Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Нашёл, почему вылет на виртуалке: v1.304 - Fixed compatible with VMWare, а кейген накрыт 1,3
В аттаче масмовые болванки под обоими версиями. Но здаётся мне, что эклипсы владели какой-нибудь приватной версией, так как эти файлы синяков не дают.
Но с импортом косяки получаются, так что посмотри на досуге.

WinXP SP2 (все обновления)
AMD Athlon 64, nForce4

PAGE_FAULT_IN_NONPAGED_AREA
STOP: 0x00000050 (0xBAF20000,0x00000000,0x80506389,0x00000000)

252b_15.08.2007_CRACKLAB.rU.tgz - 3.rar

| Сообщение посчитали полезным:

Gideon Vi
Болванки я посмотрел. Действительно на виртуалке не пашет 1.3. Но 1.304 пашет. Насчёт импорта-там переходники переиначиваюццо в простой jmp даже безо всяких ссылок на импорт, я их не обрабатываю при импорте, ибо будет слишком много ложных переходников да и для импорта тогда придёццо ячейку самому искать. В будущем может чо-нить с этим и сделаю, но пока нет.
Я посмотрю эклипсовую фиговину на другом реальном компе тогда. PAGE_FAULT обычно не очень сложно отследить.

| Сообщение посчитали полезным:

Аттач не смотрел,своих синяков хватает.
Но мне кажется ,Квик,пока без скриптов не потянет PESpin.
В связке с Ольгой,вроде без вопросов.
Вот Павкин скриптец рабочий,для таблички.
Если синтаксис ask ошибкой будет завершается,пропиши адрес и размер напрямую.



03f0_16.08.2007_CRACKLAB.rU.tgz - PESpin_иат.txt

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Вот Павкин скриптец рабочий,для таблички.
Там еще для фикса джампов нужен я забыл про него ! Вот я переделал в один !


5b16_16.08.2007_CRACKLAB.rU.tgz - PESpin 1.304Publikunpack.txt

| Сообщение посчитали полезным:

pavka, можно куда-нибудь архив твоих публичных скриптов?

Archer пишет:
В будущем может чо-нить с этим и сделаю, но пока нет.

А не критично, я на всякий случай подкинул

| Сообщение посчитали полезным:

Gideon Vi
Посмотрел я на реальной тачке ХР СП 2 без патчей. ОЕП, что в файле указан-не то, я взял за ОЕП 40ef59 (не оеп, но для анпака сгодиццо). Прошёлся в ольке до этого адреса, зациклил прогу там, деаттачил ольку, зааттачился QU-ом, выбрал восстановление импорта через трейсинг. Дошло до конца, ничего не упало. Согласен, что распозналось через задницу, ибо начало функций было потырено и выполнено отдельно, но не упало. Может это не из-за меня упало, может версия потому что у меня поновее, может ты делал по-другому, хз даже. Больше никто не жаловался пока на такое. Если критично, пиши в личку, дам аську, там версию поновее и тд, будем разбираццо. Ну а если не критично, то и фиг с ним.

| Сообщение посчитали полезным:

У эклипса обычный песпин ;) В скрипте поравить вот это место
sub addr,AE9
sub addr,AE2 <------ на
и при воставлении редиректа в хидер script haggar желательно запускать пару тройку раз так как он пропускает иногда прямо из окна скрипта с этой строки
var stolen
var addr
var Redir
var buffer
var temp
var Value
mov addr,401000
mov stolen,0
ну и вот эклипс распакованый скриптом столен оеп в спине нет смысла восстанавливать там оно примитивное ..

d0f3_16.08.2007_CRACKLAB.rU.tgz - ecloee39.rar

| Сообщение посчитали полезным:

Archer
Второй раз не приаттачишься к процессу.QU зависает.
приаттачил бяку..
pavka пишет:
оеп в спине нет смысла восстанавливать там оно примитивное ..
Для коллекции посмотри.



4bbb_16.08.2007_CRACKLAB.rU.tgz - tras_trn.exe

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

А чего его смотреть ;) вот
0040EF0B > 6A 60 PUSH 60
0040EF0D 68 448B4400 PUSH ecloee39.00448B44
0040EF12 E8 3D1F0000 CALL ecloee39.00410E54
0040EF17 BF 94000000 MOV EDI,94
0040EF1C 8BC7 MOV EAX,EDI
0040EF1E 68 5B8B4400 PUSH ecloee39.00448B5B
0040EF23 E8 88200000 CALL ecloee39.00410FB0
0040EF28 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0040EF2B 8BF4 MOV ESI,ESP
0040EF2D 893E MOV DWORD PTR DS:[ESI],EDI
0040EF2F 56 PUSH ESI
0040EF30 FF15 3C814100 CALL DWORD PTR DS:[41813C] ; kernel32.GetVersionExA
0040EF36 8B4E 10 MOV ECX,DWORD PTR DS:[ESI+10]
0040EF39 890D 30014200 MOV DWORD PTR DS:[420130],ECX
0040EF3F 8B46 04 MOV EAX,DWORD PTR DS:[ESI+4]
0040EF42 A3 3C014200 MOV DWORD PTR DS:[42013C],EAX
0040EF47 8B56 08 MOV EDX,DWORD PTR DS:[ESI+8]
0040EF4A 8915 40014200 MOV DWORD PTR DS:[420140],EDX
0040EF50 8B76 0C MOV ESI,DWORD PTR DS:[ESI+C]
0040EF53 81E6 FF7F0000 AND ESI,7FFF
0040EF59 83F9 02 CMP ECX,2
0040EF5C 74 0C JE SHORT ecloee39.0040EF6A
0040EF5E 81CE 00800000 OR ESI,8000
0040EF64 8935 34014200 MOV DWORD PTR DS:[420134],ESI
0040EF6A C1E0 08 SHL EAX,8
0040EF6D 03C2 ADD EAX,EDX
0040EF6F A3 38014200 MOV DWORD PTR DS:[420138],EAX
только я поспешил под все оси еще вот этим скриптиком обработать для разной адресации

var dw
var iat
var func
var sr
var hex
var masc
mov sr, 401000
ask "Enter start Iat"
cmp $RESULT
je quit
mov iat, $RESULT

ask "Enter masck format #FF15??????...# other #FF25????...#8B????...# и т.д"
cmp $RESULT
je quit
mov masc,$RESULT

loop:
Find sr,masc
cmp $RESULT,0
je quit
mov sr, $RESULT+6
mov dw,$RESULT+2
mov func,[dw]
mov hex,[func]
find iat,hex
cmp $RESULT,0
je loop
mov [dw],$RESULT
jmp loop

quit:
ret

| Сообщение посчитали полезным:

pavka
Я не пойму,почему у меня сбои идут в таких местах:
ask "Enter masck format #FF15??????...# other #FF25????...#8B????...# и т.д"
Приходиться руками в скрипт вписывать.
-----------------------
А чего его смотреть ;)
Тогда и спрашивать уже нечего

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Извини ;) я не понял о чем ты вот оеп

0040186E > 68 14CB4100 PUSH trn.0041CB14 <-----Oep
00401873 E8 7E150000 CALL trn.00402DF6
00401878 E8 11FEFFFF CALL trn.0040168E
0040187D FF7424 04 PUSH DWORD PTR SS:[ESP+4]
00401881 E8 FA020000 CALL trn.00401B80
00401886 FF35 14A24000 PUSH DWORD PTR DS:[40A214] ; trn.00401B05

Кроме того там есть маркеры
00401994 68 3D90BA40 PUSH 40BA903D их нопить
00401999 90 NOP
0040199A 90 NOP
0040199B 74 1A JE SHORT trn.004019B7
0040199D 68 90BA4000 PUSH trn.0040BA90
004019A2 E8 CB190000 CALL trn.00403372
004019A7 85C0 TEST EAX,EAX
004019A9 59 POP ECX
004019AA 74 0B JE SHORT trn.004019B7
004019AC FF7424 04 PUSH DWORD PTR SS:[ESP+4]
004019B0 FF15 90BA4000 CALL DWORD PTR DS:[40BA90]
Я не смотрел сколько их прога запустилась нормально но по ходу есть еще

| Сообщение посчитали полезным:

Bronco
push лишний в оригинале наверное вот так
0040186E > E8 83150000 CALL trn.00402DF6 <-- oep
00401873 ^ E9 16FEFFFF JMP trn.0040168E
00401878 |$ E8 69E9FFFF CALL trn.004001E6
маркеры убрал все вроде нормально работает ;)Bronco пишет:
Я не пойму,почему у меня сбои идут в таких местах:
можно и руками но неудобно ;)

| Сообщение посчитали полезным:

pavka
- Жестокий Век,жестокие сердца
Смотреть не буду,но на всякий случай оторву?
А вот с маркерами,я как то не отдуплился,поэтому,в своё время,не добил.
Учтём.Понятно что для QU,этот пакер,пока рановат.
//Будем придерживаться темы.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Archer
Извини пожалуйста,что не по твоей теме.
pavka
Похоже,мы с тобой в трёх соснах заблудились.
Вот родной ОЕР:
0040168E > $ 6A 60 PUSH 60
00401690 . 68 20944000 PUSH 555_.00409420
00401695 . E8 5E150000 CALL 555_.00402BF8
.....и т.д.
А за маркеры конечно спасибо.Пока всего два занопил.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

По ходу там всего три маркера.
Кста теперь в инэт не ломиться.
//В принципе чего и хотелось

4e5d_16.08.2007_CRACKLAB.rU.tgz - tras_trn_un.rar

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

pavka
Маркеров всего 5 штук.
Но...их не нопить надо
Фигня всё это,трейнер не рабочий получается.
Выправить надо на 3 джапа и 2 вызова.
//Запусти сабж без скриптов,и пройдись по этим адресам.
//+ещё надо поправить инструкцию после первого маркера(тут 00401994,будет jmp,нажми f7 и поправь)
Табличка тоже по ходу целая rva=00408000 size=00000134
Вот под русскую лариску рабочий получился.



7190_16.08.2007_CRACKLAB.rU.tgz - tra_trn_un.exe

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Archer пишет:
ОЕП, что в файле указан-не то

ой, как интересно

pavka пишет:
ну и вот эклипс распакованый скриптом

какое там реальное OEP?

Archer пишет:
я взял за ОЕП 40ef59

а с моим oep синяк не выпадал?

| Сообщение посчитали полезным:

Bronco пишет:
Похоже,мы с тобой в трёх соснах заблудились.
не не заблудились
0040186E > E8 83150000 CALL trn.00402DF6 <-- oep стартовый кэл
00401873 ^ E9 16FEFFFF JMP trn.0040168E <---
Стандартное оеп сишное он практический с stolen oep пихает один только мусор
;) с маркерами я давно разбирался точно уж не помню где то валялся скрипт надо найти, но помню что не сложноGideon Vi пишет:
какое там реальное OEP?
вот я выше постил
0040EF0B > 6A 60 PUSH 60
0040EF0D 68 448B4400 PUSH ecloee39.00448B44
0040EF12 E8 3D1F0000 CALL ecloee39.00410E54
0040EF17 BF 94000000 MOV EDI,94
0040EF1C 8BC7 MOV EAX,EDI
0040EF1E 68 5B8B4400 PUSH ecloee39.00448B5B
0040EF23 E8 88200000 CALL ecloee39.00410FB0
0040EF28 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0040EF2B 8BF4 MOV ESI,ESP
0040EF2D 893E MOV DWORD PTR DS:[ESI],EDI
0040EF2F 56 PUSH ESI
0040EF30 FF15 3C814100 CALL DWORD PTR DS:[41813C] ; kernel32.GetVersionExA
0040EF36 8B4E 10 MOV ECX,DWORD PTR DS:[ESI+10]
0040EF39 890D 30014200 MOV DWORD PTR DS:[420130],ECX
0040EF3F 8B46 04 MOV EAX,DWORD PTR DS:[ESI+4]
0040EF42 A3 3C014200 MOV DWORD PTR DS:[42013C],EAX
0040EF47 8B56 08 MOV EDX,DWORD PTR DS:[ESI+8]
0040EF4A 8915 40014200 MOV DWORD PTR DS:[420140],EDX
0040EF50 8B76 0C MOV ESI,DWORD PTR DS:[ESI+C]
0040EF53 81E6 FF7F0000 AND ESI,7FFF
0040EF59 83F9 02 CMP ECX,2
0040EF5C 74 0C JE SHORT ecloee39.0040EF6A
0040EF5E 81CE 00800000 OR ESI,8000
0040EF64 8935 34014200 MOV DWORD PTR DS:[420134],ESI
0040EF6A C1E0 08 SHL EAX,8
0040EF6D 03C2 ADD EAX,EDX

| Сообщение посчитали полезным:

Archer пишет:
Ну а если не критично, то и фиг с ним.

да, в принципе, фиг с ним я с этим пакером/протом ещё не сталкивался, но не ожидал, что OEP не правильно пределю

| Сообщение посчитали полезным:

Bronco пишет:
Маркеров всего 5 штук.
с нопами я перебрал ;) там после скрипта
00401BC2 833D 10A24000 01 cmp dword ptr ds:[40A210],1
00401994 833D 90BA4000 00 cmp dword ptr ds:[40BA90],0
0040199B 74 1A je short trn.004019B7
004019FD 833D 94BA4000 00 cmp dword ptr ds:[40BA94],
надо в скрипт вставить ..

| Сообщение посчитали полезным:

Вот это вы набежали, стоило мне отойти, всю мою тему зафлудили, ещё и листинги такие бегемотные.
А тем временем скрипты практически готовы, проходят последние тестирования. Доку по скриптам я тоже написал, осталось перевести на аглицкий это чудо, хотя и на русском писать запарился.
Gideon Vi
Ну я за ОЕП что брал, я уже сказал. Там байты потырены, поэтому я и говорю, что не реальное ОЕП, но близкое к нему и для анпака прокатит. А что было в аттаче указано, на нём прога вообще брякаццо не захотела, поэтому хз, насчёт синяка. Ну если фиг с ним, то и ладно. Просто в этом проте опции защиты могут быть забористые (частично там с армы содрано), рановато ещё QU на него натравливать.
Bronco
Насчёт двойного аттача поправил косячок.

| Сообщение посчитали полезным:

Archer пишет:
Просто в этом проте опции защиты могут быть забористые (частично там с армы содрано)
Два процесса и наномиты - только в приватных версиях (ну и на самом PESpin'е), которые не видел ни на одной реальной проге (ну и троях тоже)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Вот ещё бяка.
Download Link:http://www.sendspace.com/file/naijzv
File Delete Link:_http://www.sendspace.com/delete/naijzv/yzb3l
ОЕР определяет правильно,а с импортом не очень.
В связке,красота да и только.
Килять её похоже только через таскмен//точно что бяка
//у меня от 12.08.07 17-55

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Так, у мну почти всё готово для пре-релиза, а может сразу и релиза, только не знаю, когда переведу мануал по скриптам на аглицкий, ибо задолбался уже. А ещё все мои бета-тестеры куда-то нах разбежались: кто-то уехал, кто-то вообще пропал, а кто-то отмазываиццо работой. Так что кто хочет потестить-пишите.
Bronco
Файлег был вздрючен. На самом деле там фейковый бряк на ОЕП, Force unpacking юзать треба.

| Сообщение посчитали полезным:

Archer пишет:
только не знаю, когда переведу мануал по скриптам
Так мы и на родном языке читаем ;) выложи пока без фиглиша

| Сообщение посчитали полезным:

pavka
Ну для бетатестеров есть линк, там выложено. А для всех ещё рановато, пока ещё недостаточно оттестировано. +надо бы примеров скриптов побольше, пока там 1 только и тот куцый такой.

| Сообщение посчитали полезным:

На лiстi,та на слуху,воно казково...)))).Тiкi в мене,це фантастЫка...)))
Высю,як сопля,у зыму...)).Час е,дюже цiкаво,шо там за двигун такый новЫй...))))
И де цей лiнк?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Цей линк для бетатестеров, записывайся в их нестройные да и ещё и периодически разбегающиеся ряды и будет тебе линк, а для всех неоттестированное нет смысла выкладывать, а то нахватают ещё синяков или ещё чего.

| Сообщение посчитали полезным:

Quick Unpack должен брать PEBundle 2.0x - 2.4x-> Jeremy Collake или нет?

| Сообщение посчитали полезным:

tempread пишет:
PEBundle 2.0x - 2.4x-
это не столько пакер как биндер основной экзешник может и распакует хотя вряд ли ..;)

| Сообщение посчитали полезным: