Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

difexacaw
клерк создай аналог QU на базе своего ресерча с поиском OEP а то от тебя одни слова только
а QU есть много много этих лет уже и работает

| Сообщение посчитали полезным:

SegFault

Ну и где оно работает ?
Выше линк где я решал задачу по EP, там работает. А у вас ничего нет, кроме трассировки кривой в ядре.

Добавлено спустя 3 минуты
Теме 13 лет. Покажите что за это время сделано на реальных примерах. Или это я сделаю, что бы показать ущербность этих инструментов/проектов".

-----
vx

| Сообщение посчитали полезным:

difexacaw
Отъебись уже от Арчера, а. Сделай что-то полезное, ну не знаю, сходи мусор вынеси чтоле.

| Сообщение посчитали полезным: sefkrd

difexacaw пишет:
Ну и где оно работает ?
Выше линк где я решал задачу по EP, там работает. А у вас ничего нет, кроме трассировки кривой в ядре.
не не дружище, ничего нет у тебя кроме понтов и моторов BBPE, а QU вполне себе рабочий инструмент!

| Сообщение посчитали полезным:

difexacaw пишет:
Покажите что за это время сделано на реальных примерах.

) То есть? - Интересуют примеры, когда QU нормально отработал?
- Да их просто море, начиная с файлов, тривиально сжатых UPX-ом, с отредактированным заголовком.
Так что софт реально вполне рабочий. - Однозначно маст хэв.



| Сообщение посчитали полезным:

я поддерживаю клерка qu2.1-2.2 рабочие а что началось дальше плохо работает на вин хп.
упх переделаные ккрунч и даллее у меня не распаковывалось нормально 2.2 нормально распаковывваеьт 3-я не распаковыывает где то ошибки.

| Сообщение посчитали полезным:

Ну вот сейчас, под WinXP, взял и на пробу распаковал UPX, версией QU 4.2. И нормально вроде бы.

| Сообщение посчитали полезным:

SDK пишет:
я поддерживаю клерка

ты бы хоть с примерами. Недавно только под варей на xp крайнюю версию из топа смотрел.

| Сообщение посчитали полезным:

dosprog

Возьми для теста модуль с больше чем одной EP, обсидиум к примеру, он быстро запускается.

А есчо странно что машинная трассировка(TF, #DB) не детектится. Она не может не детектится, pushfd в самом простом случае и конец такой трассировке. На такой трассировке отвалится большинство семплов, это не пригодно для использования. Кто же сейчас на ловушках то строит трассировку

-----
vx

| Сообщение посчитали полезным:

Ну так, без подъебонов, взял бы и принял участие в проекте.
Раз есть конкретные замечания и возможность поправить



| Сообщение посчитали полезным:

Оставлю это здесь http://rgho.st/85H7Hq686

Это финальная x64 версия.

| Сообщение посчитали полезным: Kindly, mak, HandMill, ClockMan, dosprog, pigo, Gideon Vi, TryAga1n, DICI BF, nick8606, EHS4N, MarcElBichon, Orlyonok, 4kusNick, P3rd4ch0k

а 32-битная больше не будет обновляться?

| Сообщение посчитали полезным:

SDK пишет:
а 32-битная больше не будет обновляться?
Archer пишет:
Это финальная версия.

| Сообщение посчитали полезным:

SDK пишет: жал

| Сообщение посчитали полезным:

У меня такие мысли: QU это штука которая конечно по технологиям чуток устарела. Но она работает это раз, и два - она дала людям идеи. Т.е. работающая прога + идеи = развитие комьюнити и вообще толкает людей к творчеству. А вот взять крелка. У него есть ( точнее были ) норм идеи, но он сам установил порог вхождения низкий ( сиречь асм нахуй никому не всрался ) - плюс работа только на вин хп и только в оллидбг, изза этого QU все ценят и любят. А моторы клекра остались в небытие.

| Сообщение посчитали полезным: DimitarSerg

Спасибо за x64. На Windows 10 x64 bsod получаю буду попробовать на 7 и скажу. Кому-то получилось запустить x64?

| Сообщение посчитали полезным:

бсоды я и в 32 получал на асп

| Сообщение посчитали полезным:

BSOD может быть из-за патчгарда, если использовать драйвера не на аппаратной виртуализации.

| Сообщение посчитали полезным:

Может глупый вопрос, но как этим пользоваться на Win 10? 32 битная версия вообще шлет лесом, мол винда 64 бит, а 64 битная пишет "Can`t start service".
На XP старыми версиями пользовался без проблем.

| Сообщение посчитали полезным:

Запускаешь ты конечно с админ правами и проверку подписи драйверов выключил?

| Сообщение посчитали полезным:

cppasm, с админом, а вот касательно проверки подписи драйверов как то упустил

| Сообщение посчитали полезным:

cppasm пишет:
проверку подписи драйверов выключил

можно попробовать вот так.

f63c_24.04.2019_EXELAB.rU.tgz - 04.7z

| Сообщение посчитали полезным:

Gideon Vi пишет:
можно попробовать вот так.
Без выключения проверки подписи драйверов - BSOD: KERNEL_SECURITY_CHECK_ERROR

| Сообщение посчитали полезным:

Там сертификат которым подписали отозван и к тому же просрочен уже.

| Сообщение посчитали полезным:

и причем здесь просрочен/отозван? Пробуй выбирать дров с виртуализацией под свой процессор.

зы. глянул версию x64 на indows 10 Enterprise x64 Build 17763.437 {rs5_release 180914-1434} и лишний раз хочу выразить Арчи респект.

| Сообщение посчитали полезным:

Gideon Vi

Покажи что ты этим инструментом можешь решить. Он не применяется к задачам, которые тут возникают. Почему же ?

-----
vx

| Сообщение посчитали полезным:

Gideon Vi пишет:
и причем здесь просрочен/отозван? Пробуй выбирать дров с виртуализацией под свой процессор.

При том что если не выключить проверку подписи драйверов просроченная/отозваная подпись равносильна её отсутствию.
У него собственно в этом и проблема была.
Или что имелось ввиду под "можно попробовать вот так"?

| Сообщение посчитали полезным:

Да мы же это уже разбирали, был топик. Оно просрочено, отозвано, но оно работает.

И вы так и не смогли объяснить, почему оно работает, а то, что оно работает проверено кучей очевидцев. Ну и если мы снова заведем эту шарманку, то:
- любой желающий может взять чистую виртуалку со свежей 10-кой
- поставить на неё --> Sandboxie <-- (оф.сайт лежит, поэтому ориг. инсталлер тут)
- и в тот момент, когда инсталлятор Sandboxie скажет "сейчас будут ставить драйвер, жмите Далее" заменить драйвер в папке программы --> вот этим драйвером <--, который подписан просроченной и отозванной подписью.

И чудо, чудо, после окончания установки Sandboxie работает, а значит, работает и драйвер. Который не может работать. В конце концов я этой подписью себе подписывал видеодрайвер и он отлично грузился и работал (на системе, где включён SecureBoot, а как известно, включённый SB не даёт отключить проверку подписи).

Вот почему у большинства оно работает, а у некоторых нет - вот это второй интересный вопрос. Первый - почему оно вообще работает.

| Сообщение посчитали полезным:

cppasm пишет:
У него собственно в этом и проблема была.

Драйвер с недействительной подписью просто не стартует (Can`t start service). У него стартует и валиться патчгардом потому, что не нажат батон "заменить двиг", или в бивисе запрещена аппаратная виртуализация. Или проц совсем старый. Или Арчи накосячил, но это врятли )
Ты бы уже сам проверил, что ли.

Добавлено спустя 1 минуту
Dart Raiden пишет:
Вот почему у большинства оно работает, а у некоторых нет - вот это второй интересный вопрос

может быть потому, что они хотят, чтобы у них не работало? А для проверки ни какую боксю качать не надо, достаточно взять дров из моего архива.

Кстати, для самостоятельного использования ни кто не отменял Driver Signature Enforcement Overrider v1.3b.7z

| Сообщение посчитали полезным:

Gideon Vi, проц G2010, в биосе единственный пункт "Intel Virtualization" стоит в Enable. В режиме "normal" - BSOD, в режиме "VMM" - все наглухо зависает, только Reset помогает. Win 10 x64 Enterprise LTSB.
Не понял, почему "QuickUnpackRules*" 3 файла, а режимов только 2.

P.S. Да ну в общем и хрен с ним, то что надо было распаковать - распаковал другими средствами...

| Сообщение посчитали полезным: