефолту оставить опцию, а добавить Advanced резку, где уже можно выбрать руками, чо резать, а чо оставить. Если нужно, прикручу такую тему (а оно надо?).
Вот насчёт ПЕП, смотрел только старые версии, каюсь, когда не было антидампа такого. Но нули в конце секции при дампе и так срезаются и в конечном файле место не занимают. А вот если там не нули-хрен его знает, как тогда делать... =/


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 3 июля 2007 00:33 New!
Цитата · Личное сообщение · #17

Archer
Я так понимаю,тут не критика,а какой-то "тест".))))
- Возможно... с конца и до...
Но пока есть только парочка молебоксов.
В ручную,там не сложно,и с *.exe и с *.dll,даже без утили Олдстера.
Но для теста опции срезки секций,подходят.
2-я сборка(beta),в них срезает с конца и... с секцией рессурсов включительно.
Может эта опция и не нужна?
>Если нужно, прикручу такую тему (а оно надо?).
Для большинства пакеров и протов,это явно - не нужно...))))
Из антидампов,только с пепом и RLPack,пока сталкивался.
В RLPack срезать нЕчего.Там "приращивать" надо.(Pavka больше знает)
Пеп,по другому не сдампишь.Или собирать по кускам.
Если ради одного ПеПа,то наверно - не стоит.Я уже приловчился.
Хотя может у сообщества,больше опыта и если выскажуться - "за".
Тогда решение само созреет.
> А вот если там не нули-хрен его знает, как тогда делать...
Вот если для ПеПа(Delphi),то как раз вручную и приходиться обрезать ОТ последней(.tls),ДО секции ресурсов.Если .tls не пересчитать и не выправить,то при дампировании висяк получаем.
Возможно в этом случае,нули и не стоит обрезать.


Ранг: 85.7 (постоянный)
Статус: Участник

Создано: 3 июля 2007 00:42 · Поправил: Rid3r New!
Цитата · Личное сообщение · #18

[удали меня]


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 3 июля 2007 09:09 · Поправил: Archer New!
Цитата · Личное сообщение · #19

Flint
Посмотрел я unkOwn_Crypter, никак его распаковка не укладывается в общую схему, которая реализована в QU, поэтому включать его поддержку не буду. НО если я когда-нибудь сподоблюсь написать скрипты, вполне можно будет анпачить это с помощью скриптов.
Bronco
Насчёт срезания секций, я думаю, ну нафиг, там придёццо для этого делать отдельную форму+пересчитывать размер прошлых секций и тд, а особого смысла для этого нет, ибо юзается такое мало где.
Spirit
Насчёт слёта при многократном использовании ОЕП Файндера от Хумана, у меня на последней версии не подтвердилось.


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 3 июля 2007 10:35 New!
Цитата · Личное сообщение · #20

Archer
Согласен,что пока - мало.
Да и PE Dumper v3.0/FKMA,с этой фишкой,пока рулит.
Но для связки с Ольгой,такие примочки,может и понадобяться в будущем.
-----------
Даже не вериться,что ИмРеку альтернатива есть,да ище с методом syd'а.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 июля 2007 13:58 New!
Цитата · Личное сообщение · #21

Archer пишет:
если я когда-нибудь сподоблюсь написать скрипты

Если бы в QU была поддержка скриптов было бы здорово;)Archer пишет:
[i]Archer пишет:
Посмотрел я unkOwn_Crypter, никак его распаковка не укладывается в общую схему

Там распаковыват не чего бряк на CreateProcessA ниже после выделения памяти дампить! Я выкладывал скрипт там с десяток подобного добра дампится


Ранг: 500.5 (!)
Статус: Участник

Создано: 3 июля 2007 14:32 New!
Цитата · Личное сообщение · #22

pavka пишет:
бряк на CreateProcessA ниже после выделения памяти дампить

общая схема - это как раз не бряк на CreateProcess а бряк на указанном оеп

pavka пишет:
Если бы в QU была поддержка скриптов было бы здорово

+1


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 3 июля 2007 15:14 New!
Цитата · Личное сообщение · #23

ОК, основные вещи поправил, кой-чо переделал. Начну тогда потихоньку мутить скриптовое двигло, пожалуй. Может, к концу лета намучу.
pavka
Я не спорю, там реально в анпаке ничего сложного нет, но архитектура QU немного другая. К примеру, дамп идёт не произвольной области, а только самого файла и идёт, стоя на ОЕП. + заточено для 1 процесса, поэтому для того, чтобы на автомате анпакать эту фигню, придёццо менять архитектуру немного, а оно того не стоит, ибо пакер фигня. Придут скрипты-он и так загнёццо.
Bronco
Ну там импорт уже не методом Сида. При изначальном анпаке проги остался 1 метод, в основе которого метод Сида, но довольно сильно мной переделанный. При аттаче же все методы поиска мной написаны.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 3 июля 2007 17:45 New!
Цитата · Личное сообщение · #24

Smon пишет:
общая схема - это как раз не бряк на CreateProcess

Archer пишет:
но архитектура QU немного другая.

Я о том же что подобную муть в ольке за пару секунд снимаешь и нет смысла включать поддержку подобной дряни ;)


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 3 июля 2007 18:09 New!
Цитата · Личное сообщение · #25

pavka пишет:
нет смысла включать поддержку подобной дряни

ИМХО анпакер должен быть анпакером и сл-но снимать должен всякую дрянь!


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 3 июля 2007 20:23 New!
Цитата · Личное сообщение · #26

Flint пишет:
анпакер должен быть анпакером

Он уже не просто унпакер...)))))
Там возможности гораздо шире,и...уже часть реализованны.
Я тока пока со скриптами не вьехал,их же всё равно под Ольгой, и писать ,и тестировать.
Или что-то будет своё?


Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 3 июля 2007 21:06 New!
Цитата · Личное сообщение · #27

Archer
крути к нему lua -- есть либа... вот --> тут <-- http://www.hiew.ru/hem.html прикрутили скрипты к хью...


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 6 июля 2007 21:13 New!
Цитата · Личное сообщение · #28

"ИМХО анпакер должен быть анпакером и сл-но снимать должен всякую дрянь!"
Ты много такой дряни как unkOwn_Crypter видел?
К черту его поддержку!


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 6 июля 2007 21:36 New!
Цитата · Личное сообщение · #29

Nightshade
Да всё уже, я решил, что поддержку его включать не буду. В релизе 2.0 будут скрипты, если в них реализую бОльшую часть основного функционала, то снимать можно будет эту шнягу с помощью скрипта (как пример скрипта, как раз его и накатаю, наверно).
Bronco
А вот скрипты наверняка будут свои, т.е. кормишь QU какой-то свой скрипт, и он делает, чо надо. С олькой никак связано не будет. Вполне вероятно, что скрипты реально будут на lua, ещё пока думаю.


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 6 июля 2007 23:45 · Поправил: deepred New!
Цитата · Личное сообщение · #30

Archer пишет:
В релизе 2.0 будут скрипты, если в них реализую бОльшую часть основного функционала, то снимать можно будет эту шнягу с помощью скрипта (как пример скрипта, как раз его и накатаю, наверно).

Медленными, но верными шагами Quick Unpack постепенно превращается в отладчик.
P.S. И хотел еще посоветовать добавить такую функцию, как восстановление ресурсов после распаковки. А то у многих распакованных файлов секция ресурсов лежит в секции пакера. Если эта фича будет, то тогда Quick Unpack по настоящему можно будет считать УНИВЕРСАЛЬНЫМ РАСПАКОВЩИКОМ. Если договориться с Dr.Golova, то можно взять метод на основе его Resource Rebuilder v1.0.


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 7 июля 2007 03:53 New!
Цитата · Личное сообщение · #31

Archer
А вот скрипты наверняка будут свои
А чем Олины хуже?Тут хоть понятно что писать.
Была как то утиль aPE.public.version_0.1.0beta.Я так и не отдуплился,с чего заготовки пишуться.
deepred
Resource Binder(SetiSoft) кажись на тех сорцах "воспитан"...))),
но вырос в хорошую утилю.
И ребюлд заголовка,и перестраивает ресурсы,вообщем "грызёт" всё подряд после любого унпака,хоть прота,хоть пакера...))))
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS