Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

tempread
Не тестил ни разу, хз, давай файл-посмотрю. Хотя если это реально биндер, то наверняка не полностью снимет.

| Сообщение посчитали полезным:

Да, PEBundle в общем случае целиком и полностью не снимет, а в частном может и повезёт.
Итак, вот и решил выложить версию 2.0 пре-релиз. qunpack.ahteam.org/wp-content/uploads/2007/08/qu2pre.zip Добавлены скрипты и забойный оеп-файндер от дероко с драйвером. Что-то пофиксено, что-то убрано, читайте ридми. Функционал тут будет тот же, наверно, что и в релизе. В будущем добавлю больше функций/переменных и отладку скриптов, так что этими предложениями можете не спамить. Заодно скажу, что синтаксис некоторых функций может и измениццо.
Скажу сразу, что бетатестеры куда-то все подевались. А кто не подевался, упорно ничего не делает уже больше недели, посему говорю сразу, версия может быть просто по-адски бажная, а выкладывается для того, чтобы вы свыклись со скриптами, покурили маны и посмотрели пример скрипта с коментами.
Также скажу, что прочитайте мануал раз-два, а то и 5 раз, ибо синяк можно получить порой без особых проблем, так что аккуратней. Ну и если какие вопросы/баги/предложения-пишите.
И выделю отдельным текстом: МНЕ НУЖНЫ ЕЩЁ ТЕСТЕРЫ. Посколько софт пишется в основном для вас, хотя бы потестируйте его, если не хотите, чтобы он уплыл тихо в приват (хотя после некоторых весьма неблаговидных поступков мну им разочарован), потестить не так уж и сложно.
А вообще удачи, чем бы вы ни занимались.

| Сообщение посчитали полезным:

Если QU поверх всех окон, то под танцы с бубном приходится добераться до gui ОЕП файндеров (они то не поверх всех).
И иконка стала намного лучше ;)

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Archer пишет:
забойный оеп-файндер от дероко с драйвером

забористая вещь

PAGE_FAULT_IN_NONPAGED_AREA
STOP: 0x00000050 (0x8066B00,0x00000000,0xF79B9EFP,0x00000000)
doer.sys - Address F79B9EFB base at F79B9000, DateStamp 46c08976

Archer пишет:
И выделю отдельным текстом: МНЕ НУЖНЫ ЕЩЁ ТЕСТЕРЫ.

Что требуется от тестеров кроме: "Запустил, если упало - отписался"?

| Сообщение посчитали полезным:

Assass1n
Насчёт поверх всех окон, буду смотреть-патчить.
Gideon Vi
Хм, у меня (и ещё пары челов, кто гонял) синяка не было. Ридми почитал (он не пашет с каспером, с 2003 виндой)? Какой ещё софт был запущен? Всегда ли падает? Давай малый крашдамп на 88 кб тогда, буду смотреть.
От тестеров требуется сообщать о любых косяках и багах (в драйверах или отказалось что-то анпачить, может косяки интерфейса), можно вносить предложения (типа предложить для функи интерфейс изменить и тд) и желательно расширить список анпакаемых пакеров (погонять на других пакерах, список пакеров можно взять из темы про статик анпакеры, которые дрючат дофига пакеров, около 300 что ли, вот оно http://exelab.ru/f/action=vthread&forum=3&topic=9578) да и всё, наверно.

| Сообщение посчитали полезным:

Возник вопрос. Тестеры нужны то бы тестить QU в разных програмных окружениях на статическом наборе анпакуемых программ, или нужны тестеры,которы все время что-нибудь анпачат новое и при подходящем случае используют QU ?

| Сообщение посчитали полезным:

tempread
Да на одном и том же наборе оно, как правило, работает нормально. Тестеры нужны именно анпакать новое+тестить новые фичи, типа разных скриптовых функций (ибо функи я в скрипты вывел, но тестил далеко не все).

| Сообщение посчитали полезным:

Archer
Луа всё таки печёт
Мусор кончился,вечерком по кряксайтам прошвырнусь,мож нарою какую бяку.
Мож для пользы дела OllyAttach.txt перевести?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Да я не знаю. Если совсем уж делать нечего, то можешь перевести на великий и могучий

| Сообщение посчитали полезным:

проблема с ASProtect
Пробывал с помощью QU распаковать Iconlover (любой версии, результат один),
после распаковки (файл увеличивается почти в 3 раза) Vera пишет что прот остался той же версии, а файл при попытке запуска выводит (File corrupted ! Please run a virus-check, then reinstall the application.)
может конечно я сам косячу, или это нормально? тогда что дальше? как избавиться от проверки CRC?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет: проблема с ASProtect

Ты бы еще WinLicense QU попробывал распаковать. QU - великолепный продукт, однако он не приспособлен для распаковки протекторов такого уровня. Тыкву нужно подмонтировать для распаковки в данном случае.

| Сообщение посчитали полезным:

Isaev
Короче только что проверил следующий метод:
пакер - Арма, версия - 4.64 (наверно), защита - стандарт, программа - игра какая та (взят левый файл для чистоты эксперимента)
Запускаем отладчик, загружаем исследуемый файл, фиксим magic jump, доходим до call ecx и входим туда, для того что бы стать на само OEP. далее запускаем QU -> Attach to process -> выбираем наш exe -> OK - > Full unpack.
Файл прекрасно распаковался и заработал.

Предложение to Archer:
может имеет смысл добавить опцию не перестраивать секции файла, а добавлять импорт новой секцией (аля импрек), т.к. уменьшение объёма файла путём отрезания секций прота после распаковки QU-ом становится невозможным.

Isaev
Можешь попробывать проделать данные вещи и для Аспра, тем более, что QU прекрасно совместим с плагами импрека, а для аспра их предостаточно, т.е. доходишь до OEP, вписываешь столен байты (если они есть) и вперёд на мины с QU. Или поиграйся со скриптами, заодно и потестишь ;)

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Ну в АСПРе виртуальная машина, её даже со скриптами не взять, имхо, ибо нет пока работы с секциями (точнее есть, но в скрипты не вынесено пока) (хотя если кто-то напишет скрипт, чтобы секции были не нужны, а все инструкции восстановить 1 в 1 с оригиналом-ну-ну ).
Насчёт армы-сам не пробовал, но в идеале весь перенаправленный импорт должна трассировка восстановить, так что арма может и без аттача нагнёццо.
Насчёт импорта-он всегда идёт отдельной секцией. А перестройка секций связана с тем, что прот может похерить заголовок, поэтому на секции всё разбивается самостоятельно, не глядя на заголовок. В самом QU есть опция порезать секции лишние, можно её поюзать, как вариант, если я так всё понял.

| Сообщение посчитали полезным:

Minimum Protection - нормально анпакается, а вот со Standart Protection проблеммы, т.е. при распаковке возникает ошибка приложения - память не может быть "read".
Archer пишет:
В самом QU есть опция порезать секции лишние
Не нашёл.
Если про Cut last sections && rebuild resources - не то.
Archer пишет:
если я так всё понял
проехали.

QU ещё kkrunchy (не консоль) могёт анпакнуть, если OEP правильно вбить ;)

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Archer
Замеченные мной баги:
Новый QU перестал распаковывать WinUpack.
При использовании функции InputString у меня всегда пустой заголовок окна.
Если после того, как отработал скрипт, нажать Full Unpack, то вместо распаковки запускается скрипт.
При экспорте в ImpRec нераспознанных функций на месте имени API должен стоять адрес начала функции.
Также посмотри файлы в аттаче (1-ый запакован UPX, код на EP написан мной; во 2-ом и 3-ем косяки с импортом).

Пока всё.

| Сообщение посчитали полезным:

Извиняюсь, аттач.

29b6_24.08.2007_CRACKLAB.rU.tgz - bugs.rar

| Сообщение посчитали полезным:

Sey пишет:
QU - великолепный продукт, однако он не приспособлен для распаковки протекторов такого уровня. Тыкву нужно подмонтировать для распаковки в данном случае.
Что великолепный продукт - согласен, только надо научиться ещё грамотно пользоваться...
В ридми написано:
Программа предназначена для быстрой (за несколько секунд) распаковки простых
пакеров (ASPack, ASProtect (старые версии), ExeCryptor (старые версии), ExeFog,
FSG, HidePE, HidePX, LameCrypt, MEW, Orien, PackMan, PECompact, PEDiminisher,
PE-PACK, PEX, TeLock (не все версии), UPX, WinUPack, Yoda Protector и мн. др.).

Что такое Тыква ?

to Assass1n Спасибо, попробую!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
ASProtect (старые версии)
я так понимаю это версии 1.0, 1.1 т.е. когда ещё VM не было.
Тыква - голова :-D

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Славненько,что тестеры есть!!!
Автор без печали,это всем хорошо..
Archer
Ну для моей "тыквы",всегда есть чем заняться.
Но время нашёл.
Не знаю почему,но форум,считай что был недоступен.Поэтому с задержкой.
Перевод вольный,остальное внутри...

2645_24.08.2007_CRACKLAB.rU.tgz - Демо скриптец.rar

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Archer пишет:
Ридми почитал

Каюсь, впервые не прочёл Однако это не моя ситуация: winxp sp2, фаервол. Пробовал по разному - и в дефолте и снося все хуки. Сегодня ещё одну XP поставлю, только с SP2, без крит. обновлений и лишнего софта. Если в принципе запустится, то попробуем покопаться в основной системе.

Archer пишет:
[+] добавлен generic OEP finder от deroko. я его немного поправил и взял ГУЙ из generic OEP finder от Human.

А почему не этот http://deroko.phearless.org/oepfinder.zip ?

| Сообщение посчитали полезным:

Bronco
Насчёт перевода скрипта и просто всем на заметку: Start() не всегда начало любого скрипта, если нужны релоки, начинать надо с PreLoad(). Если аттачимся, то с Attach()(по идее, сам не пробовал ).
Описание NextInstr довольно мутное, что не понял даже я. Смысл там такой, что я удаляюсь от ОЕП на 2 инструкции. Зачем на 2? Чтобы поставить бряк, ибо он опкодный, а для петли мы перезаписываем 2 байта, т.е. чтобы не перезаписать наш бряк.
Объяснение немного мутное, зачем мы повесили Continue(), а потом Pause(). Идея такая, в QU в ринг3 есть процедура, которая крутиццо в цикле и обрабатывает все сообщения из драйвера. Она активизируется путём запуска Continue() (ну или Wait(), он входит в Continue()). Если мы её не запустим, на первом же бряке драйвер не будет знать, что делать, и будет ждать команды, поэтому процесс зависнет. Для того и юзаем Continue(). После аттача в процессе олькой можно делать всё подряд, включая трассировку, запуск и тд. А когда мы наступим на поставленный бряк на 2 команды ниже ОЕП-это будет командой ринг3 QU выйти из Continue(), т.е. больше олькой делать нельзя ничего, ибо драйвер не получает команд (Олька начнёт менять контекст при отладке, а для процесса без Suspend делать этого нельзя, вот и будет синяк), поэтому в ольке надо делать Детач (какой-то плаг это поддерживает), жать ОК в скрипте QU, и скрипт поедет дальше.
Насчёт RestoreImportRelocs(), релоки в ехе оно не восстанавливает, для релоков в длл надо запускать ещё PreLoad().
Насчёт import_meth-по умолчанию он принимает значение восстановления импорта, на каком переключатель стоит в главном окне программы.
Gideon Vi
Да потому что привычней было от хумана гуй отодрать. А не сам оеп-файндер, потому что этот новее и козырней во всех отношениях.

| Сообщение посчитали полезным:

Archer
Насчет InputString ошибся. Просто заголовок передается вторым параметром, а не первым, как написано в мануале. То же самое и с InputNumber.

| Сообщение посчитали полезным:

У мня вопрос: можно ли с помощью скриптов распаковывать протекторы класса AsProtect 2.x, armadillo, themida, execryptor и т.п.?
Если да можете выложить присер такого скрипта?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Archer
Ты тока не гневайся так сильно.
Ой..сорри,написал но не учёл, что это ввод переменной.
Поэтому функу разбирал буквально,и сам припутался что в EIP...))))
А вот куда бряк второй ставили,даже не обратил внимание.)))))
Потому и далее пошло дежавю:
-Кто я?
-Где я?
-----------
Ну ничо,задел уже есть.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Мну просто решил разъяснить, ибо в моих мануалах по скриптам, имхо, чёрт ногу сломит+вряд ли читать их кто будет. Скорее всего будут учиццо на примерах, вот и решил сразу разъяснить, чтоб понятно было.
depler
Аспр теоретически можно, практически насчёт ВМ читай выше. Арму смотря с какими опциями. Имхо, если напрячь булки, можно арму драть скриптами с любыми опциями. Екзекриптор можно, имхо, но не отвечаю, ибо последние версии не смотрел. А вот с примером-это жесть, ребята. В релиз войдёт ещё 1 скрипт, для работы с 2 процессами (я его почти дописал), поэтому скрипты-примеры нужны для того, чтобы показать общие функции и как ими пользоваццо. А писать скрипт на арму/аспр/старфорс, мну не будет, мне есть, чем заняццо и так.

| Сообщение посчитали полезным:

Archer
Perplex PE-Protector 1.01dev -> tC/PERPLEX
//Можно в принципе в список добавить
Download Link:http://www.sendspace.com/file/em0ybu
File Delete Link:http://www.sendspace.com/delete/em0ybu/wfqe5
ОЕР находит правильно,а вот собсно с импортом,я даже не знаю как.
Используя опцию:
[+]Include suspect functions into import
Получаем всю табличку,но много не определенно.
Дальше ручками?
Сложновато!!!!
Если Ольгой топать к оер,то ИмРек с опцией Trace Level1(Disasm) рулит.
//Мануалы норма,примеров действительно надо больше.
//Надо будет покумекать как это в справочку chm оформить.
//WinUpack явно выпал из списка.Он даже в ольку не грузиться после унпака.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

depler спрашивает:
У мня вопрос: можно ли с помощью скриптов распаковывать протекторы класса AsProtect 2.x, armadillo, themida, execryptor и т.п.?


По поводу Армы смотри выше, там написано. AsProtect 2.x и themida - конечно нет, там навороченные виртуальные машины и тд. всякие прелести. execryptor тоже нет.

| Сообщение посчитали полезным:

Кстати в 1.0 Final если распаковывать форсом и потом без форса то лог как-то недописывается, и обрывается на дате\времени

| Сообщение посчитали полезным:

ValdikSS
Имеешь в виду, что пишет время, но не пишет последнее сообщение Done? Да, проскакивает иногда такое, хз, почему. Но если так глаз режет, посмотрю это дело.
З.Ы. Лучше смотреть не старые версии типа 1.0, а сразу последние, в них много, чего изменено.

| Сообщение посчитали полезным:

Archer
Да Done не пишет, глаз не особо режет
ща уже юзаю 2.0

| Сообщение посчитали полезным: