Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

OU довольно разноплановый инструмент,не знаю,но кажись базы пакеров не существет в нём
А наилучшие установки и так стоят.
Если бы ещё,по умолчанию,ребилд ресурсов выставить,чтоб не лазить и не патчить,было в идеале..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Базы пакеров действительно нету, ибо это инструмент класса Generic и затачивать под конкретные пакеры я его не буду. Есть только в библиотеке selfscan база пакеров (ну оно и понятно, ибо она опознаёт пакер), больше привязок к конкретике нету.
Установки и так нормальные. Если что-есть ридми, всегда можно почитать и потыкать пальчиком при необходимости.

| Сообщение посчитали полезным:

Народ, у меня QuickUnpack стал выкидывать ошибку:

Fatal error..
can not create service..
ERORR_ACCESS_DENIED..

потом за ней сразу еще одну:

Cannot open service
Create file error - INVALID_HANDLE_VALUE

понятно что что-то блокирует создание сервиса, а вот что? Мож кто сталкивался уже с этим.
антивирь и фаер отрублены (он раньше и при них норм работал)

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

По идее в QU ,все ошибки в лог малявяться...
А у тя кажись система, меседж рисует...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

depler
Обычно админа ему не хватает. Может, с сервисом косяк какой аццкий (даж хз, чо могло приключиццо). Такое на ошибке инициализации дрова пишеццо.

| Сообщение посчитали полезным:

Bronco
вот именно, месседж

Archer
Запускаю с под админа. Другие то проги тоже сервисы свои используют и все ok.
Ошибка вылетает тут:

004128EF |> \6A 00 PUSH 0 ; /Style = MB_OK|MB_APPLMODAL; Default case of switch 00412746
004128F1 |. 68 AC7F4A00 PUSH QUnpack.004A7FAC ; |Title = "Fatal error.."
004128F6 |. 8D5424 40 LEA EDX,DWORD PTR SS:[ESP+40] ; |
004128FA |. 52 PUSH EDX ; |Text
004128FB |. 6A 00 PUSH 0 ; |hOwner = NULL
004128FD |. FF15 CC064900 CALL DWORD PTR DS:[<&USER32.MessageBoxA>] ; \MessageBoxA
00412903 |. E9 79020000 JMP QUnpack.00412B81


Это QUnpack 2.0 final RUS от Stars

ссыль http://dump.ru/files/n/n1111491833/

У мня XP SP2 + штук 50 обновлений
KAV7, Outpost 2008

Помогите разобраться, а то винду перестанавливать в лом

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler
Да где именно ошибка вылетает-я и сам могу тебе сказать. А вот почему-фиг знает. Попробуй вспомнить, что с системой натворил. Как вариант-почисти сервис рукамив реестре, как с фантомкой иногда Бронко делает. Попробуй последнюю родную версию, на инглише. Даж не знаю ибо, в чём косяк. Посмотри, какая функа возвращает плохой результат и какая там ошибка (в Оле).

| Сообщение посчитали полезным:

Все разобрался, это (мать его!) аутпост опять недоделали
Поставил новую версию и поехало. Закопать бы их за такие недоделки

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Аутпост превратился в попсу.
Нажал кнопку хорошая защита, вот тебе хорошая защита.
Нажал кнопку писдатая, тебе писдатая.
Нажал охуенная и сам охуел.

-----
Я фантомас, а ты гавно

| Сообщение посчитали полезным:

depler пишет:
Поставил новую версию и поехало.

это теперь ещё и хипс.

| Сообщение посчитали полезным:

В поставке QU идут несколько скриптов, не особо полезные, но иногда могут пригодится+показывают основные вещи. Насколько я знаю, есть скрипты для снятия даже более-менее продвинутых протекторов, но хз, захотят ли ими делится...

| Сообщение посчитали полезным:

Странно, выложил ещё вчера, а все молчат. Забыли уже что ли...

Вот, наконец, решил релизнуть версию 2.1. Валялась она давно, времени сейчас стало мало, вот и решил выложить, ибо пора, наверно, поскольку баг-репортов от тестеров уже мало приходит (или они задолбались гонять мою бажную шнягу).

Вот, чем вас должна порадовать новая версия (а уж порадует или нет-решать вам):

[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

| Сообщение посчитали полезным:

Archer пишет:
Странно, выложил ещё вчера, а все молчат.

Уведомеление на ICQ не пришло

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Archer пишет:
а все молчат
наверное пакеры ищут...
Но "баба яга" молчать не будет...
Дампер есть, трасер о котором тока помечтать, ещё бы шинковать файлО, по предпочтениям.
Мона сделать???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Вчера нашел у себя один крякмис, который я когдато скачал и забыл за него, а сегодня перебирал завалы и нашел его, решил взломать, сую в DIE он мне говорит FSG 1.33, я его в QU, он все нормально нашел OEP, начел распаковывать, даже кажется распаковал, но потом вылезло окно, что произошла некая ошибка(Application has encountered a problem and needs to close. Sorry for the inconvenience), думаю ладно пробую все анпкеры для FSG 1.33 и они тоже "ругаются", гружу в PEiD, он говорит FSG 1.33 -> dulek/xt, вспоминаю что у меня был плагин на PУiD для распаковки FSG 1.33, нахожу, распаковываю - распаковал, запускаю - запустился, я удивился. Сегодня захожу на форум, вижу новые сообщения о QU, смотрю новая версия - обрадывался, скачал, и сразу придумал на чем испытать... результат оказался тем же ((((((
вот архив с крякмисом, лог распаковки, список импорта и лог ошибки:

9e8d_01.04.2008_CRACKLAB.rU.tgz - CrackMe.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov
Да, действительно падает, косяк подтверждаю. Как будет время-гляну и разберусь, в чём дело.
Bronco
Шинковать файло... да фиг его знает... В идеале надо переписывать двигло для работы с 64 битными файлами+к 32 битным, да и отладочное двигло новое надо. Но хз, сейчас совсем времени нету.

| Сообщение посчитали полезным:

Archer
новый Quick Unpack - новые БСОДы
UnpackMe(v1.0-kid)[repacked].rar http://ifolder.ru/5995081 старый перепакованный UnpackMe, БСОДит (хотя может только у меня)
Unpack_this.rar http://ifolder.ru/5995092 просто запакованный небольшой прикол, предыдущий QU вылетал с эксепшеном, новый QU - по большей части виснет...

| Сообщение посчитали полезным:

Вот перевёл на русский Quick Unpack 2.1 может кому надо будет. Хотя оцените перевод вот ссылка на скачку dump.ru/files/n/n631809323

| Сообщение посчитали полезным:

DIMAIN
Я тестирую на чистой ОС вин хр сп2, никаких бсодов и косяков нету. Насчёт анпакмисов: который КИД анпачится норм, только ОЕП неправильно определяет и надо будет занопить 1 процедуру (видимо, защита от анпака, хз); второй не анпакнется, поскольку код выполняется в аллоченной области, дженерик это дело не возьмёт, хотя скриптами можно.
Китайцы-в ж...ах пальцы, я считаю неуважением варганить только на своём языке, ридми и описалово скриптов тяну на 2 языках, а ещё и гуй тянуть на 2 лениво как-то, хз, может сделаю на основе файла lang.ini или как-нить так.

| Сообщение посчитали полезным:

19:55:08 - Opened Linkman.exe
Quick self analyze.... UPX 1.xx-2.0
PESniffer EP Scan: UPX v0.89.6 - v1.02 / v1.05 -v1.22 (Delphi) stub
PEiD scanning... UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
19:55:12 - Some OEP has been detected...00658B90
19:55:16 - Unhandled single step at 0074D6D0

UPX 3.02 вылетает на самом начале распаковки
вот ссылка:
www.outertech.com/mirror=-1&imageField.x=19&imageField.y=9

| Сообщение посчитали полезным:

Archer пишет:
Я тестирую на чистой ОС вин хр сп2, никаких бсодов и косяков нету
походу твой ДРОВ не дружит с антивирями попробовал еще распаковать EverestUltimate 420 build 1307 (там UPX3) тоже БСОД, кстати бсод выскакивает не сразу, я унпакаю по несколько раз один и тот же файл но с разными настройками, со 2го или 3го раза вылазит БСОД...

| Сообщение посчитали полезным:

x123
Ну хз, какую ты версию смотрел. Я смотрел с сайта последнюю, там ОЕП 658dec, оно же определяется нормально прогой и нормально анпачится.
А вот насчёт дружбы со всяким говном, типа каспера, может и косячит, лучше убивать их нах. Ну или пишите в личку, шлите крашдампы, будем смотреть и разбираться, как время будет.

| Сообщение посчитали полезным:

Archer пишет:
типа каспера
не угодал AVG+ZoneAlarm, что из них, хз

| Сообщение посчитали полезным:

DIMAIN пишет:
не угодал AVG+ZoneAlarm, что из них, хз
наверное ZoneAlarm. bsod не через klif.sys случайно?

| Сообщение посчитали полезным:

Клиф-от каспера дров,так что заканчивайте гадать. Если есть желание-гляньте крашдамп или мне шлите, а гадать в топку.

| Сообщение посчитали полезным:

Archer пишет:
Клиф-от каспера дров
так в том то и дело что ZoneAlarm юзает его. ето я к:
DIMAIN пишет:
не угодал
в остальном согласен. ща сам попробую.
add: bsod почему-то не появляеться, сразу перезагрузка, хотя в винде вроде отключил автоматическую перезагрузку как и в DIMAIN, перезагрузки не всегда, причем как я увидел настройки на ето не влияют. стоит только ZoneAlarm SS.

| Сообщение посчитали полезным:

Evol пишет:
стоит только ZoneAlarm SS
Evol пишет:
так в том то и дело что ZoneAlarm юзает его
ZoneAlarm SS - использует двиг каспера, даже базы теже...

Archer: фу, бля, говнозоналарм, я думал о нём лучше...

| Сообщение посчитали полезным:

Archer пишет:
фу, бля, говнозоналарм, я думал о нём лучше...
неплохо было бы, если бы ты на досуге глянул из за чего БСОД

| Сообщение посчитали полезным:

Archer пишет:
А вот насчёт дружбы со всяким говном, типа каспера, может и косячит
Точно выгрузил каспера и все нормально распаковал.

| Сообщение посчитали полезным:

Поставил Zone Alarm Suite 6.1.744, клиф.сис не нашёл, анпакал подряд файл раз 10, синяка не заметил. Укажите точно (или выложите дистриб), какой именно продукт стоит косячный и желательно, как повторить синяк.

| Сообщение посчитали полезным: