eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rmn (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 33 . 34 . >>
Посл.ответ Сообщение


Ранг: 55.8 (постоянный)
Статус: Участник
[www.AHTeam.org]

Создано: 13 мая 2006 12:51 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 28 июля 2007 12:29 New!
Цитата · Личное сообщение · #2

Errins
Косяк подтверждаю. Уже понял, из-за чего он. В следущей версии будет поправлено.

Ранг: 15.5 (новичок)
Статус: Участник

Создано: 29 июля 2007 17:43 New!
Цитата · Личное сообщение · #3

Archer
Нашел баг при открытии файлов. Посмотри файлы в аттаче. Обрати внимание на Virtual Size последней секции.

{ Атач доступен только для участников форума } - winmine.rar


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 29 июля 2007 17:53 New!
Цитата · Личное сообщение · #4

Errins
Баг подтверждаю. Спасибо за наводку, буду думать, как бы от него избавиться.


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 29 июля 2007 22:08 New!
Цитата · Личное сообщение · #5

Залил новую версию на qunpack.ahteam.org/wp-content/uploads/2007/07/qunpack2beta.zip Все старые бетки были убиты. Опять-таки это не релиз, а бета для тестинга.
Из нового скажу, что сообщённые баги были поправлены.
Изменилось управление памятью, теперь она расходуется более экономно, что позволяет обращаться с огромными секциями (хотя это происходит порой по 15 минут и своп вырастает до 3 Гб, так что ждите, если оно так). Косяк с этим делом в меру возможностей поправил (может и на ПЕП замахнусь с его бегемотными секциями). Поскольку переписано было немало, могут появиццо какие-нить хитрые баги, хотя мой быстрый тестинг их и не выявил.
Также в драйвере был найден косячок, который не позволял корректно передать управление обработчику 13 прерывания, из-за чего прога отлаживаемая падала. Так что кто юзает двигло Сида, может взять обнову (с другой стороны, если прошлую обнову у меня не брали, где были введены альтернативные бряки, то смысла брать нет, ибо интерфейс общения с дровом менять придёццо).

В планах на будущее прикрутить скрипты, наконец. К релизу версии 2.0 (планируется к концу лета) надеюсь это сделать.
В относительном будущем может будет возможность прикрутить Dream of every reverser от deroko (если он даст разрешение), вещь поистине замечательная, ищет ОЕП во многих случаях и весьма быстро.
Совсем в далёком будущем планируется обратить взор в сторону аппаратной виртуализации. Если кто подкинет сорцы в соответствующей теме, и я с этим разберусь, то будет.

Ну и всем удачи, пишите багрепорты/замечания/предложения. Как видите, поддержка довольно быстрая и либеральная.

Ранг: 5.4 (гость)
Статус: Участник

Создано: 30 июля 2007 01:58 New!
Цитата · Личное сообщение · #6

Archer

Ахив шифруй, поскольку если пропустить через антивирус то пишет TR/Agent.BYM


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 30 июля 2007 02:25 New!
Цитата · Личное сообщение · #7

Archer
Я заметил что QU 2 перестал распаковывать PECompact. Версия 1.0 beta 5 PEiD распаковывает отлично, а вот QU 2.0 не хочет. Если есть у тебя DivX Player попробуй еще на нем, там тоже PECompact. Пока из замеченных минусов все.


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 30 июля 2007 09:15 New!
Цитата · Личное сообщение · #8

Разрешение от deroko на использование его Dream of every reverser получено, буду прикручивать.
Vadim Sergeevich
Ну что я могу сказать, только: В топку такие антивири. З.Ы. Чисто из любопытства, какой антивирь и на какой файл?
deepred
DivX Player под рукой нету, просьба выложить, на чём не работает. З.Ы. Одна из прошлых версий DiE была пакована PECompact, её нормально анпачит. PEiD 0.94 тоже нормально анпачится, ибо эта программа первая идёт на тесты. Так что вряд ли не берёт PECompact, но если что, буду править.


Ранг: 500.5 (!)
Статус: Участник

Создано: 30 июля 2007 09:46 New!
Цитата · Личное сообщение · #9

Archer
Сделай по возможности фичу бряка на заданном адресе, чтобы потом можно было приаттачиться к этому процессу отладчиком, тем более что будет два разных трэйс движка (антиотладка идёт лесом)


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 30 июля 2007 10:15 · Поправил: Archer New!
Цитата · Личное сообщение · #10

Smon
Насчёт аттача отладчиком-это всё через скрипты скорее всего можно будет сделать (протрассировать до нужного момента, потом усыпить процесс и деаттач драйвера с последующим аттачем любым отладчиком).
Получил сорцы Dream of every reverser. Там такой хитрый момент, что он использует драйвер, а драйвер этот нельзя выгружать. Ещё, насколько я понял, там можно ловить бряк не только на исполнение, но и на чтение/запись, что теоретически позволяет обходить проверку патченого кода. Я пока склюняюсь к тому, чтобы сделать из него пока просто OEP Finder. А антиотладку планирую пустить лесом через аппаратную виртуализацию. Но в принципе если у кого-нибудь будет дикое желание переделать QU в стриппер какого-нить аццкого протектора, то для большей недектируемости может и подумаю о слиянии движка Сида и дероко.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 30 июля 2007 10:25 New!
Цитата · Личное сообщение · #11

Archer пишет:
своп вырастает до 3 Гб,

Archer пишет:
может и на ПЕП

Так как пеп накожен за это в морду давать надо и подвергать жесткому остракизму ..
Smon пишет:
Сделай по возможности фичу бряка на заданном адресе, чтобы потом можно было приаттачиться к этому процессу

+1


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 30 июля 2007 11:05 New!
Цитата · Личное сообщение · #12

pavka пишет:
Так как пеп накожен

И подкожен тоже....)))))))))))
Вот так вот лишать удовольствия людей,и причём на ровном месте...))))))
Но это радует:
и на ПЕП замахнусь
своп вырастает до 3 Гб
Archer
Это вообще не прот,а какой-то "дикий,злобный архиватор,напичканый детектом".
Без Айса,там сложновато работать.


Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 30 июля 2007 11:24 New!
Цитата · Личное сообщение · #13

Avira AntiVir PersonalEdition Classic детектит трояна в архиве TR/Agent.BYM, но если распаковать архив, то ничего не детектит


Ранг: 251.8 (наставник)
Статус: Участник
Seeker

Создано: 30 июля 2007 13:51 New!
Цитата · Личное сообщение · #14

deepred

Тестил на 1.4 и 2.79 на calc.exe и делфовской проге. Все прекрасно распаковывается.


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 30 июля 2007 14:07 New!
Цитата · Личное сообщение · #15

Archer
=TS=
Странно, вчера тестил не распаковывалось ни на каком режиме. Сейчас еще раз попробовал - все распаковалось. Видимо вчера какой то косяк был в ОС, надо было перезагрузиться.

Ранг: 15.5 (новичок)
Статус: Участник

Создано: 30 июля 2007 19:49 New!
Цитата · Личное сообщение · #16

Archer
Посмотри вот этот файлик (запакован UPX). Та версия QU, которую ты выложил последней, запоролась на нем, в отличие от предыдущих. Я туда добавил SEH (и исключение недалеко от EP) , именно после чего и стал не справляться QU.

{ Атач доступен только для участников форума } - winmine.exe


Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 30 июля 2007 19:59 New!
Цитата · Личное сообщение · #17

Archer, будет ли поддержка перестройки секции ресурсов (опционально)? Как-то Dr.Golova "грозился" написать гуевую версию, может есть смысл с ним насчет этого перетереть..


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 30 июля 2007 21:21 New!
Цитата · Личное сообщение · #18

Errins
Уже пошли пинки в меня по поводу нового драйвера, неужто я опять там что-то не доглядел... Этот косяк подтверждаю, буду работать.
Kindly
*бьюсь об клавиатуру и плачу от бессилия. Ты уже где-то 4 или 5, кто это спрашивает. Всем я отвечаю так: ПЕРЕСТРОЙКА РЕСУРСОВ УЖЕ ЕСТЬ ДАВНО, ЕЩЁ С ВЕРСИИ 1.0 RC1, ОНА ПРОИСХОДИТ ПРИ ОТРЕЗАНИИ СЕКЦИЙ. ЛЮДИ, ПОЖАЛУЙСТА, ЧИТАЙТЕ РИДМИ. Ну вот, примерно вот так.


Ранг: 1120.0 (!!!!)
Статус: Участник

Создано: 31 июля 2007 03:29 New!
Цитата · Личное сообщение · #19

Archer пишет:
ЛЮДИ, ПОЖАЛУЙСТА, ЧИТАЙТЕ РИДМИ.


дык предлагали же - выводи наиболее интересные места в главном окне программы


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 2 августа 2007 11:57 New!
Цитата · Личное сообщение · #20

Вот очередная бетка. Опять-таки только для тестирования. Снова я исправил косяки в драйвере (на этот раз, думаю, всё уже окончательно нормально), поправил все баги, о которых было сообщено. Думаю, что это последняя бетка, следущий будет уже релиз где-нить в конце лета-начале осени.
qunpack.ahteam.org/wp-content/uploads/2007/08/qu20beta.zip
Gideon Vi
Да там половина ридми-интересное место, не пихать же 5 страниц туда.


Ранг: 1120.0 (!!!!)
Статус: Участник

Создано: 2 августа 2007 13:08 New!
Цитата · Личное сообщение · #21

Archer пишет:
Вот очередная бетка.


спасибо за релиз

Archer пишет:
Да там половина ридми-интересное место, не пихать же 5 страниц туда.


Да, но после этого ты уже будешь иметь полное маральное право пуская дым из обоих ноздрей посылать всех на RTFM и Потом - можно же сделать просто: в процессе унпака, перед выводом лога просто очищать окно


Ранг: 1120.0 (!!!!)
Статус: Участник

Создано: 2 августа 2007 13:13 New!
Цитата · Личное сообщение · #22

Во, а ещё сплеш-скрин можно сделать - закинуть туда админа, который в истерике по клаве стучит головой

зы. Да знаю, знаю: не надо курить такую траву. Пробовал - не помогает


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 2 августа 2007 13:32 New!
Цитата · Личное сообщение · #23

Gideon Vi
Да не, ридми пихать не буду, пожалуй, ибо там отформатировано фигово будет+на 1 страницу не влезет, а скролить вряд ли будут+прога на инглише, значит инглиш и надо пихать, а его наши вряд ли читать станут.
А вот насчёт сплеша... как бы сказать так помягче ты уверен, что это поможет распаковке? Просто на мне сейчас 4 проекта и такие вещи, пожалуй, как-нить потом прикручу, когда всё остальное будет готово.


Ранг: 1120.0 (!!!!)
Статус: Участник

Создано: 2 августа 2007 16:32 New!
Цитата · Личное сообщение · #24

Archer пишет:
ты уверен, что это поможет распаковке?


нет, это поможет в понимании состояния автора, которому в десятый раз задают один и тот же вопрос Но ты прав, конечно - как-нибудь потом

Ранг: 15.5 (новичок)
Статус: Участник

Создано: 2 августа 2007 18:32 New!
Цитата · Личное сообщение · #25

Archer
Если после аттача к процессу попытаться распаковать файл второй раз, то QU зависает. В первой бетке второй версии такого не было, так что, по-видимому, ты еще не всё поправил.

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 2 августа 2007 19:52 New!
Цитата · Личное сообщение · #26

Не надо пихать ридми в главное окно проги. Просто перед первым запуском программы необходимо выводить лиц.соглашение (оно выводиться) и там написать основные возможности (перестройка ресурсов, обрезание секций и т.д.). А что бы пользователь действительно это прочитал (а не как я: запустил, свернул, секунд через сорок вернулся, нажал кнопку и всё) надо в самом тексте сделать маленький линк при нажатии которого активируетсья кнопка OK, или же кнопка OK активна, но если не нажать линк то выскочит сообщение, что ты ещё не прочитал текст. Линк естественно не синим цветом, что бы сразу не кидался в глаза. Вот тогда думаю несоторые вопросы о возможностях QU у большенства отпадут.


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 2 августа 2007 21:29 New!
Цитата · Личное сообщение · #27

Errins
Это действительно так, вроде, буду править.
Assass1n
В принципе не место в лицензионном соглашении посторонним надписям. А насчёт того, что его никто не читает, дык мне фиолетово, оно всё равно для отмазы.
Ладно, оставлю я этот ридми в покое, некуда его особо пихать. На этом вопрос с ридми считаю закрытым.

Ранг: 213.5 (наставник)
Статус: Участник
забанен

Создано: 3 августа 2007 00:16 New!
Цитата · Личное сообщение · #28

Archer
Так на всякий случай, может прикрутишь потом если захочешь(я лично именно такой вариант и сделал бы)
ShellExecute(NULL, "open", <fullpath_Readme.rus.txt>, NULL, NULL, SW_SHOWNORMAL);
В блокноте будет выводиться Readme.rus.txt при старте и опционально можно сделать в настройках (у тебя, их там пока две), чтобы отключалось…
Проверять в файле настроек(QU.ini при старте), если есть ключ(отдельный например ShowReadme), значит, как заказывал пользователь в параметре, ну а если нету его там, значить делать вывод Readme, ну еще там можно определять какой язык в системе основной и на основе него ENG.txt или RUS.txt
Такие реализации есть в инете стопудофф, просто закопипастить код, вроде проблем недолжно быть (Наверное, лучший вариант)

P. S.
просто не знал, что там спецформатвывода присутствует, который затрудняет вывод обычного текста в контрол… И естественно я имел в виду один раз выводить…


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 3 августа 2007 00:30 New!
Цитата · Личное сообщение · #29

И тамагочи туда ещё,чтоб веселее было.
--------------
Нормальный чел,обязательно ридми прочтёт.
Ресурсы квик ребюлдит,только в рестораторе к примеру,они не доступны.Их всё равно перестраивать приходиться.Поэтому и вопросы возникают,ну типа тест же идёт.Народ же не с упрёком,и не с предьвами постит.


Ранг: 1988.9 (!!!!)
Статус: Модератор
retired

Создано: 3 августа 2007 08:35 New!
Цитата · Личное сообщение · #30

Demon666
А вот насчёт открытия ридми при старте я подумаю, неплохая идея.
Bronco
Я, собственно, и делаю ребилд, чтоб отрезать секции+чтоб доступны были. Как это недоступны в рестораторе?? Сейчас проверил на PEiD, без отрезания секций ругаются на ресурсы. С отрезанием секций ExeScope и ResHacker все ресурсы увидели. Ресторатора вот нет под рукой...


Ранг: 263.8 (наставник)
Статус: Участник
Advisor

Создано: 3 августа 2007 10:40 New!
Цитата · Личное сообщение · #31

Archer
У рестаратора драг/дроп удобный,я поэтому его юзаю(2006).ExeScope и ResHacker,они же под старые языки програмирования,тестовые строки некоректно отображают.Я ими не проверял.PE Explorer читает,но гробит,если при сохранении правит sizeofimage.ResBinder,на мой взгляд,по перестройке ресурсов,самая удачная утиля.Сети как-то ваш квик,в дистрибутиве лайки держал.Не думаю,что будет против,если его утилю заюзать,в дистрибутив квика.Его утиля,действительно грызёт всё.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 33 . 34 . >>
 eXeL@B —› Протекторы —› Quick Unpack - универсальный распаковщик

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS