Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

difexacaw пишет: Я имел ввиду темы про эту вашу Scylla, вроде как был плаг для скрытия отладчика, если правильно помню.

Да, есть такой, только к сабжу не имеет отношения от слова совсем.

difexacaw пишет: А как вы представляете принципы работы такого ?

Пробежаться по образу и собрать call\jmp посмотреть куда они смотрят, если это api, добавляем в список.
Никто не говорит о том, чтобы разбирать оставшийся хлам от всяких говнопротов, это работа скриптов\рук, но когда на чистой программе выдается неопознанные функции это толсто намекает, что где то в алго есть ошибка.
Но снова ищем трудности и сводит к тому, что это невозможно, только QU и эту часть делает, но автор школьник, да.

difexacaw пишет: В целом же зачем по вашему нужна распаковка ?

Очевидно для последующего разбора в IDA, иначе можно было обойтись инлайном или загрузчиком.
И вот для IDA совершенно не подходит вариант антивирусов - дампить как есть, для сигнатур этого достаточно, а для реверса кода нет.

difexacaw пишет: Это слишком не эффективно и бессмысленно, можно даже назвать лабораторной работой
Держите нас в курсе, кто еще нас просветит если не ты.

| Сообщение посчитали полезным:

shellstorm

> Пробежаться по образу и собрать call\jmp посмотреть куда они смотрят, если это api, добавляем в список.

Нет никакой проблемы накопить все ветвления в приложении. Тогда косвенное ветвление на модуль будет являться импортом и можно вызывающий код зафиксить в файле, сформировав IAT - это будет работать только на обычных приложениях. Любую малварку или что то более сложное чем тот upx так обработать не получится. Так как разыменование памяти(выборка данных) бывает не прямая - чтение ссылки, затем кодовый треш и потом вызов. Так всегда делается в виксах что бы сбить эвристик и для прочих целей. Тогда придётся выделить граф данных, а это уже иной уровень задачи, просто снять трассы кода и данных мало, нужно выполнить свёртку, короче это всё сложно и решения не видно.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Нет никакой проблемы накопить все ветвления в приложении.

Проблем нет но проверять не буду, да?

difexacaw пишет: что то более сложное чем тот upx так обработать не получится

От тебя и не требуется сложное, не больше того, что умеет scylla и не меньше того.
Полистал немного сурсы, там в пе парсере какой то ад.



и подобного там много.

| Сообщение посчитали полезным:

shellstorm

> Проблем нет но проверять не буду, да?

Что это значит ?
Запускаем через трассировку(deprecated) или через визор(имеем поток инструкций и данных). Как угодно обрабатываем, примеров было стопицот. Заюзайте поиск, ежели не в теме.

> От тебя и не требуется сложное, не больше того, что умеет scylla и не меньше того.

Это что типо конкурс. Я описал свой взгляд на данную задачу, повторю - решение бессмысленно, даже попытка решения будет бессмысленна, так как полноценно реализовать невозможно, а частные решения не актуальны. Такое чувство что вы хотите меня потролить - можешь ли, сделай лучше етц. Сделай это сам, если нужно, это всё не входит в сферу моих интересов, я могу это обсудить, но на реализацию нужно время, которое лучше уделить интересным задачам.

> readPeSectionFromProcess

Говнокод на крестах, зачем вы это показали, с какой целью)

-----
vx

| Сообщение посчитали полезным:

Ребят один вопрос, почему версия 2.1, которая лежит тут, распаковывает в папку TMP, как определяет Windows Defender: "Trojan.Downloader" в формате ***.tmp, а версия, которая лежит в курсе 2016 года, т.е 2.2, не распаковывает в TMP не одного файла и никак не реагирует AV, да сейчас все начнут пищать про то, что это "хак софт" траляля, но объясните тогда почему Defender на новую версию не реагирует?, мб в этой теме по ссылке реально троян лежит?

P.S - пишет что троян.donwloader при запуске главного exe файла тулы.

| Сообщение посчитали полезным:

xaveroniter пишет:
Ребят один вопрос, почему версия 2.1, которая лежит тут, распаковывает в папку TMP, как определяет Windows Defender: "Trojan.Downloader" в формате ***.tmp, а версия, которая лежит в курсе 2016 года, т.е 2.2, не распаковывает в TMP не одного файла и никак не реагирует AV, да сейчас все начнут пищать про то, что это "хак софт" траляля, но объясните тогда почему Defender на новую версию не реагирует?, мб в этой теме по ссылке реально троян лежит?

P.S - пишет что троян.donwloader при запуске главного exe файла тулы.

Потому что новую версию ещё не добавили в антивирусные базы. Куда обязательно рано или поздно попадает всё что имеет один или множество признаков:

1) Работает с процессами или сетью
2) Использует нестандартные Winapi функции.
3) Слинковано с некоторыми библиотеками.
4) Скомпилировано нестандартными компиляторами.
5) Упаковано
6) Не имеет цифровой подписи
7) Имеет оверлей.
8) Имеет слишком большую секцию ресурсов
9) Имеет нестандартные ресурсы.
10) Создаёт во время работы дополнительные файлы в нестандартных местах.
11) Имеет нестандартный заголовок
12) Имет высокую энтропию

И ещё много других признаков

Некоторые "защитные программы" вообще реагируют на всё что отсутствует в их "белых списках".

xaveroniter пишет:
но объясните тогда почему Defender на новую версию не реагирует?


Напиши им на адрес электронной почты, они это быстро исправят.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: xaveroniter, DenCoder

hors пишет:
вообще реагируют на всё что отсутствует в их "белых списках"

Полностью согласен, спасибо за информацию.

| Сообщение посчитали полезным:

xaveroniter пишет:
мб в этой теме по ссылке реально троян лежит?
Анлокнуть из карантина и добавить в исключения папку, из которой запускается файл, так трудно ведь, ага.
hors пишет:
Напиши им на адрес электронной почты, они это быстро исправят.
Не автор софта не в приоритете у мс.С непаблик файлами детектов не возникает.
hors пишет:
6) Не имеет цифровой подписи
Разве аверы или сама мс бесплатно подписывают фёрдпати бинарники ? Нет, насколько я знаю.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Анлокнуть из карантина и добавить в исключения папку, из которой запускается файл, так трудно ведь, ага.

Да ты мой герой, распаковывается не в папку с программой, а на C, во временную папку, надеюсь знаешь где она находится. Сколько не работал с троянами большинство лезет именно в TMP.

| Сообщение посчитали полезным:

unknownproject пишет: Разве аверы или сама мс бесплатно подписывают фёрдпати бинарники ? Нет, насколько я знаю.

Шерифа не волнуют проблемы индейцев, да и объективно данный подход оправдывает себя, отсеивая тонны сомнительного шлака, кому сильно надо тот и вм запустит, а руткиты стали редкостью, да.

| Сообщение посчитали полезным:

difexacaw пишет:
Говнокод на крестах, зачем вы это показали, с какой целью

по коду - да, бредятиной пахнет, костыли на костылях, из-за многосложности кода против минимально нужной сложности для достижения цели - считать pe-хидер из процесса - увеличивается и процент ошибок в коде. Если так подходят к делу все известные джитхабовцы, то и неудивительно, почему до сих пор x64dbg не вылизан

Добавлено спустя 5 минут
unknownproject пишет:
Разве аверы или сама мс бесплатно подписывают фёрдпати бинарники ?
есть пути )

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет: по коду - да, бредятиной пахнет

Там не пахнет, а воняет. Проверил на утечки, 17 алармов, это п*здец. В одном классе выделяем память, используем буфер во втором классе и передаем результат в третий класс, в некоторых местах автор сам не уверен что он делает, выделение и удаление памяти под буфер не везде одинаково, иногда сразу удаляет и выделяет, иногда забивает на это дело и освобождает хз где, думал отрефакторить, но нах*й, сжечь и переписать заново, рефакторить там уже нечего, там кроме этого п*деца с памятью горы легаси со всевозможными нарушениями всех мыслимых стандартов.

| Сообщение посчитали полезным:

DenCoder

> из-за многосложности кода против минимально нужной сложности для достижения цели

На крестах выполняется чтение региона памяти в области модуля, какая там сложность, может это только для вас, пару винапи дёрнуть ?

-----
vx

| Сообщение посчитали полезным:

Это круто, конечно, - но что там всё-таки Qunpack?
Кто-то крайнюю версию тестировал б.м.? Какие впечатления?

| Сообщение посчитали полезным:

Натравил на старфорс (10 лет спустя), включил умный с трассировкой - уже полчаса висит, грузит проц на 13%

| Сообщение посчитали полезным:

difexacaw пишет:
какая там сложность, может это только для вас, пару винапи дёрнуть ?
Ты как всегда, в своём репертуаре - по своему всё понимаешь Может, это у тебя способность к анализу хромает? ))
Я имел в виду, что слишком замудрёно написано, я такое писал - гораздо проще пишется )

-----
IZ.RU

| Сообщение посчитали полезным:

PASAf пишет:
грузит проц на 13%
8 ядерный наверное... ему просто не дают грузить до 100)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

PASAf
MGD для винхп+ опробуй. в свое время штука была неплохая

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

PASAf пишет:
Натравил на старфорс (10 лет спустя), включил умный с трассировкой - уже полчаса висит, грузит проц на 13%

попробуйте какой-то из моих моторов, VMBE или DYE, оно робит для км
если у вас 8-я ядерный камень, то все ядра должно равномерно нагрузить

| Сообщение посчитали полезным: dosprog

) Годная шутка.

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/7tgHlxWL4

v3.4
[!] исправлены многие ошибки и сделаны улучшения
[!] QU теперь пытается сперва использовать старую IAT
[!] полностью переписан Force OEP finder
[+] теперь можно обрабатывать все прямые обращения к импорту, а не только call xxx/jmp xxx
[+] Сдвиг для времени теперь может быть вычислен автоматически
[+] многие поля заголовка теперь вычисляются заново, перестраивается почти весь заголовок
[+] обновлен generic OEP finder от Dilla
[+] обновлен дизассемблер
[+] расширен список протекторов
[+] добавлено несколько новых функций и переменных для скриптов
[-] совместимость с ImpRec сломана
[-] убраны опознаватели навесной защиты

| Сообщение посчитали полезным: Kindly, zNob, JohnyDoe, HandMill, SReg, nice, MarcElBichon, RevCred, ==DJ==[ZLO], Creckerhack, 4kusNick

в новой версии(3.4) -- дублирование импорта почему-то, в 3.3 нет такого.
не критично конечно, всё работает, но мой внутренний перфекционист негодует




| Сообщение посчитали полезным:

Любая автоматика дает сбои, так что нужно проверять и фиксить все руками.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

RevCred
Если создавалась новая IAT, такого быть не должно. Если использовалась старая, уже зависит от исходной IAT. Видимо, там изначально было дублирование.

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/7vCpny5rX

v3.5
[!] исправлены многие ошибки и сделаны улучшения
[+] добавлена поддержка unicode
[+] обновлен дизассемблер
[+] расширен список протекторов
[+] добавлено несколько новых функций и переменных для скриптов

| Сообщение посчитали полезным: SReg, Kindly, MarcElBichon, gazlan, Gideon Vi, 4kusNick, Creckerhack, nick8606

Archer пишет:
v3.5
или все же 3.6?

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: gazlan

Archer
Когда х64 версию допилишь?

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Archer
версия 2011 года, или архив не тот влит (по датам файлов)? смутило

уже понял, 3.6 замес на будущее был
Haoose-GP пишет: Разве не очевидно
вообще, не очевидно. особенно тем, кто ее не юзал с версии, эдак, 2009 года

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

void пишет:
Когда х64 версию допилишь?
ajax пишет:
версия 2011 года, или архив не тот влит
Разве не очевидно что программа (эта версия) сделана еще в далеком 2011 году и сейчас её просто время от времени публикуют в паблике? 64-битная версия также пока не выходила в паблик и остается в привате. Это написано и на сайте программы.

| Сообщение посчитали полезным:

Haoose-GP пишет:
Разве не очевидно что программа (эта версия) сделана еще в далеком 2011 году и сейчас её просто время от времени публикуют в паблике?

Нет., ет не так
Арчер регулярно публикует новые врсии, вот в последней юникод добавил, респект!

| Сообщение посчитали полезным: