Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Archer пишет:
Поставил Zone Alarm Suite 6.1.744, клиф.сис не нашёл
у меня стоит SS 7.0.462.000 (можно думаю и последнею версию брать 7.0.470.000: download.zonealarm.com/bin/free/1043_zl/zaSuiteSetup_70_470_000_en.exe ). после установки klif.sys можно найти по адресу WINDOWS\system32\drivers.
Archer пишет:
как повторить синяк
а хз. иногда перезагруз, иногда все норм. просто пробую с разными настройками анпакать и иногда выкидает. может кто знает как отключить перезагруз чтоб было видно синий экран? в свойствах системы галка снята.

| Сообщение посчитали полезным:

Archer пишет:
Поставил Zone Alarm Suite 6.1.744, клиф.сис не нашёл
стоит Zone Alarm SS 7.0.362.000

Evol пишет:
может кто знает как отключить перезагруз чтоб было видно синий экран? в свойствах системы галка снята.
я нечего не менял в настройках, при других БСОДах бывает и рЕБУТ, конкретно в этом БСОДе (если мне не изменяет память) система ссылается на критическую ашибку не связанную с klif.sys...

у меня БСОД выскакивает через раз и повторять я его не хочу, затрахал он меня (почти на каждом унпаке)...
походу просто дров каспера вклинивается в процесс распаковки и чемто гадит (мое имхо)...

| Сообщение посчитали полезным:

Помоему решение очевидно - каспера на эшафот...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Поставил zaSuiteSetup_70_470_000_en, файл клиф.сис поставился и загружен, анпакал уже измученный ПЕИД, файл, на который были жалобы, что бсодит, с прошлой страницы по несколько раз и ещё какую-то муть, настройки ЗА по дефолту оставил, в КУ галки разные ставил и снимал. хз, так синяк и не получил. Пришлите что ли если не полный дамп памяти ядра, дык хотя бы маленький на 64 Кб.

В одном китайском блоге прочитал про QU (переведено гуглом на инглиш): Software icon very interesting, I do not know is not the author's girlfriend. Unclear? No problem!
Улыбнуло

| Сообщение посчитали полезным:

Archer пишет:
В одном китайском блоге прочитал про QU (переведено гуглом на инглиш): Software icon very interesting, I do not know is not the author's girlfriend. Unclear? No problem!
Улыбнуло
Приятно, конечно

| Сообщение посчитали полезным:

Archer пишет:
Улыбнуло

Вобщем, да. Довольно часто с рабочего настроя сбивает

| Сообщение посчитали полезным:

Раньше шустрей унпачил, а ща на упыкс, 2 минуты уходит...
//зависит от размера файлО

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Шустроту потерял скорее всего из-за того, что на импорте долго висит, но тут уж ничо не поделать, зависит от размера таблицы импорта, у меня было и минут по 20 висел

| Сообщение посчитали полезным:

Archer, а если многопоточно импорт обрабатывать?
У меня, например только одно ядро одного проца юзается при обработке импорта...
И интересно, почему вообще так долго импорт обрабатывается.. Может, можно еще как-то алго оптимизировать?..

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Короче, с импортом тема такая: раньше при поиске импорта передавался сразу адрес в ИАТ, уже на него просто писался новый импорт и всё, а теперь (чтобы можно было обрабатывать call xxx/jmp xxx) правится не только в иат, но и ищутся все переходники на данную ячейку (короче, для каждой функции импорта вся область памяти пробегается), посему так и долго. Отдельные потоки лень делать, там ещё синхронизацию придётся вешать. хз, как тут сделать получше, можно переделать процедуру, чтоб парсить отдельно call xxx/jmp xxx и обычный импорт, но как-то тоже лениво, переделывать много придётся, а смысл не особо ясен. Небось не по 100 раз в день анпачите, немножко можно и подождать.

| Сообщение посчитали полезным:

Archer
В опциях прикрутить чекбокс типа фаст мод и фул мод Ну и в описалово закинуть что это означает и для чего это. Для УПХ и прочих примитивных пакеров проканает старый метод, ну а где нужен новый метод, то включить можно будет самому.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Archer пишет:
но и ищутся все переходники на данную ячейку (короче, для каждой функции импорта вся область памяти пробегается)
Я делал так - сначала пробегал всю область памяти и вписывал адреса всех найденных call [] , jmp [], call, jmp в табличку, а затем все остальные действия производил через неё - получилось гораздо быстрей.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
+1
И еще релоки можно пробовать юзать, но это в основном для длл

| Сообщение посчитали полезным:

Да я понял, варианты есть, просто делать их лень, лучше что-нить полезное прикручу, как время будет. Про релоки долго сидел и пытался осознать, очень хотел стереть вообще нафиг, но вдруг недопонял... Имхо, мессага вообще не в тему.

| Сообщение посчитали полезным:

Ну, то что лень - это я понимаю, сам такой ;)
Но может, хоть прогресс бар какой-нить сделаешь? Или чтобы в окне лога циферками в процентах отображался процесс обработки импорта, это ведь не сложно... Да и не долго по-идее должно быть. А пользы от этого хоть немного, но будет, чтобы хоть примерно знать, сколько времени еще ждать осталось до конца обработки импорта...

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Да лан уже, пристали все к Арчи.

ИМХО если нужно побыстрее, то берем более раннюю версию QU и анпакаем ей

| Сообщение посчитали полезным:

RSI пишет:
Да лан уже, пристали все к Арчи.
+1
//иногда по весне, трава сама по себе растёт (народная мудрость)

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

4kusNick пишет:
хоть прогресс бар какой-нить
да, было бы не плохо, а то иногда бывает незнаешь работает оно или нет

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
да, было бы не плохо, а то иногда бывает незнаешь работает оно или нет

и шо, прогресс-бар не может работать при зависшей проге?

| Сообщение посчитали полезным:

Gideon Vi пишет:
прогресс-бар не может работать при зависшей проге
вот это и нужно, знать програма распаковывает или зависла

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
вот это и нужно, знать програма распаковывает или зависла

мдя, тонко я сыронизировал. Если сделать бар с бегающей полоской, то она будет бегать даже в том случае, если процесс зависнет. Если сделать с заполняющейся по мере выполнения процесса полоской, то и это ничего не даст, так как если процесс будет идти медленно, то будет казаться, что софтина повисла. От лукавого, вобщем

| Сообщение посчитали полезным:

Анпак идёт в отдельном потоке, а гуй-в отдельном, посему и работает кнопка Убить, гуй не виснет. Завязывайте флудить, понял я ваши пожелания, но будет ли реализовано-ещё хз.

| Сообщение посчитали полезным:

Archer пишет:
посему и работает кнопка Убить
С кнопками "ле-го-го", ну типо просто даже для мну...
А вот по чек_боксам... загадочно...
ФайлО по дефолту, шинкует полюбасику, но красиво,тока для Дельфовых неказисто с ресурсами.
//если не чекать опцию
Переходники то же правит, даже если не юзать опцию call xxx|jmp xxx.
//Прописывать иат, по типу ImpREC всё таки удобней, всегда мона перенести/оптимизировать.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Просто оставлю это здесь http://rgho.st/8QRCcjH8T

| Сообщение посчитали полезным: VOLKOFF, Kindly, Kaimi, -=AkaBOSS=-, TRPD, Gideon Vi, dosprog, SReg, Vnv, zNob, Slinger, DimitarSerg, =TS=, WildGoblin, Creckerhack, elch

а запускать чем? скиньте *.exe

| Сообщение посчитали полезным:

shellstorm пишет:
а запускать чем?

explorer.exe Антивирус отключи.

Archer, там все, как надо, с менеджером и профурсетками?

| Сообщение посчитали полезным:

Уф, а я уже не помню, что там. Она собиралась хз сколько лет назад. Что было-то и выложил.

| Сообщение посчитали полезным:

Archer
Есть возможность собрать с Lua 5.3?
Основная причина -- целые числа и нормальные (привычные) битовые операции над ними (а не суррогат как сейчас).

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Обновлений и каких-то изменений скорее всего не будет. Это выложена много лет назад собранная версия.

| Сообщение посчитали полезным:

=TS= пишет:
Есть возможность собрать с Lua 5.3

помнится, сырки передавались tport для дальнейшего развития. Правда, по моему, не полные.

| Сообщение посчитали полезным: