Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

difexacaw пишет:
Этот примитивный дров конечно я могу собрать нормально, но не вижу нужды, так как мне это не нужно и спасибо никто даже не скажет.

А ты пробовал?

| Сообщение посчитали полезным:

dosprog пишет:
А ты пробовал?

конечно

https://exelab.ru/f/action=vthread&forum=3&topic=22033

| Сообщение посчитали полезным: oldman

Gideon Vi пишет:
конечно

эпичный топик: "Человека, пока он человек, нужно как-то лечить, а не издеваться!"

Ну я собой доволен, сразу понял что пассажир является ярым борцом с системой, т.е. вирусопейсателем.

Причем по тому топу видно, что раньше он себя не сдерживал, матами крыл через слово, а щаз с difexacaw
пишет культурно, а с твинка neshta - так же кроет. Ну чисто Билли Миллиган!

| Сообщение посчитали полезным:

oldman

Ну а с чего вы взяли что я какое то отношение к виксам имею

neshta это не я, а другой человек, куда кстате пропал ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Ну а с чего вы

Чуваг, видишь проблему и пути решения - просто поправь дров и вывали на паблик.
Пипл спасибо скажет. Может, и автор поблагодарит.

Ну, а хочешь, не вываливай.

А рассказывать о крутизне не надо, в интернете и так полно крутейших чуваков.
Они утомительны



| Сообщение посчитали полезным: SReg, script_kidis, elch

нее зачем нам такой анпакер он вмпрот не снимает)) арму финальную тоже пепку фимиду и энигму не берёт слабый
какойто нет такое нам не надо Мы не ищем лёгких путей))Руками лучше Если в Силах конечно))

| Сообщение посчитали полезным:

dosprog

Вот именно по причине такого отношения к людям никто ничего не делает.

Я могу собрать сабж но выложен он будет не на этом ресурсе. Я сделаю это, пусть это станет примером адекватного т-процессинга.

-----
vx

| Сообщение посчитали полезным:

Да уж, все будут примерно наказаны.

Шоб знали



| Сообщение посчитали полезным:

difexacaw пишет:
Я могу собрать сабж

может хватит уже ломаться как целка? Можешь сделать - сделай! А звездеть-то мы все мастера.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Вспомнилось,
Дамы делятся на три вида - на дам, не дам и на дам, но не вам.(c)

| Сообщение посчитали полезным:

Дело не том, дам там или нет, ну да ладно. Как хэндлить ловушки будем, тупо ставить новый шлюз в IDT - идея не из лучших, наверно лучше KDR.

Не хорошая идея, так как для формирования трап фрейма придётся немного рипнуть системный шлюз, заюзав конструктор(ребилдить его), а это уже тот самый викс.

-----
vx

| Сообщение посчитали полезным:

Началось..

А у автора QU таких вопросов не было?
Или, может, он совсем уж нихуя ничо не понимает?

| Сообщение посчитали полезным:

Ну блин докапались, сделали люди Quick Unpack все ведь работают , нет надо где то в бочку мёда , блин говна засунуть.

Quick Unpack мне всегда помогает , если что где ручками поработаю.

| Сообщение посчитали полезным:

дайте человеку спокойно слиться, или получите side2, который снова ни кто не сможет запустить... в который ни кто не сможет. Снова.

| Сообщение посчитали полезным: HandMill, plutos

Gideon Vi

Тогда почему вы к примеру не запилите годное, причём оно примитивное - элементарная обработка ловушек. Причём нужно это вам, мне оно нафиг не нужно, просто ради интереса и покодить. Но у меня есть куда более важные задачи, посему это в очереди на реализацию. Не смогли запустить по причине отсутствия гуя - это не проблемы автора, это проблемы пользователя. Сильные и низкоуровневые инструменты требуют некоторого масштаба знаний для использования. Невозможно запилить что то думающее" на этом уровне(т-процессинг), это пилится вручную, так как это железячные вещи.

-----
vx

| Сообщение посчитали полезным:

При чём тут гуй?

Вот имеем реальный пример драйвера, у которого нигуя ничо нету - и есть, якобы, косяки.
Причём драйвер прикладного назначения и часто используемый.
И, кстати, более-менее рабочий. Скорее более.

Представь свой вариант решения проблемы, раз к существующему есть замечания.
Это было бы интересно.

А так х.з. о чём разговор.

Драйвер небольшой, мог бы и проявить эрудицию, составить
его комментированный листинг, для начала,
- чтобы все ужаснулись крутости и признали



| Сообщение посчитали полезным:

Я давно отошёл от нативного реверса, но с большим уважением отношусь ко всем кто им занимается и тем более кодит такие тулзы как QU.

Помню как я радовался когда был удостоен чести юзать приватную 2.3, жаль только что не смог ничем помочь в разработке и улучшении тулзы, т.к. тогда был молод и глуп и не понимал всей ценности происходящего, не имел нужных знаний и желания их обрести. Ну в общем вы поняли =)

Надеюсь это не последняя версия проекта и он живёт, цветет и пахнет в приватах и по сей день, стабильно работая под 10кой и радуя достойный крякерский люд.

Даже если это не так, все равно я рад что как-то поучаствовал во всем этом и всегда буду тепло вспоминать то время, когда я по-кулхацкерски анпакал очередной говнософт этим волшебным инструментом готовясь к штурму того что там накуралесил очередной шароварщик =)

Большое спасибо Арчи и всем кто приложил руку к Quick Unpack.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Кстати, пользуясь случаем, хотел спросить, - кто знает, что это за версия 2.3.7 /2010 (Win2k..WinVista) ?
--> Тут <--


--Добавлено--
Упс.. Сам уже увидел.
В QU.EXE 2.2 тупо перебита строка номера версии на 2.3.7 и поредактированы ресурсы,
Причём криво - при эбауте поделие падает.

UPD,
) Даже тётку в иконке заменили. Хулиганьё.

--Добавлено2--
Посмотреть, что там детёныши науевертили в "About"е можно, применив маленький патч, чтобы программа не падала при прорисовке несуществующего в ресурсах поделия контрола ID=1021:

QUnpack.CRK file:




| Сообщение посчитали полезным:

difexacaw пишет:
Тогда почему вы к примеру не запилите годное

бгг, стрелочник. Потому, что считаю годным сабж для тех задач, для которых он заявлен. Потому, что не выебываюсь, понося чужую работу, не имея за душой ничего подобного.

difexacaw пишет:
мне оно нафиг не нужно, просто ради интереса и покодить

так это ты здесь всплыл, рассказывая нам, каким говном мы пользуемся. Это ты стал выпендриваться, что можешь лучше.

difexacaw пишет:
Не смогли запустить по причине отсутствия гуя - это не проблемы автора, это проблемы пользователя

не смогли запустить, использовать, осознать и прочувствовать.
Тебе там писали: Инде, хочешь фидбека признания - делай инструмент так, чтобы им могли пользоваться люди, которым ты его даешь. А у тебя ридмишка, как у других сырки. Такое твое творчество здесь ни кому не нужно и ни как понты твои не подкрепляет.

| Сообщение посчитали полезным: plutos

dosprog пишет:
Кстати, пользуясь случаем, хотел спросить, - кто знает, что это за версия 2.3.7 /2010 (Win2k..WinVista) ?

Archer давно отписывался на разных ресурсах что это фейк, так же на этом форуме есть тема данной поделки #9.

| Сообщение посчитали полезным: dosprog

Да уж и меня тоже фейк оказался)) Только что увидел v3 от Archer'a удивительный человек))
Огромное Спасибо Вам!

| Сообщение посчитали полезным:

Gideon Vi

Вам мало моего описания, тогда ваше мнение не соответствует реальности. Вы хотите что бы было как вы хотите, это не адекватное восприятие. И причём тут стрелочник, не за углом с гопотой же. Я успел вчера запилить парсер кдр, но не успел отладить. В общем нужно сделать норм кодес что бы войти в трап фрейм, юзать же ребилд ловушек не хочется, есть более простой механизм.

> Это ты стал выпендриваться, что можешь лучше.

Если кто то видит очевидные баги, это никакое не выпендривание", это общее понимание, уровень такой. Аналогично как за понимание к примеру какого то не знакомого мне языка, я же не могу сказать что ваше понимание - это какое то намеренное и для пиара, вообще оно не зависит от этих целей, оно самодостаточно.

> Такое твое творчество здесь ни кому не нужно и ни как понты твои не подкрепляет.

Ну я это ранее уже написал.

Добавлено спустя 26 минут
Вам наверно тех детали по реализации не интересны, но опишу что сделано, может кому то хоть это инетересно. Вот парсер кдр https://yadi.sk/d/rdE6cV6U33Qhn4

Но оно не отлажено пока, возникли какие то траблы с варей, может сегодня закончу. Суть в том, что нужно сформировать т-фрейм, есть два способа - пересобрать системный код(ловушку) или использовать KDR вектор. Последний именно для этих целей и предназначен, но оно не экспортится ядром и поиск сложен, это делается автоматикой. В первом же случае придётся ставить шлюзы в IDT, что в целом не есть гуд, так что второй механизм лучше. Есть есчо способ - пропатчить ядро, но это нубский метод не нужен он.

После корректного входа в т-фрейм далее обработка совсем примитивна - фикс счётчиков(тск) етц, тоесть суть задачи выше.

-----
vx

| Сообщение посчитали полезным: daFix

Чуваг,
начни с комментирования листинга программы QUnpack32.sys.
С пояснениями в бажных местах.

Это будет по теме

| Сообщение посчитали полезным:

Просто оставлю это здесь http://rgho.st/8fWYW7HLz

| Сообщение посчитали полезным: cryptX, v00doo, Kindly, r99, dosprog, ibmCORE, MarcElBichon, zNob, topmo3, Creckerhack, =TS=

Из того, что бросилось в глаза в версии 3.1
- ForceOEP finder отображает OEP в RVA, а не в VA, как раньше (фича?)
- В восстановленных файлах <Size of Optional Header> = 0E0h, стандартно.
Раньше это приходилось поправлять ручками, всё собирался написать, но стеснялсо по такой ерунде

| Сообщение посчитали полезным:

Где возможно, был сделан переход с ВА на РВА для единообразия с х64.

| Сообщение посчитали полезным:

Иконку можно менять раз билд меняется) например из 2.1 вернуть она смотрится лучше)

| Сообщение посчитали полезным:

Archer, если смотреть на даты файлов, то такое впечатление что ПХД затянулось., или структура фрагментации харда мешала это вовремя паблику дать..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Настроение имхо. Причуда художника

| Сообщение посчитали полезным:

For x64 OS take the x64 QuickUnpack version?
в предыдущей версии такого не было

| Сообщение посчитали полезным: yuryrce, Creckerhack