Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

SDK пишет:
А Арчи вредный и смурной как и был,таким и остался

никакой он не смурной, просто "он скуп на слова, как де Ниро"...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: SDK

Дожили, на тутсях версия позднее чем на родине(

| Сообщение посчитали полезным:

так уже не однократно фейк раздавали раньше... мож опять заострение школото?

| Сообщение посчитали полезным:

А как оно хоть выглядит?




Добавлено спустя 40 минут

dosprog пишет:
И кнопку бы эту переместить вниз, - следом за кнопкой "Use Script".
А то возможно непроизвольное надавливание на неё.

..вот типа такого:


| Сообщение посчитали полезным:

Medsft

А как обстановка у конкурентов?
Не слышно нефейековых релизов за 2017-18-й год?
всяких там Gunpacker'еров ... И прочих автоматических распаковшиках от Unpacing Gods по типу Generic Unpacking ?

У кого что завалялось unpublic ?

У нас тут нет , а у тебя, мы знаем, запас.

| Сообщение посчитали полезным:

SDK пишет: по типу Generic Unpacking ?

Лучший из пабликов https://github.com/Phat3/PINdemonium, который ценен скорее не как анпакер, а как конструктор для своего анпакера, а из привата вам никто не даст, на то и приват.

| Сообщение посчитали полезным: SDK

из привата вам никто не даст, на то
и приват.
Вегда думал наоборот, приватные пакеры и криптеры всегда давать не хотят, а анпакеров всегда пачками и скрипты и туторы,просто автоматические-универсальные выплывали очень редко в основном потому что никто не писал,встречал поделки от крякерских команд: арабов, шведов, китайцев,бывали и подделки и старые разработки.

| Сообщение посчитали полезным:

Наличие [специфичных] унпакеров на паблике побуждает сочинителей "защит" изгаляться всё новыми и новыми методами.
(Впрочем, они и так к этому склонны..)
В общем, двоякое это явление - имеется и польза и вред.
Но наверное, пользы всё-таки больше.

| Сообщение посчитали полезным: SDK, ivans77

SDK пишет:
Вегда думал наоборот
С вами share будет всегда - все зависит от вас.(чья сторона силы с тобой..(и насколько полезен сам..))..

| Сообщение посчитали полезным: SDK

SDK

> приватные пакеры и криптеры всегда давать не хотят

Естественно, реализация древняя как говно мамонта и реклама годная - приваты же. Маркетинг как никак.

dosprog

> на паблике побуждает сочинителей "защит" изгаляться всё новыми и новыми методами.

Может пример покажите, этих новых методов. А то вас читая такое впечатление возникает что отстал от всего лет на десять.

-----
vx

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/7ZVxcJlw4

v4.1
[!] исправлены многие ошибки и сделаны улучшения
[+] добавлено отладочное ядро на аппаратной виртуализации AMD
[+] добавлено удаление длинных последовательностей нулей из секций
[+] обновлен generic OEP finder от Dilla
[+] обновлен дизассемблер
[+] расширен список протекторов
[+] добавлено несколько новых функций и переменных для скриптов
[+] обновлен Lua до 5.2.3

| Сообщение посчитали полезным: Kindly, Gideon Vi, HandMill, 4kusNick

человеки проверьте как распаковывает аспак и упх и отпишите а то предыдущая версия сырая даже с этим не справилась.

Добавлено спустя 1 минуту
под Win XP

| Сообщение посчитали полезным:

И предыдущая справлялась, и эта справляется. Под WinXP.

| Сообщение посчитали полезным:

человеки проверьте как распаковывает аспак и упх и отпишите а то предыдущая версия сырая даже с этим не справилась.

| Сообщение посчитали полезным:

Тю. Написал же.

| Сообщение посчитали полезным:

SDK пишет:
человеки проверьте как распаковывает аспак и упх и отпишите
слышь, сам проверь. отписывать не надо

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/64ptYHCqG

v4.2
[!] исправлены многие ошибки и сделаны улучшения
[+] обновлен дизассемблер
[+] расширен список протекторов

| Сообщение посчитали полезным: plutos, hypn0, RevCred, Gideon Vi, Kindly, 4kusNick, HandMill, sendersu, Styx, ErikPshat, gazlan

ого, уже конец шестнадцатого

| Сообщение посчитали полезным:

Так, а что насчёт x64 версии? Есть она где-то в общем доступе или возиться с виртуалкой?

| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/6jVMS2f9D

Это финальная версия.

v4.3 final
[!] исправлены многие ошибки и сделаны улучшения
[+] обновлен дизассемблер
[+] расширен список протекторов
[+] добавлено несколько новых функций и переменных для скриптов
[+] обновлен Lua до 5.3.4
[+] добавлен перехват cpuid
[-] убраны плагины и плагины трассировки импорта
[-] убран перехват int3 и int6

| Сообщение посчитали полезным: Kindly, RevCred, Gideon Vi, TryAga1n, ClockMan, TRPD, v00doo, Vnv, sendersu, Creckerhack, HandMill, =TS=, hypn0, 4kusNick, mak, gazlan, d745150, DICI BF, Orlyonok

Belg пишет:
или возиться с виртуалкой?
или возиться с виртуалкой!

| Сообщение посчитали полезным:

Радует что Lua 5.3.4 -- наконец-то нормальный синтаксис для битовых операций
Не радует что нужно держать 32-битную виртуалку когда уже переехал на 64-битную

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
Не радует что нужно держать 32-битную виртуалку когда уже переехал на 64-битную
тонко намекаешь XP содержать много места и времени не надо, у меня пять виртуалок с маком и ничего

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Archer пишет:
Это финальная версия.



| Сообщение посчитали полезным: 4kusNick, SDK

Archer пишет:
Это финальная версия.
Всплакнул, все когда-то заканчивается (

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
Всплакнул, все когда-то заканчивается (
Ну,ребята и так не плохо поработали,этого на некоторое время должно хватить,а там посмотрим...прогресс на месте не стоит.)

| Сообщение посчитали полезным:

Уважаемый Archer, можно поросить вас поделиться поделиться 64-битной версией распаковщика?

| Сообщение посчитали полезным:

Финальная версия была выложена. Но это не значит, что раздачи на этом закончатся...

На этот раз полные исходники драйвера, который используется для отладки в QuickUnpack. Он основан на перехвате IDT. Собирался VS2008+WDK 7.
Лицензия-используйте как хотите и где хотите, но укажите автора.

b044_20.09.2018_EXELAB.rU.tgz - engine.rar

| Сообщение посчитали полезным: mak, bizkitlimp, Gideon Vi, Psalmopoeus Pulcher, 4kusNick, Orlyonok, HandMill

Archer пишет:
Но это не значит, что раздачи на этом закончатся...

Намёк на полный декомпиль Темиды

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Archer

Эта обработка просто ппц безграмотный. Так нт ядро устроено, что вход и выход в него должен быть реализован через загрузку и выгрузку т-фрейма. Частичное его ручное формирование приведёт к полному анстабу. Как минимум эти функции должны вызываться штатным путём, либо они могут быть копированы. Но так просто сохранить регистры в ISR нельзя. Какие то дичайшие извраты. Никто по причине сложности работы с т-фреймами не трогает таблицы прерываний.

Автору этой поделки отрезать руки, что бы такое больше не делал.

Так как обработка плавает в версиях, то обычно используется не экспортируемый вектор - KDR(KiDebugRoutine). Это позволяет исключить работы с фреймами. Туда вектор запихать куда проще, чем копировать себе прологи ISR. Для этого нужен как минимум конструктор.

А если же поделка нужна для работы только с юм, то км не нужно лишний раз трогать, способов достаточно.

-----
vx

| Сообщение посчитали полезным: