Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Adler пишет:
Не понял, почему "QuickUnpackRules*" 3 файла, а режимов только 2.
Потому что перехват IDT и виртуализация (1 AMD+1 Intel).

| Сообщение посчитали полезным:

Adler пишет:
проц G2010

фиг знает, может какие ограничения у пеньков. У меня тоже ивик, но i5 - всё работает.
Традиционно, онтевирусного балагана нет? Запуск не под виртуалкой?

| Сообщение посчитали полезным:

Gideon Vi пишет:
Традиционно, онтевирусного балагана нет? Запуск не под виртуалкой?

Установлен вечто выключенный 360 TS (иногда запускается вручную). Не под виртуалкой.

| Сообщение посчитали полезным:

проц Хасвелл и то же самое
FAILURE_BUCKET_ID: DISABLED_INTERRUPT_FAULT_1ef1c3aa111fae7a!unknown_function

| Сообщение посчитали полезным:

Gideon Vi пишет:
может какие ограничения у пеньков. У меня тоже ивик, но i5 - всё работает.
У i5-3340 (первый попавшийся открыл), в отличии от G2010 есть поддержка - "Технология виртуализации Intel® для направленного ввода/вывода (VT-d) ‡". Не знаю что это, но в этом отличия хоть как то касающиеся виртуализации.

| Сообщение посчитали полезным:

Вам VT-d не нужна, только VT-x

| Сообщение посчитали полезным:

TryAga1n пишет:
только VT-x
У G2010 есть.

| Сообщение посчитали полезным:

Я вот одного не пойму. В чём проблема посмотреть аварийный дамп ?
Ясно что кроме как кнопки жать отписавшие не на что больше не пригодны, но ведь некоторые ответили которые вроде бы как не совсем полные овощи.

-----
vx

| Сообщение посчитали полезным:

Если крашит у двух человек, остальные крэшдамп должны в хрустальном шаре увидеть, или где?

| Сообщение посчитали полезным:

cppasm

Он сохраняется, просто никто про это не подумал, так как товарищи понятия не имеют про крэшдампы. Вы ведь тоже не спросили дамп, что бы выяснить причину падения.

-----
vx

| Сообщение посчитали полезным:

difexacaw, если речь о тех, что в %systemroot%\minidump то за них я в курсе, только мне они особо ничего не скажут, а никто другой о них не спросил.
P.S. Или надо %systemroot%\MEMORY.DMP

| Сообщение посчитали полезным:

Adler

Давай сюда его.

Добавлено спустя 13 минут
Adler

> мне они особо ничего не скажут

Кстате думаю тебе это будет интереснее чем мне, ну что бы ты понял как разбирать системные падения.

Загружаешь данный инструмент --> Link <--

Выбираешь аварийный дамп. Этот инструмент командный, поэтому вбиваешь штатную analyze -v и видишь причину падения.

-----
vx

| Сообщение посчитали полезным:

Проверил дома на i5-6600k. Результат следующий :
В режиме "VMM" - BSOD (Результат analyze -v во вложении. Куда смотреть пока не знаю, еще не разбирался), в режиме "normal" - мгновенная перезагрузка без BSOD`а и дампов.
В качестве подопытного для распаковки взял BOOTICEx64_2016.06.17_v1.3.4.0.exe (он же test.exe в отчете) упакованный обычным UPX (другого ничего под рукой не нашлось).

P.S. При повторном запуске в режиме "VMM" зависло намертво, только Reset.

c80b_27.04.2019_EXELAB.rU.tgz - dbg.txt

| Сообщение посчитали полезным:

difexacaw пишет:
Загружаешь данный инструмент --> Link <--
есть однокнопочные решения и попроще --> https://blog.simplix.info/minidumper/ <--

| Сообщение посчитали полезным:

Alf, ну он минут 5 думал над %systemroot%\MEMORY.DMP и выдал:

Минидамп почему то не делается на рабочей машине, хотя в настройках стоит "Автоматический дамп памяти" и старые минидампы есть (за 2018 год).

| Сообщение посчитали полезным:

Лучше бы выкладывать именно полноценный MEMORY.DMP, а не вывод в консоль отладчика. По логу видно, что не нравятся ему стек или его границы. А почему-неизвестно.

| Сообщение посчитали полезным:

Archer пишет:
Лучше бы выкладывать именно полноценный MEMORY.DMP
Вечером залью дамп с домашней машины.

P.S. --> Свежий дамп с рабочей машины <--

| Сообщение посчитали полезным:

Adler

У меня сеть с мобилки, на загрузку 800М нужно не приемлемо много времени. Откройте сами виндебагом дамп и покажите что он выдаёт.

Если аварийный дамп создаётся, то проблему решить не сложно. Иначе если бы дамп не создавался, то это бы значило что из за грубой ошибки процессор мгновенно уходит в ребут, без обработки исключений, а это очень редкая ситуация.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Откройте сами виндебагом дамп и покажите что он выдаёт.
Вчера выкладывал результат !analyze -v.
После однокнопочного MiniDumper от simplix отчет получается "жирнее" (после отчета !analyze -v еще какие то данные).
Во вложении отчеты рабочего и домашнего дампов. При чем домашний и рабочий отчеты по дампам существенно отличаются по объему.

difexacaw пишет:
Если аварийный дамп создаётся, то проблему решить не сложно. Иначе если бы дамп не создавался, то это бы значило что из за грубой ошибки процессор мгновенно уходит в ребут, без обработки исключений, а это очень редкая ситуация.
Дамп создается раз через раз. Точнее из ~5 попыток запуска чаще всего либо виснет намертво, либо мгновенно ребутится. BSOD из них был только один раз.
Так же и вчера дома, при первом запуске был BSOD, а при повторном - намертво зависло. Тоже об этом вчера писал выше.


5d84_27.04.2019_EXELAB.rU.tgz - !analyze -v.7z

| Сообщение посчитали полезным: difexacaw

Adler

KERNEL_SECURITY_CHECK_FAILURE

Это нарушение защищённых обьектов ядра, в частности это делает KPP:

KiRaiseSecurityCheckFailure().

Система обнаружила изменения в запротекченных обьектах и её сбрасывает по этой причине.
Используя отладчик можно узнать где портится ядро. Оказывается это не проблема с железом, а кривая реализация. Не удивительно впрочем, это всё построено из говна и палок.

Добавлено спустя 9 минут
Archer

Не нужно было трогать системные обьекты, но без патча никак лол

Впрочем это можно было предсказать.

Добавлено спустя 14 минут
Adler

Кстате просто что бы ты знал на будущее, система всегда обрабатывает ошибку, даже при её рекурсивном появлении(двойной фаулт). Есть редкие события, когда процессор сразу уходит в ребут, к примеру попытка загрузки микрокода с невалид сигнатурой. Но эти события столь редки, что ты их никогда не встретишь.

-----
vx

| Сообщение посчитали полезным:

Интересное обсуждение в топике (нет я не имею в виду очередное обострение пациента из РБ).

В венде многие механизмы безопасности реализованы по принципу security through obscurity. Некоторые вообще представляли(ют) просто пугалки, т.е. на заборе написано "нельзя", а на самом деле очень даже можно.

Цифровые подписи это из той же оперы.
2 аспекта здесь - это юзермодный обвес (все эти политики, страшные диалоги "не удается загрузить klekrhui.sys потому что у него отсутствует или неправильная цифровая подпись итд) и проверку в ядре компонентом CI.dll. Эта дллка хранит в себе список корневых сертификатов, забитый через открытые ключи. Ее защитой занимается патчгард, который например проверяет в том числе состояние ее SeCiCallbacks (вин10+).

Если коротко:
1. CI.dll не учитывает время. Вы можете подписывать просроченным сертификатом свои дрова, перемотав время например и венда их загрузит. Это проверяет юзермодный обвес, т.е. при попытке запустить на повышение прав например подписанный таким образом ехе вы увидите "желтое" окошко УАК. Насчет китайской тулзы что тут упоминается, никакой магии тут нет. DSignTool это просто вариация signtool только от реальной легитимной (лол) компашки TrustAsia башляющей сертификатами. Китайцы уже лет 10 используют метод с патчем Dsigntool/signtool (либо прямо ехе либо через хук - что угодно), где перехватывается GetLocalTime и функция верификации в crypt32.dll CertVerifyTimeValidity чтобы всегда возвращала 0 (валид время).

2. Проверки EXE и SYS несколько отличаются и в случае ЕХЕ если у вас revoked сертификат и включен УАК - при попытке запуска файл будет заблокирован и вы увидите "красный" диалог УАК. Если же грузится драйвер вы ничего не увидите. Потому что этой проверки нет, здесь важное замечание насчет десяточки, см ниже. С точки зрения венды верификация успешна - и действительно хеш файла соответствует хешу удостоверяемому сертом. На самом деле это легко проверить серией экспериментов, берете семерку например и какую-нибудь тулзу руссиновича с драйвером и добавляете сертификаты ее и ее драйвера в недоверенные. С корневыми так не выйдет ибо они забиты в ci.dll

Что вам нужно - вам нужен реальный сертификат с ключем кросс серта который есть в CI.dll, просроченный, отозванный это неважно, венда у вас должна быть не 10-ка, а если 10-ка, то поставлена методом апгрейда, а не на "чистую" либо версия ниже 1703 либо другие исключения см ниже.

3. В 10-ке 1607 анонсировали изменение политики подписи драйверов https://web.archive.org/web/20170903081729/https://blogs.msdn.microsoft.com/windows_hardware_certification/2015/04/01/driver-signing-changes-in-windows-10/. Сразу это не работало и было требованием на бумаге. Теперь это работает. Есть список условий при которых на этих системах старые дрова будут работать как прежде. Одно из условий это установка методом апгрейда с предыдущей версии винды до 10, например с 7, выключенным secureboot, дрова подписаны до середины 2015 года с кроссподписью от поддерживаемого центра сертификации.

4. У мс имеется специальная фича, сделанная для китайцев. Это лицензирование венды для использования самоподписанных драйверов. Т.е. ваши драйвера будут работать в том числе с включенным secureboot, без каких-либо тестовых режимов, ватермарков итд, но только там где они подписаны. Называется эта редакция виндоус 10 China Government Edition или EnterpriseG.
ЕМНИП.

| Сообщение посчитали полезным: Dart Raiden, plutos, Gideon Vi, dosprog, TryAga1n

Весь прикол в том, что дровина, подписанная с помощью того самого DSignTool и просроченного&отозванного сертификата, успешно работает на 1809, установленной начисто, в то время как из вышенаписанного, если я правильно трактую, следует, что не должна. Причём, это видеодровина, то есть, не какой-то вшивый exe, а nvlddmkm.sys (подписана nvlddmkm.sys, подсунута в дистрибутив дров NVIDIA и сгенерирован .cat, подписанный всё той же протухшей подписью). Переводим время на 2012 год и вуаля, сертификат в свойствах .sys отображается как валидный, а дрова встают и работают даже после возврата времени на актуальное.

| Сообщение посчитали полезным:

Dart Raiden
А чего им не вставать и не работать, эти проверки установщиков бгг. Вся валидация модуля драйвера происходит при его загрузке в ядре.Certificate path посмотри в свойствах у этого драйвера. Если задача прекратить этот бардак то новое железо и HVCI спасут.

Помню даже как-то дрова помоему леново официальные примерно таким образом ставились на х64 еще когда даже восьмерка не вышла.

| Сообщение посчитали полезным:

древние бояны описываете, vbs хоронит это всё, вместе с малварью ( крелк прикинь, не ты победил малварь, а vbs lol )

| Сообщение посчитали полезным:

Alchemistry пишет:
Certificate path посмотри в свойствах у этого драйвера


8043_28.04.2019_EXELAB.rU.tgz - explorer_ntOLZ0E75j.png

Alchemistry пишет:
Если задача прекратить этот бардак то новое железо и HVCI спасут.
Вот теперь стало понятно, почему эта подпись не у всех работает:
"HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC". И понятно почему я такого не наблюдаю на своём шестом поколении.

| Сообщение посчитали полезным:

Dart Raiden
в последних виндах любая штука запускающаяся идет через встроенный сендбокс на базе контейнеров. По факту это уничтожает все малварь просто на корню

| Сообщение посчитали полезным:

SegFault
Всё течёт,всё меняется,в том числе и технологии,как знать,может кто-то и придумает новые виды заработка...разве во времена первых арифмометров или ENIAC кто-то думал о том,что будет так,как на сегодняшний день?)))

| Сообщение посчитали полезным:

BiteMoon пишет:
как знать,может кто-то и придумает новые виды заработка

Придумают, можете не сомневаться: голь на выдумку хитра.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

SegFault пишет:
Но мой хрустальный шар

я верю, друзья, караваны ракет...

| Сообщение посчитали полезным:

Gideon Vi пишет:
я верю, друзья, караваны ракет...

На пыльных тропинках
Сложнейших программ
Останутся
Инди следы.

| Сообщение посчитали полезным: hash87szf