Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

| Сообщение посчитали полезным:

difexacaw
Да ты даже это обосрался правильно представить. Зачем мне этот хлам с тоннами сисколов в логе, еще и месаджбоксов напихал, чтоб еще мусора в логе было от сисколов шадова, когда задача в треде была озвучена предельно четко? Визор визор, что за визор. Я уж подумал имеется в виду гипервизор аля hyperplatform, а тут очередной твой извращенный термин. Я тебя поздравил - xed ты освоил, молодец че) А теперь расскажи сколько потребуется доработки чтобы эти логи высирались на любом ехе который я хочу посмотреть. Или там будет как с идп - допиливание под каждый конкретный кейс? Открой для себя уже консоль венды потому что смотреть это в дебагерах уже запарило. В общем негодно инде, неправославно и по аверски.

| Сообщение посчитали полезным:

difexacaw пишет:
Вот собрал пример
Ух ты.. Софтинка.
Только я не понял зачем 1.5 Мб на то, чтоб три раза сказать "zzzzz". Ну жужжать умеет, отлично.
Я даже в параметрах передавал разные файлы, одна холера, жужжит и всё. Что делать то должна?

Не пинайте меня, я тупенький. Мне и жужжалка пригодится.. ..тёмными зимними вечерами.

| Сообщение посчитали полезным:

hypn0 пишет:
Только я не понял зачем 1.5 Мб на то, чтоб три раза сказать "zzzzz".
Это на то, чтобы самому дизассемблер длин и дизассемблер нескольких инструкций не делать.


-----
2 оттенка серого

| Сообщение посчитали полезным:

cppasm

> Что оно там внутри ещё делает никому нафиг не интересно - практической пользы ноль.

Практической пользы и не должно быть, это пример, POC. Ответ на вопросы выше, почитайте. Есть производитель и потребитель. Производитель реализует идеи для потребителя в законченном продукте. Потребителя не волнует как и что делал производитель и начинка его тоже не волнует. В данном случае все кто ответил сегодня - потребители. После обсуждения методов трека тск и тп. начали искать в примере какой то софт и практическую пользу, а не теоретическую. У вас там походу с понималкой напряг

> Если можно запустить процесс под отладкой, включить сингл стэп и в обработчике анализировать опкоды.

И реализовать трассировку в ядре, ибо юзер не пригодна ни для каких целей, только лишь для ручной отладки.

f13nd

> "дробить по инструкциями перехода" нету

А какая в принципе разница и проблема посчитать общую длину всех инструкций до ветвления.

> Помнится шеллшторм выкладывал полторы строчки на си

Ну покажи как это делается за пару строчек. Уже бы сделал, небось скила маловато.

hypn0

> Ух ты.. Софтинка.
Только я не понял зачем 1.5 Мб на то, чтоб три раза сказать "zzzzz".

Читать выше. Где вы нашли что это какой то софт.

Gideon Vi

Файл, который запускается --> Link <--. Добавил системную обработку. Олли кстате под ним работает, но очень медленно. Летать будет если пакетную обработку добавить.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Ну покажи как это делается за пару строчек. Уже бы сделал, небось скила маловато.
Не "пару строчек", а "полторы", это фигура речи. Показано было вот здесь --> Link <--, тебе напомнить твое мнение и твое видение тогда, как это должно работать? Вот --> Link <-- Щас ты наконец-то снизошел до того, чтоб показать о чем стучал пяткой в грудь и уверял, что можешь реализовать и вываливаешь это. Немая сцена, занавес.

Насчет "показать", мне не 15 лет и нету столько времени, чтоб браться за что-то, просто чтоб кому-то что-то доказать. Мне эти зиродей-технологии пока ни разу не были нужны и вряд ли понадобятся.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd

Ты что то путаешь дружок. У вас по ссылке блочная сборка, я это давно пилю и не закончил. А данный пример я за выходные почти с нуля собрал, так интереса ради. Потому что все прошлые сборки очень большие и много лишнего содержат, не годятся как пример.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
У вас по ссылке блочная сборка
difexacaw пишет:
А какая в принципе разница и проблема посчитать общую длину всех инструкций до ветвления.


Короче нас наеобманули, расходимся.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd

В чём именно обман. По мойму только в твоём возрасте, больше не в чём.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Практической пользы и не должно быть, это пример, POC.
//...
После обсуждения методов трека тск и тп. начали искать в примере какой то софт и практическую пользу, а не теоретическую. У вас там походу с понималкой напряг

У кого тут напряг с понималкой всем кроме тебя давно ясно.
Когда хотят показать как что-то работает - выкладывают исходники.
Нафиг кому упало разбирать твою поделку, если ты сам не удосужился нормально продемонстрировать что она вообще работает.

| Сообщение посчитали полезным:

cppasm пишет:
Когда хотят показать как что-то работает - выкладывают исходники.
Да не, так тоже было бы норм. Просто от него ждали не этого примера. Когда человек любую тему способен свести к своему "визору", который снимает порчу и лечит энурез, даже вон поставку пиваса готовы наладить, лишь бы показал уже что это страшилище может существовать и даже работать. А выкатывает то, что и без него было понятно, что работает. Завтра будет уверять, что клерковизор-таки готов, но вы барыги-коммерсы и жаждете практической пользы. Почтальона Печкина с его ящиком напоминает.

-----
2 оттенка серого

| Сообщение посчитали полезным: sefkrd

cppasm

>Когда хотят показать как что-то работает - выкладывают исходники.

С чего бы вдруг. Копипаст не есть хорошо.

> не удосужился нормально продемонстрировать что она вообще работает.

Я показал что оно работает, все юзер события мониторятся. Сделав это через дебагпринты(вывод) рациональным путём(прямое исполнение) за несколько дней без всяких извратов с ядром и эмуляторами.

-----
vx

| Сообщение посчитали полезным:

Gideon Vi

Где же мой обещанный пивас ?

Немного допилил семпл, работает на многих апп, которые не обрабатывают сложным путём исключения, тоесть без них - абсолютная стабильность. Гуглохром запускался, хотя не уверен что в этом билде запустится - он тоже фолты тягает, работоспособность зависит от опций. Темида под этим запускается без проблем, privexeprot тоже. Обсидиум падает из за какой то ошибки, я её не смог пока резолвить(контекст двойной и найти ошибку довольно сложно), там что то запутанное с обработкой фолтов, но это не сам прот делает, а баг в движке, что то не корректно обрабатывается. Можите любое приложение запустить и посмотреть.



--> Link <--

-----
vx

| Сообщение посчитали полезным: Orlyonok

difexacaw пишет:
Где же мой обещанный пивас ?

я заднюю не давал, poc есть, в твоём стиле, но есть Даже лучше, чем обычно. Шли координаты
Я, правда, ожидал чего-нибудь действительно интересного, но это мои половые трудности

| Сообщение посчитали полезным:

Gideon Vi

Я за некоторое время допилил двиг до стабильного состояния, тоесть он запускается под каждым апп и под любым пакером(особый гемор был с obsidium, он использует ESP как регистр GPR). Изначально я планировал определить EP, но задача оказалась не решаемой пока.

Но любое событие и активность апп можно получить простым путём. Вот текущие сурки кому интересно --> Link <--

Там решена куча системных задач, это поможет очень тому, кто захочет это повторить.

-----
vx

| Сообщение посчитали полезным: Gideon Vi, Jupiter, ClockMan, hors, 4kusNick, mak, daFix

difexacaw
Что означает "+" в комментариях к функции?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter

Значит что отлажено, тоесть не нуждается в отладке.

-----
vx

| Сообщение посчитали полезным:

Теперь полные исходники драйвера на аппаратной виртуализации VMX на Intel. Он основан не на перехвате IDT, как прошлый драйвер, а на аппаратной виртуализации. Собирался VS2008+WDK 7. Как и прошлый драйвер, этот x86+x64.
Лицензия-используйте как хотите и где хотите, но укажите автора.

450e_18.11.2018_EXELAB.rU.tgz - engine_vmx.rar

| Сообщение посчитали полезным: difexacaw, HandMill, 4kusNick, Jupiter, ClockMan, SReg, mak, sendersu, MarcElBichon, WildGoblin

Archer

Тяжелые сурки, но главное что мод даже не кернел, а вовсе -1. Зачем это нужно такое, все эти задачи успешно решаются в юм. Ваше решение использовать фактически не реально

-----
vx

| Сообщение посчитали полезным:

критикуя предлагай

клерк тебе +10500 раз говорили - сделай готовую тулзу,
хотя бы на основе того же Quick Unpack только на своем двиге

| Сообщение посчитали полезным:

reversecode

А у меня рабочее и готовое к решению любой задачи, ну из тех что решить на данный момент в принципе возможно. Не решена задача по наследованию указателей, но эта задача полный оверхед, на это нужны огромные обьёмы памяти. Для иных любых целей лучшего решения чем юзер визор быть не может.

В апп интеграция монитора, работающего в ином моде невозможна. А если монитор и апп не слиты воедино, то будет утеря части событий, весьма важной.

А трогать драйвера лишний раз не стоит. Если есть более простой путь. Обычно проблема даже такое разобрать, не говоря уже про кернел виртуализацию.

-----
vx

| Сообщение посчитали полезным:

более простой путь это как раз виртуализация, а не дрочево с асм кодами, сам подход кривой

| Сообщение посчитали полезным:

SegFault

Арчи мотор собран масмом. Так что это ты не подумав как всегда утверждаешь. Каждый выбирает подходящий ему яп. Как кто то говорил от масма с его макро остались лишь названия регистров..

Подход верный. Не правильный - использовать иной мод.

Так все эти решения по протекторам, то же самое что и задачи виксов, просто в последних куда сложнее. Если для протектора нужно лишь любым колхозным способом затруднить анализ, в крипторах иначе - там чёткие задачи поставлены. Никакой уровень авера обнаружить ничего не должен, в самом предельном случае должен блокироваться сканер памяти. Это довольно сложное решение относительно протекторов, совершенно из иной области и по уровню.

Инструменты, нормальные должы работать в том же режиме, что и их обрабатываемый код. В противном случае обработка станет невозможной, как это было с ав виртуальными машинами из за изоляции мода, кстате после этого уже никто не обсуждает нигде ав вм, так как это смысла не имеет. Из за изоляции выборки данных, данное событие теряется в ином режиме и так реализуется анклав(вм машина теряет данные и прекращается, кернел сканер получает N/A).

Ну а далее никаких преимуществ вмх не имеет, одни лишь проблемы:

- огромная матчасть, изучение которой, отладка и попытка реализации очень сложна. Так как это всё ядерное, мало что теорию нужно годами изучать, а есчо это нужно ровно реализовать и отладить.

- не интегрируемо в апп. Для запуска нужно задействовать всю систему.

- изоляция данных апп. Для этого нужно решить кучу системных задачь, из за разницы в моде это нельзя сделать просто, это приводит к куче ядерных решений для элементарных задач.

- детект по факту виртуализации.

- абсолютно не портируемо никуда и не совместимо с железом, не поддерживающим виртуализацию.

- новые билды нт поддерживают виртуализацию, это как пример показал Ionescu.

- не возможно использовать на уровне сборки, так как для этого нужно знать теорию и механизмы вмх.

-----
vx

| Сообщение посчитали полезным:

Теперь полные исходники драйвера на аппаратной виртуализации SVM на AMD. Он основан не на перехвате IDT, как первый драйвер, а на аппаратной виртуализации, как прошлый драйвер для Intel. Собирался VS2008+WDK 7. Как и прошлые драйверы, этот x86+x64.
Лицензия-используйте как хотите и где хотите, но укажите автора.

3ebf_18.12.2018_EXELAB.rU.tgz - engine_svm.rar

| Сообщение посчитали полезным: HandMill, oooirbis, MarcElBichon, Gideon Vi, dosprog, Alchemistry, plutos, Dart Raiden

Archer

--> Link <--

-----
vx

| Сообщение посчитали полезным: wacaxefid

difexacaw, согласен

| Сообщение посчитали полезным: kulerk

wacaxefid

Странно что вновь зарегавшийся(троль перевернувший ник) соглашается, ваше мнение значения не имеет ведь

По факту просто получается - что бы заюзать какой то гпв инструмент нужно апдейтить ось. Но тогда нет смысла в инструментах, если это штатный апи нового ос билда, а в версии при апдейте разницы нет

Накой чёрт нужны драйвера, если это саппортит ось и ионеску через её интерфейсы собрал визор малого размера. Я деталями не интересовался(мне не интересен гпв).

-----
vx

| Сообщение посчитали полезным:

я думаю стоить попробовать интегрировать сорцы дровины в один из предыдцщих моторов (DUPA или AVVM)

| Сообщение посчитали полезным:

difexacaw пишет:
Накой чёрт нужны драйвера, если это саппортит ось

Windows 10 Spring Update (1803)

Хотя бы на тот что вендоус 10 не нужен. Как и твой пост не по теме.

| Сообщение посчитали полезным:

Пожалуйста подскажите как надо сделать quick unpack работать с 64бит драйвер. Только vmx запускается на 64битная ос но Quick unpack его не видит ошибка Invalid handle. Если изменит \device и \dosdevice на \device\qunpack0 и \dosdevice\qunpack0 и скомпилирую драйвер не запускается? Как надо изменит хандле чтобы получится?

| Сообщение посчитали полезным: