Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

странно а вот это не берёт(( говорит мол не корректный пе файл первый раз такое вижу 0_0

ac3e_12.01.2017_EXELAB.rU.tgz - phatcode.exe

| Сообщение посчитали полезным:

SDK пишет:
некорректный

Угу. Dual executable
DOS /PKLite stub + Petite 2.2


| Сообщение посчитали полезным: SDK

r99 пишет:
For x64 OS take the x64 QuickUnpack version?
в предыдущей версии такого не было

Тоже такое же .

Archer

можно ли это исправить?

| Сообщение посчитали полезным:

А что тут исправлять? Драйвер под 32-битную архитектуру и при всём желании он не будет работать под х64.

| Сообщение посчитали полезным:

Zveropolis

Не правда что не юзает. На 32 обычно всё отлаживается, так проще.

> Перекомпилируй драйвер под 64-битную ось.

Вы что реально думаете что можно просто указать архитектуру как опцию сборки ?
Ловушки к примеру нельзя поставить так же просто как под 32 из за защиты. И есчо есть множество нюансов.

-----
vx

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/6Ssdz9pgj

v3.2
[!] исправлены многие ошибки и сделаны улучшения
[!] немного переписан драйвер для обхода багов с синхронизацией
[!] полностью переписал OEP finder от deroko для улучшения стабильности и повышения скорости и работы под x64. может не работать под виртуальными машинами
[!] полностью переписал OEP finder от Human для работы под x64
[!] полностью переписал OEP finder от UsAr вместе с LaZzy для работы под x64
[!] взял совершенно новый дизассемблер, теперь доступный и под x64
[+] добавил новый OEP finder от Dilla
[+] форварженый импорт теперь обрабатывается автоматически
[+] расширен список протекторов
[+] добавлено несколько новых функций и переменных для скриптов

v3.1
[!] исправлены многие ошибки и сделаны улучшения
[+] расширен список протекторов
[+] музыкальное ядро изменено на MiniFMOD 1.70. после дня порнухи он заработал также и на x64
[+] добавлено несколько новых функций и переменных для скриптов

v3.0
[!] исправлены многие ошибки и сделаны улучшения
[+] 14.09.2008 родилась версия для x64
[+] 06.11.2008 первый x64 файл был распакован
[+] расширен список протекторов
[+] обновлен ufmod до 1.25.2a
[+] добавлено несколько новых функций и переменных для скриптов

v2.3
[!] решил сделать версию приватной. Если ты это читаешь, полагаю, что ты один из тех, кому я доверяю, не подведи меня
[!] исправлены многие ошибки и сделаны улучшения
[!] программа корректно разбивается на секции, добавлены атрибуты доступа и имена секций
[+] обновлен Lua до 5.1.4
[+] добавлена возможность вручную указывать RVA, по которому отрезать секции
[+] значительно расширен список протекторов
[+] добавлены новые скрипты
[+] добавлено несколько новых функций и переменных для скриптов


| Сообщение посчитали полезным: elch, sendersu, 4kusNick, Creckerhack, zNob, MarcElBichon, Dart Raiden

| Сообщение посчитали полезным:

TryAga1n
Аналогично, пробую под Win 10 x64.
Похоже в архиве не хватает x64 exeшника?
Еще есть QUnpack32.sys, но нет QUnpack64.sys (логично предположить что он должен быть).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Это 32-битная версия под 32-битную ОС и 32-битные файлы. Другими словами там вообще всё 32-битное. Одного драйвера не хватит, для х64 вся сборка другая нужна.

| Сообщение посчитали полезным: mkdev

На распаковке --> вот этой <-- программки QU 3.20 подвешивает WinXP/SP2.

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/7NGZYwjdz

v3.3
[!] пересобрана на Visual Studio 2008 SP1
[!] исправлены многие ошибки и сделаны улучшения
[!] имя драйвера, имя сервиса и символьная ссылка теперь генерируются рандомно
[!] отрефакторил движок и сделал его в 1.5 раза быстрее
[+] добавлено построение пути для библиотек из импорта
[+] добавлена возможность перестройки таблицы экспорта при отрезании секций
[+] добавлено автосохранение лога, лог пишется в папку Logs, если строк>5000
[+] обновлен generic OEP finder от Dilla
[+] обновлен дизассемблер
[+] расширен список протекторов
[+] добавлено несколько новых функций и переменных для скриптов

| Сообщение посчитали полезным: ClockMan, zNob, VOLKOFF, MarcElBichon, 4kusNick, sendersu, mkdev, SReg, mak, Dart Raiden

QuickUnpackRules.sys



- при выходе из ISR. Я раньше показывал ущёрбность сабща. Но вот сейчас посмотрел и пришёл к выводу что автор поделки какой то слабоумный. Этот драйвер какой то пздц

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Но вот сейчас посмотрел и пришёл к выводу что автор поделки какой то слабоумный

Индей, ну у тебя же есть визор, графы, вот это все и к тому же себя позиционируешь великим малварщиком, возьми да напиши. Захвати легкодосупные проты цепкими лапами графов и покрой их своим визором.
Ты же не какой то там п*здабол и можешь показать народу как нужно делать, ведь так же или нет?

| Сообщение посчитали полезным:

difexacaw пишет:
Этот драйвер какой то пздц

На это здесь уже писали, емнип - сделай как надо, все офигеют.
А так пока фигеть не с чего

На любую программу можно сказать "это ж пиздец какой-то"



| Сообщение посчитали полезным:

shellstorm

Я не говорил про саму идею и приложение в целом. Я не знаю как это всё работает, я смотрел только ядерную часть. Реализовать универсальный анпак можно только через запуск или через гипервизор(или эмулятор типо ав), так как полный статический анализ невозможен. По этой причине это не системная задача, а значит интереса не представляет из за невозможности алгоритмического решения.

dosprog

км кодес это не просто приложение, а часть ос. Поэтому в отличие от ошибок в обычных апп, такие в км недопустимы.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Я не знаю как это всё работает
difexacaw пишет: из за невозможности алгоритмического решения

Так пишут же анпакеры, тем более кто то недавно писал, что снимал визором говнопрот.
Но раз все сложно, мб с другой задачей справишься из этой же серии, малая часть функционала.
Есть такой проект для восстановления импорта: https://github.com/NtQuery/Scylla
работает он не очень, сегодня больше сотни функций восстанавливал вручную может запилишь аналог Scylla или поиск импорта для малварщика это тоже сложно? Гуи фиг с ним, сделай хотя бы dll и инклуд к нему.

| Сообщение посчитали полезным:

shellstorm

То что был взят визором вмпрот - это локальное решение и главное что для этого апп было запущено.

Это прямой запуск, хоть апп не может покинуть визор напрямую, но ему ничего не мешает к примеру заразить ось или использовать LPE, тем самым выйти косвенным путём из под визора.

Про сциллу я вкурсе, там где то есчо мой dbghide.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
push ss:dword_13408 - при выходе из ISR

Поведай, почему так делать плохо?

| Сообщение посчитали полезным:

Archer

Обращение из км к произвольной области памяти, можно контролировать из юм. Во вторых это невалид инструкция, хотя #GP не будет, но это стековая адресация не стековой памяти(по дефолту базы сегментов нулевые). Там вообще то, что называется говнокодом, тоесть это собрано асмом, но абсолютно безграмотно. Без понимания, это делал ньюби просто напросто.

Добавлено спустя 9 минут
Archer

Загрузить селектор Fs в Ss и упадёт вся ось. Я это просто листнув увидел в дизасме, не вникая в подробности. Помимо прочего. Можем подробно реверснуть сабж, но смысла это не имеет, так как это не ав фильтр.

-----
vx

| Сообщение посчитали полезным:

Чем это обращение к произвольной области памяти? Это обращение к глобальной переменной.
Используется SS, потому что остальные сегментные регистры могут быть невалидны. И чем инструкция невалид, если заменяется DS на SS, коль их база и права доступа одинаковые?

Загрузить селектор Fs в Ss? Это отладка юзермод софта. Каким образом юзермод софт это сделает?

| Сообщение посчитали полезным:

Archer

Потому что селектор загружен юм(тоесть произвольный), в режиме км после чего следует выборка данных из сегмента.

> Каким образом юзермод софт это сделает?

push fs
pop ss
(interrupt/syscall)
bsod.

-----
vx

| Сообщение посчитали полезным:

При входе в ISR SS перезагружается на ядерный, из ЮМ он не контролируется.

| Сообщение посчитали полезным:

Archer

хз я по памяти пишу, мельком глянул просто полистав дизасм. Завтра копну подробно. Синево будет полюбому, учитывая прошлое обсуждение

Пруф --> Link <--

-----
vx

| Сообщение посчитали полезным:

По прошлому я ничего и не писал. А по текущему не вижу ошибок.

| Сообщение посчитали полезным:

shellstorm пишет:
Есть такой проект для восстановления импорта: https://github.com/NtQuery/Scylla работает он не очень, сегодня больше сотни функций восстанавливал вручную

можно набросать деталей?

| Сообщение посчитали полезным:

difexacaw пишет: Про сциллу я вкурсе, там где то есчо мой dbghide

Твой? Что то тебя не видел в списках разработчиков ни в одном из форков.
Так и что там по поводу библиотеки, тоже все сложно?

Добавлено спустя 5 минут
sendersu пишет: можно набросать деталей?

Да, конечно, снимал прот с x64 плуга фотошопа и была куча невалидных ссылок типа call RAX итд, среди этого шлака были и годные библиотечные функции, вот сидел и перебирал все это добро

| Сообщение посчитали полезным:

difexacaw пишет:
Потому что селектор загружен юм(тоесть произвольный)

) Оригинально чо. Драйвер использует юзермодный стек? Такое когда-то было, да. В DOS'е

Предлагал ведь уже - разбери для примера сей сабж, с комментариями, - вот это было бы по делу.
А просто так хулить это и я умею

| Сообщение посчитали полезным:

shellstorm пишет:
Да, конечно, снимал прот с x64 плуга фотошопа и была куча невалидных ссылок типа call RAX итд, среди этого шлака были и годные библиотечные функции, вот сидел и перебирал все это добро

спс за детали
можно одолжиться примером? может дописать кодес в scylla чтоб покрыть етот юзкейс?

| Сообщение посчитали полезным:

sendersu пишет: можно одолжиться примером?

именно этим нельзя, но можно взять любую программу накрытую чем то сложнее upx, а что то из топа говнопротов, не говоря уже о том, что сабж довольно часто фейлит даже на чистых файлах.

sendersu пишет: может дописать кодес в scylla чтоб покрыть етот юзкейс?

спасибо кэп, но именно это и предлагал сделать нашему другу из Могилева. сам не так часто распаковываю, чтобы тратить на это время.

| Сообщение посчитали полезным:

shellstorm

> Твой? Что то тебя не видел в списках разработчиков ни в одном из форков.

Я имел ввиду темы про эту вашу Scylla, вроде как был плаг для скрытия отладчика, если правильно помню.

--> Link <--

Это нужно немного поиск поюзать, так как я не помню конкретных обсуждений.

> но именно это и предлагал сделать нашему другу из Могилева.

А как вы представляете принципы работы такого ?
Восстановить IAT это задача не разрешима в общем случае. Вы хотите невозможного, универсальной автоматики. Статик импорт бывает не просто как криптованный массив ссылок. Используются всякие техники для скрытия этого, динамическая расшифровка или эта область может быть виртуальной. Я вообще смысла не вижу восстанавливать IAT и структуру пе, так как приложение и загрузчик это единое целое. Тот же например динамический импорт - его статически не существует, тогда какой смысл как то восстанавливать статический.
Запустить приложение под трассировкой или визором, что бы динамик анализ выполнить и накопить выборку данных из IAT - ну будет это работать на 5% приложений(не допиливая под каждое приложение отдельно), какой в этом смысл ?

Добавлено спустя 9 минут
shellstorm

В целом же зачем по вашему нужна распаковка ?
Обычно приложение само в памяти собирается, если используются загрузчики, то анпакать особо нечего - как то сдампить образ, который часто настраивается частями в памяти ?
По мойму нужно использовать надстройки, по типу локальных визоров или трассировку(это проблема), тогда можно обьеденить надстройку и приложение в одно. Тогда управление будет отложено и по некоторым эвентам можно выполнять всю нужную работу. Так обычно делается, а не тратить время на попытки выпилить инициализацию апликухи, сняв слой пакера/деморф етц. Это слишком не эффективно и бессмысленно, можно даже назвать лабораторной работой

-----
vx

| Сообщение посчитали полезным: