Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Решил посмотреть сабж, первым делом посмотрел в дров.

DIMAIN

> у меня БСОД выскакивает через раз и повторять я его не хочу, затрахал он меня (почти на каждом унпаке)...

Дров ставит ловушки в IDT. В начале каждой ловушки перезагружает селекторы и начинает сразу выполнять внутреннюю обработку. Причём не разрешая прерывания и не формируя трап фрейм. Так как прерывания замаскированы, любой страничное нарушение приведёт к бсоду. Так попытка обратиться к юзер выгружаемой памяти будет валить систему в бсод в зависимости от фазы луны, если в системе выделено много памяти, то рабочие наборы урезаются, либо если к примеру к такой памяти ранее небыло обращения, или например можно из юзермода свопнуть всю память процесса, урезав рабочий набор. Это бсодогенератор.

Далее видно что иногда вызывается ZwYieldExecution(), причём такой вызов не корректный, т-фрейма нет и прерывания замаскированы - ничего хорошего не получится, крэшнет скорее всего.

Видно что при скипании префиксов при поиске rdtsc нет лимита на длину инструкции, но это уже мелочи.

Есчо есть интересная конструкция:



Получается восстановление исходного селектора данных и обращение к юзер сегменту. По дефолту база нулевая, но можно туда загрузить к примеру TEB(Fs.

Интересно как оно такое вообще может как то завестись

Трассировка походу в юзер части реализована, надеюсь не TF.

-----
vx

| Сообщение посчитали полезным:

Gideon Vi
Насколько я вижу после 2.1 они разошлись и не синхронизировались изменения

Добавлено: 2.3 от Archer и его 2.3.7 совершенно разные ветки судя по ченжлогам

-----
DREAMS CALL US

| Сообщение посчитали полезным:

difexacaw пишет:
Интересно как оно такое вообще может как то завестись

бгг. Тебе, под пылью параллельных миров, должно быть так с нами скучно. Где там твой твинк, выкатите нам пару лулзов.

| Сообщение посчитали полезным:

2.3.7.0 2010 © Archer & FEUERRADER [AHTeam]
финальный публичный релиз больше не будет под темиду б такой))

| Сообщение посчитали полезным:

Gideon Vi пишет: explorer.exe Антивирус отключи.

Нет, это я запустил и выскочила ошибка не тему старта сервиса, думал к этому прилагается служба, как то из головы вылетело глянуть подпись драйвера. И я не твинк.

| Сообщение посчитали полезным:

Gideon Vi

> Тебе, под пылью параллельных миров, должно быть так с нами скучно.

Этот код писался полным овощем, а такое пишется только копипастом с фиксами на угад, танцы с бубном. Абсолютное не понимание архитектуры. А прожект древний, да есчо и какая то команда светанулась в шапке - внезапно всё стало понятно. Лишь только реализация имеет значение, только по этому можно дать какую то оценку. Я не могу понять как такой дров можно запилить, не понимаю!

Но конечно же во всём виноваты аверы

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Но конечно же во всём виноваты аверы

а как же легендарный klif.sys.
главную функцию утилита все же выполняет - поиск оеп (тестил).
новичкам зачастую большего и не надо, правда в ядро тоже лезть незачем в данном случае.

| Сообщение посчитали полезным:

neshta

Вы понимаете что значит обратиться к paged-memory при замаскированных прерываниях ?

Клиф это левая тема и к данному обсуждению отношения не имеет. Вообще я авера упомянул как сарказм, даже смайлик добавил чтобы было очевидно.

Новичкам может быть в ядро лезть не нужно, но ели новички начинают распространять всякий крэп с рекламой - такое не годится и по целям это не отличимо от тех же аверов.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Новичкам может быть в ядро лезть не нужно

это не нужно для данной задачи (в большинстве случаев), независимо от прямоты рук.

difexacaw пишет: новички начинают распространять всякий крэп с рекламой

хм, так насильно никто не заставляет использовать антивирусы или чьи то программы.
от рук спасателей погибло больше народу чем от того, от чего они собственно спасали, хочется людям - пусть пользуются, вам не все ли равно.
утилита 2008 года, сейчас 2016, думаю за 8 лет авторы уже сами давно все поняли.

| Сообщение посчитали полезным:

Есть мнение, что difexacaw=neshta=shellstorm=некий упоротый вирь/малваре мейкер

| Сообщение посчитали полезным:

oldman пишет: Есть мнение, что difexacaw=neshta=shellstorm=некий упоротый вирь/малваре мейкер

Ты явно член клуба "Эрудит" и не удивлюсь если в морской бой всех убираешь, надо же сходу раскусил коварный заговор эго с альтер эго.

| Сообщение посчитали полезным:

oldman

Мнение ваше совсем гнилое, впрочем как и всё от вас исходящее, полагаю neshta согласится

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
полагаю neshta согласится

ну надо полагать согласится

| Сообщение посчитали полезным:

это разборка питерская.

| Сообщение посчитали полезным:

Просто оставлю это здесь http://rgho.st/7cw2nZQJM

| Сообщение посчитали полезным: Gideon Vi, cryptX, parfetka, -=AkaBOSS=-, DimitarSerg, Kaimi, korsaring, VOLKOFF, Dart Raiden, v00doo, zNob, elch, Kindly, HandMill, gajemuxi, Creckerhack, MarcElBichon, daFix, 4kusNick, nadia1982

Archer
Че мелочиться, выкладывай сразу сырки на гитхаб

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Archer

Ничего не поменялось в дрове. Это идиотская реализация - смотрите, пусть оно может быть кривым, но главное - используются глобальные переменные для хранения локальных данных.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Вы б дату сборки драйвера посмотрели. Эти советы устарели на 9 лет.

| Сообщение посчитали полезным:

Archer

А зачем тогда такое дерьмо вылаживать. Его используют юзеры, потом задают тут вопросы почему оно не получается. И в дальнейшем вы же эти топики киляете. Пчёлы против мёда.

-----
vx

| Сообщение посчитали полезным:

незнаю квик анпак нормальный проект то что мне и большинству юзеров надо анпакает если гдето глючит то можно и спросить
а так сидеть тот же неолайт или арму простенькую и в ручную ковырять ну не все же анпакинг годс) еще вманпакер хорош был 1.2 а вот 1.5 подкачал корявый какойто сырой неберёт ничего так что инструмент класный нужный в хозяйстве как наган) если еще и обновы выходили но это уже всё некому делать)

| Сообщение посчитали полезным:

difexacaw
Переделай к лучшему, если конечно сможешь!
Люди сделали как смогли! Есть более лучшая алтернатива - открой новую тему посмотрим!

А так почему сорять топик ?! Сам когда то что то сделал ?! Викладывай свой "идеальный" продукт.

| Сообщение посчитали полезным: script_kidis

cryptX

Давно реализовано, очень старый прожект и в нём участвовал один из модеров сего ресурса. Оно не актуально из за необходимости наличия знаний для юзания.

Добавлено спустя 1 минуту
Этот примитивный дров конечно я могу собрать нормально, но не вижу нужды, так как мне это не нужно и спасибо никто даже не скажет.

-----
vx

| Сообщение посчитали полезным:

cryptX верно одобряю с языка снял ) FEUERRADER анд Archer злодеи наши взяли и помогли Армии Крякеров не только России но и других стран не сидеть искать оепы снимать дампы править импорты искать скрипты для олли а раз и готово 80% результат положительный так что молодцы ребята

| Сообщение посчитали полезным:

script_kidis

> гдето глючит

Если дров глючит это не есть гуд, пусть он раз крэшнет когда то, в зависимости от факторов каких то. Но если это принципиально не рабочее - бсодогенератор, то не нужно говорить что оно может работать. Это всё существует из за отсутствия альтернатив по автоматике. Что бы запилить нормальный трап процессинг нужен обширный масштаб знаний, даже крупные конторы аверские не могут это реализовать корректно.

-----
vx

| Сообщение посчитали полезным:

difexacaw

Идеального продукта нет и никогда не будет.
Можно приблизитсь к идеалу, но 100% без глюков продукта нету.

Баг есть даже примитивном калкуляторе виндовса (так что глюк для унпакера вполне приемлемо) ->


Windows 7 Ultimate SP1 x86-64, English.

1) run calc.exe;
2) press “Alt-2″ to go to “Scientistic” mode (“Programmer” mode works too);
3) type “1/255″ and press [ENTER] or [=]
4) press the button [F-E];

с сайта http://nezumi-lab.org/

А за Quick unpack - огромное спасибо создателем! Не мало времены сохранил при распоковке!
Извиняюсь за оффтоп.

| Сообщение посчитали полезным:

cryptX

Баги есть почти всюду, за исключением вылезанных" реализаций, типо системных, где ошибка не допустима - это положит всю ось. Но если начал школяр пилить дров - сразу отрубать руки нужно.

-----
vx

| Сообщение посчитали полезным:

Archer

Так держать , очень классный проект,как для новичков так и для профессионалов.

difexacaw

не хрен языком чесать , если есть проект лучше чем Quick unpack то выкладывай , а языком чесать мы все можем.

| Сообщение посчитали полезным: zNob

Creckerhack

В комерс

-----
vx

| Сообщение посчитали полезным:

По квику надо было с самого начала делать проект открытым.Унпакер подвёл черту под паковщиками, дальше уже проты пошли, и даже наличие в нём скриптового движка, уже не решала задач. Сейчас мясо, грядёт нейросеть. Так о чём вы тут спорите ?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: dosprog

Bronco пишет:
По квику надо было с самого начала делать проект открытым.Унпакер подвёл черту под паковщиками, дальше уже проты пошли, и даже наличие в нём скриптового движка, уже не решала задач. Сейчас мясо, грядёт нейросеть. Так о чём вы тут спорите ?
а никто не спорит.

| Сообщение посчитали полезным: