Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

rccrc

Виндебаг поставить для начала и задрачивать на нерабочие драйвера, при этом разбираться в кернел на уровне разраба.

> Как надо изменит хандле чтобы получится?

Ядро не манипулирует описателями, там прямые ссылки на обьекты(указатели). Если у вас не получается разобратся с симв. ссылками, закрой сразу всё и не мучайся зря

Текст транслирован автоматикой, но суть это не меняет.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Паганые троли и модеры, как вы настоебали просто слов нет. И админ ваш гнилой чел совсем как я понял.

э ты не быкуй


послал в лс

| Сообщение посчитали полезным:

difexacaw
difexacaw пишет:
Паганые троли и модеры, как вы настоебали просто слов нет. И админ ваш гнилой чел совсем как я понял.

Крелк ты ваще перега попутал? тут одни из самых нормальных админов во всем рунете!

| Сообщение посчитали полезным:

SegFault
кряклаб это последний из старичков в рунете кто умудрился не скатится в гуан и также самый сильный по составу мемберов. Так что клекру просто надо успокоиться. Просто его на васме забанили вот и обострение.

| Сообщение посчитали полезным:

По составу единицы остались, большинство ушло в реал, вован из-за хохлосрачей перестал приходить, прогописа вообще всякой хуйней выжили, не вынесла душа поэта. Через пару лет тут вообще никого не будет. Новой крови как таковой нет совсем и это очень грустно

| Сообщение посчитали полезным:

TryAga1n
>Новой крови как таковой нет совсем и это очень грустно
Отчасти этому способствовал тред Запросы на взлом программ ну и нынешний порог вхождения, поди попробуй сходу снять вмпрот.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

TryAga1n пишет:
Через пару лет тут вообще никого не будет

Если про визоры и моторы в каждом топике так и будет, то да. Выделять полезную информацию среди многочисленного цифрового мусора нет никакого желания.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

void пишет:
Отчасти этому способствовал тред Запросы на взлом программ

Каким же это образом? Скорей наоборот.
Можно подумать, что кто постит туда запросы, сам бы разбирался, не будь того топика.
Нормальная тема имхо.

А так да, многих захлестнули проблемы ...

| Сообщение посчитали полезным: TryAga1n

TryAga1n пишет:
Новой крови как таковой нет совсем и это очень грустно

да, грустно, но это закон природы: вино переходит в уксус, энтропия растет.
Мастера стареют, а желающих корпеть над мануалами совсем не много. Так ведь это всегда было так.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

TryAga1n пишет:
Новой крови как таковой нет совсем и это очень грустно Ты ещё динозавров вспомни, главное что бы сайт жил ,здесь залежи полезной инфы в груде камней флюда

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Теперь исходники OEP Finder от UsAr. Основано на инжекте DLL. Переписан с ассемблера на С++, добавлена поддержка x64 и DLL. Собирался VS2008.
Лицензия-используйте как хотите и где хотите, но укажите автора.

995f_17.01.2019_EXELAB.rU.tgz - UsarOEP.rar

| Сообщение посчитали полезным: DimitarSerg, v00doo, ClockMan, HandMill, Dart Raiden, tihiy_grom, sendersu, MarcElBichon, daFix, dosprog, DICI BF, SReg, TerminatorX, Orlyonok, 4kusNick

Теперь исходники OEP Finder от Human. Основано на стандартном debug API. Переписан с ассемблера на С++, добавлена поддержка x64 и DLL. Собирался VS2008.
Лицензия-используйте как хотите и где хотите, но укажите автора.

b220_15.02.2019_EXELAB.rU.tgz - HumanOEP.rar

| Сообщение посчитали полезным: HandMill, SReg, ClockMan, mak, Orlyonok, neomatr, v00doo

Archer

200кб, с 86 сигнатурным хардкодом.. что то реализовано, не важно как; хотелось бы увидеть реальное применение. Я например искал решение данной задачи на основе сотни семплов, пытаясь найти общее решение. Но там немного иной подход был, эти мелкие задачи слежения за кодом не мешали. Есть сильные реализации в несколько десятков кб нэйтива, а может даже и меньше, которые покрывают все эти задачи и аналогичные решения.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Есть сильные реализации в несколько десятков кб нэйтива, а может даже и меньше, которые покрывают все эти задачи и аналогичные решения.

реализации в студию...

Не, возможен вариант интернет-сервиса. Открываешь новый топик (персонально) и всем желающим возвращаешь хотя бы ОЕР!!!

| Сообщение посчитали полезным: TryAga1n

мне было интересно, кто первый поведется на очередной вброс Инде )

| Сообщение посчитали полезным:

Gideon Vi пишет:
мне было интересно, кто первый поведется на очередной вброс Инде )

) Все продемонстрировали чудовищную выдержку.



| Сообщение посчитали полезным: difexacaw

Gideon Vi пишет:
мне было интересно, кто первый поведется на очередной вброс Инде )
Оттягивались в соседней теме

| Сообщение посчитали полезным:

Теперь исходники OEP Finder от Deroko. Основано на dream of every reverser http://deroko.phearless.org/doer.html и так называемой рассинхронизации кеша TLB. По этой причине может не работать в ВМ, они TLB полноценно не эмулируют. Немного переписан, допилен и исправлен, добавлена поддержка x64 и DLL. Собирался VS2008.
Лицензия-используйте как хотите и где хотите, но укажите автора.

276d_17.03.2019_EXELAB.rU.tgz - DerokoOEP.rar

| Сообщение посчитали полезным: Orlyonok, MarcElBichon, SReg, DimitarSerg, Lambda, difexacaw, HandMill

ну че где x64

| Сообщение посчитали полезным:

Archer

Думаю автор на верном пути, норм реализация. Может во всём этом смысла нет, но сама системная обработка весьма стабильна. Хотя и не вполне корректна. Нельзя вызывать Zw стаб вне T-фрейма. Это уронит ос, не сразу, но проблемы будут. По нормальному устанавливается KDR вектор для обработки событий легальным путём(86).

Ну а на счёт EP - это ниочём. Задача сложная и какая то трассировка это даже не решение и не попытка, это просто трассировка. Которая в юм работает ничем не хуже чем в км. И даже лучше, межкольцевое переключене не профайл. Нет смысла прыгать туда-сюда, юм-км-юм..

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Ну а на счёт EP - это ниочём. Задача сложная и какая то трассировка это даже не решение и не попытка, это просто трассировка. Которая в юм работает ничем не хуже чем в км. И даже лучше, межкольцевое переключене не профайл. Нет смысла прыгать туда-сюда, юм-км-юм..

как обычно, всё вокруг говно, и только моторы и визоры рулят ?

| Сообщение посчитали полезным: DimitarSerg

tihiy_grom

Я не сказал что говно, даже наоборот.

Трап-обработку школьники не пишут. Пусть не вполне корректно реализовано(примитивный стаб), но сама попытка годная. Как минимум не сделано ошибок до включений прерываний, что уронило бы ос. Дальше он сделает лучше. Обработка ISR доступна лишь тем, кто отлично знает архитектуру. Там каждая инструкция вылизывается".

-----
vx

| Сообщение посчитали полезным:

difexacaw
Еще бы ты не похвалил. Ты же вырос можно сказать на копипасте с дероко в том числе, выдавая за свои "моторы" и "идеи"

| Сообщение посчитали полезным: SReg

Alchemistry

Да нет, какой копипаст, дероко только начал разбирать т-обработку, а я этим занимался много лет назад. Такая мысль только у юного сацуры могла возникнуть, у тебя мозга не хватило даже для установки своей аватарки, поэтому ты и думаешь что всё нужно рипать. Штатное мышление паразита.

-----
vx

| Сообщение посчитали полезным:

difexacaw, лол, глянь дату создания оригинального софта от дерыча.

Нет, нет, я случайно, я больше не буду, идите нахер.

| Сообщение посчитали полезным:

Gideon Vi

2006 ?

И за столько лет дероко не понял как нужно правильно обрабатывать прерывания ?!

TLB вам чем то поможет найти EP, можно есчо немного драйверов пильнуть, ну пиара ради.

Добавлено спустя 13 минут
Получается с 2006 года, за 13 лет не сформулирован даже критерий EP, необходимый для решения. Тогда наверно изначально не следовало браться за это дело.

-----
vx

| Сообщение посчитали полезным:

difexacaw, лол. В последний раз я на это ведусь.
Это было реализовано дерычем. Давно. Давно было перенесено в qu. Много лет не выносилось в паблик, ходило по тестерам. Теперь вот Арчи дергает по кусочкам и выкладывает, может пригодиться кому. Тебе вот пригодилось: ходишь, серишь. Нам, отчасти - ржать с тебя.

зы. Как там инженеры интоля, купили у тебя технологию? Лол, мну зарекся, честно-честно. Твои посты телько в рид-онли режиме.

| Сообщение посчитали полезным:

difexacaw
Тебя он забыл спросить. Не написавшего в жизни ни одной программы кроме каких-то асм-гавнюшек.

| Сообщение посчитали полезным:

Alchemistry
IDP, GPE/GCBE, VMBE/VMBE2, SIDE, DYPE, BBPE, VISOR log.txt | vx с 2008


| Сообщение посчитали полезным: Alchemistry, difexacaw, DimitarSerg

Gideon Vi

Не вижу ничего смешного. В этой задаче главное определить критерий, который определяет что есть EP. И различает фейковые(загрузочные) --> Link <--

Только когда критерий есть можно что то реализовать. Тут же получается что каждая новая сборка которую даёт арчи это просто трассировка, в разных её вариантах. Можно даже ради интереса потестить последний проект на разных протекторах. Я уверен что ничего не выйдет. Так как задача совсем не в трассировке.

Добавлено спустя 24 минуты
Archer

Разрабы нт не глупые, но иногда их решения глупые. Всякая т-обработка должна происходить после формирования фрейма системой. Это событие никак не экспортится, те ось для этого не предназначена. Удобный обходной путь это вектор KDR, отладочный стаб. Ну кроме патча ядра. Он защищён PG. При этом механизм не работает, если активен юзер отладчик. Во втором варианте нужен мотор, который пересобирает код на другие адреса, что бы рипнуть формирующий фрейм код. В любом случае это быстрая трассировка в ядре. Есть хорошие способы проверенные обойтись и без этого. Но опять же это никаким образом не относится к определению EP.

-----
vx

| Сообщение посчитали полезным: