Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Сабж прекрасно распаковывает DDeM prot ( защита от 7Волка) (при условии наличия их СД или Исошки)

А молебокс + АСПР ??? Млин начинает видимо нормально, доходит до покореженного импорта и все...

| Сообщение посчитали полезным:

Soft_Ice
Про аспр я уже писал, читайте топик внимательней, что он всё равно не сможет собрать всю ВМ (по крайней мере, пока я не сделаю менеджер памяти, а я ещё не уверен, надо ли его в паблик пихать), поэтому особого смысла не вижу ковыряццо, почему не берёт, если и так в общем случае брать не будет.
Насчёт мольбокса-аналогичная тема. QU предназначен для анпака 1 файла, в моль их может быть запихнуто много. Тут даже со скриптами, думаю, далеко не уедет QU.

| Сообщение посчитали полезным:

Archer пишет:
насчёт QU ещё не знаю, включать ли это в публичную версию

а в чём проблема?

| Сообщение посчитали полезным:

Gideon Vi пишет:
а в чём проблема?
QU тихо мирно уходит в приват...

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Да не, пока в приват не собираюсь. Просто если прикрутить в паблик, мож начнут антидебаг делать. Ещё посмотрим, как по времени с проектом будет. В общем, в todo лист записал, а там глянем.

| Сообщение посчитали полезным:

Archer пишет:
Тут даже со скриптами, думаю, далеко не уедет QU
Если позамарачиваться(ради конфесии),то сам молин *.exe,QU отдерёт.
Столен в Мольке нет,для таблички,в каких-то версиях,всего нужно один вызов занопить.
Выправить переходники темповой срани,на то что моля "за пазухой" держит,вот по сути и весь унпак."Обоз" тем же макаром дампиться.Просто в связке Олька/PE Tools/ImREC,это и быстрей и удобней.
Archer
"нубики онли"-насколько понял,это ирония.
Начиная с релиза версии QU.0.5,квик уже не имел аналогов.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Archer
Заметил один косяк (хотя может только у меня), под VMware 5.5.2 не пашут распакованные файлы, сильно не разбирался но такое ощущение что с импортом проблема, ты глянь на досуге, многие люди юзают реверс софт именно под VMware...

| Сообщение посчитали полезным:

DIMAIN
Ну лично я анпакаю под вмварью и там же запускаю. Весь тестинг проходит только под ней. Так что даже не знаю, что там не так. =/

| Сообщение посчитали полезным:

Archer
А версия какая?

| Сообщение посчитали полезным:

DIMAIN
ВМВарь 6 версии. Но косяков по идее всё равно быть не должно. Разве что какой-нить хитрый косяк с разными версиями винды. =/

| Сообщение посчитали полезным:

Archer пишет:
ВМВарь 6 версии
Под 5 есть вариант проверить?, у меня подозрение что такой косяк не только у меня...
У меня винда в VMware - ХР сп1, остальные версии QU под ней раб. норм.

| Сообщение посчитали полезным:

проверил prerelease 2.0 на NsPack'e (дельфовая прога). вбил правильный oep (до этого делал все руками, т.е. дамп + прикрутка импорта), включил опцию Cut last sections & rebuild resources. анпакается нормально. но у анпакнутого приложения на oep оказывается не привычный дельфовый старт, а "мусор":

[code]
006CF340 >/$ BA 0EA48A00 MOV EDX,RIUnpack.008AA40E
006CF345 |. 52 PUSH EDX
006CF346 \. C3 RETN
006CF347 56 DB 56 ; CHAR 'V'
006CF348 B8 DB B8
[/code]

006CF347 - пошел уже дельфовый PUSH EPB и т.д., хотя 006CF340 - это OEP в оригинальном ехе и сразу с него идет дельфовое начало.

при ручной работе, понятное дело все нормально. в итоге результирующий файл тяжело реверсить, т.к. у ольги слетает анализ, да и не должно быть такого, имхо. но работает все как надо.

сразу предупрежу ) я не крякер. на паблик ехе выложить не могу, если потребуется, то через PM.

| Сообщение посчитали полезным:

Странная фигня. Сомнительно как-то, что дело в QU... А если убрать галку резать секции, будет такая же жопа? А если руками анпачить, типа всё норм? Если реально такое дело (что мне сомнительно), кидай в личку файл. Естественно, без распространения.

| Сообщение посчитали полезным:

Archer, pm. oep верняк верное. может конечно я прокосячил с анпаком, но сомневаюсь, что в QU можно умудриться прокосячить, тем более, не первый раз использую.

| Сообщение посчитали полезным:

NaumLeNet
Глянул я мельком. Там Force mode юзать нужно, 1 ложный бряк по этому адресу есть, походу.
DIMAIN
Пока не нашёл никаких косяков с варью, но ещё просил тестеров посмотреть.

| Сообщение посчитали полезным:

Archer, force mode ситуацию не изменил. qu в итоге стартует приложение, грузит его целиком, закрываю руками, в логах показывает false bp: 1, сохраняет анпак. результат идентичен тому, что без force mode.

Еще пара моментов. Окно аттача к процессу. Двойной клик по списку модулей должен по идее: 1. выбрать, 2. подтвердить (ок).

То что приложение к которому идет аттач виснет после анпака - это нормально?

--
QuickUnpack - потрясающая тулза. Низкий поклон. Ее даже как ребилдер использовать куда быстрее и удобнее, что многие другие. Сенькс.

| Сообщение посчитали полезным:

NaumLeNet
Если Force mode не изменил дело, значит косячно работает, наверно. В последней (пока не публичной) версии это поправлено.
Даблклик должен подтвердить модуль-может и сделаю. Ибо не любитель с гуями возиццо.
После аттача процесс не виснет, поток делается Suspended. Если надо, возобнови руками. Почему сделано так? Потому что изначально поток либо в петле (нужно вмешательство, значит), либо Suspended. Так что возвращаю к исходному.
Спасибо. Будет время-буду дальше апгрейдить.

| Сообщение посчитали полезным:

Archer
Извини я не тестил, некогда, но мне интересно есть (будет?) QU загружать сам нужные плагины скрипты в соответствием с пакозанием PEid ну или по выбору, вдруг байты похерены и пеид полчит.

| Сообщение посчитали полезным:

SPA
прикрути скрипт автораспознавания формата -- и все будет делать ). Главное чтобы голова и руки были... А написать все можно уже на этом этапи развития...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

SPA
Неа, не будет, ну нафиг. Максимум-вынесу название пакера в скрипты.

| Сообщение посчитали полезным:

I view: Each tool no matter is a quality, should support its development.

| Сообщение посчитали полезным:

Archer
Посмотри тут:
[url=http://exelab.ru/f/action=vthread&forum=1&topic=9731
]http://exelab.ru/f/action=vthread&forum=1&topic=9731
[/url]
Тут и tree от ИмРека,и адреса где пропатчить,чтобы дамп стартонул.
Или качни отсюда:
[url=http://webfile.ru/1517487
]http://webfile.ru/1517487
[/url]
Траблы с дампированием,чё то не с тем eip дампит.
Хоть вручную вбивай OEP,хоть плагом Usar идти к oep,хоть с аттача брать,дамп неадекватный получается.С tls косяки тоже.
-----------
Добавил:
Если юзать
[+]-Use force unpacking
И импортировать tree,то даже патчить не надо для старта.
Квик рулит...)))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Последний QU порвал его как Тузик грелку. ОЕП берёшь от Юзара, ставишь форс мод+трассировку импорта и перестройку секций. И всё, никаких патчей и импорта из файла не надо.

| Сообщение посчитали полезным:

Archer пишет:
Последний QU порвал его как Тузик грелку
Ну тогда есть повод добавить и его в список "тузиков"
Хотя вон у людей паблик-релиз весит на этом файле.
А почему он в связке с Ольгой(на аттаче) косячит?
//EIP явно не то,на котором прога стояла.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Скорее грелок Добавлю, фигле. А висит почему-хз, может ждали мало просто. Ну а про аттач-не знаю. У тебя есть линк нужный, в принципе. ;) Можешь и на последней проверить. А я пока сделаю вид, что не видел этого

| Сообщение посчитали полезным:

Archer
Если бетка от 5.09.2007(17:14),то имеем:
В ольге EIP=OEP сабжа,а в дампе,после аттача QU-ком,адресок не от этой "грелки"
Ща качну на всяк случай заново.
А пока сделаю вид,что на лежбище иду,а с утречка гляну

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Только что не поленился и посмотрел аттач. Выбирал и Smart для импорта и Smart+tracer-всё норм с ОЕП. Если юзаешь Smart+tracer-чЕтай ридмис.

| Сообщение посчитали полезным:

Archer
Подтверждаю,косяк у меня.
После востановления кернеловских блоков ИАТ,хотя и востанавливаю по скрипту EIP,при аттаче квиком
Current EIP: 01850E76//по ходу адрес последней инструкции ret
Smart+tracer-я эту опцию редко юзаю.QU с ней чо то "думать" начинает.
Это нормально?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Ну если кратко, то просто Smart-это статик восстановление, поэтому при аттаче ольку вообще можно не трогать, драйвер там реально не подключается. А вот Smart+tracer-это уже динамик восстановление, ольку надо деаттачить, начинается трассировка уже модулей, поэтому дольше пашет, хотя в любом случае если больше минуты-есть повод задумаццо.

| Сообщение посчитали полезным:

Archer
Заглянул в ридми,подумал может чо добавилось:
-"....трассировка импорта при аттаче довольно ненадёжная и медленная, поэтому использовать её нежелательно....."
Archer пишет:
если больше минуты-есть повод задумаццо.
Что-то вроде того.
Потому и редко юзаю эту опцию.
//Хотел бы порычать насчёт соглашающихся со статусом "нубики онли",
//но думаю что правило таксиста "ДДД",сработает наверняка.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: