Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Dart Raiden
Да этот верисигн. На самом деле этот диалог, вообще весь этот диалог просмотра свойств очень ограниченный и не отображает всю информацию. Но не суть, ты можешь это все и так посмотреть в самом этом SbieDrv любым редактором.

Вот этот сертификат https://go.microsoft.com/fwlink/p/?linkid=321787 (VeriSign Class 3 Public Primary Certification Authority - G5.cer) это то что у тебя на картинке в руте. Он подписан MicrosoftCodeVerifRoot (https://www.microsoft.com/pki/certs/MicrosoftCodeVerifRoot.crt) - его нет в хранилище сертификатов машины, он забит в CI.dll (можешь взять байты из Public key поля, не забыв пропустить байты заголовка конечно, и поискать их в CI.dll). Вот список торговцев воздухом https://docs.microsoft.com/en-us/windows-hardware/drivers/install/cross-certificates-for-kernel-mode-code-signing, МС заверило их корневые серты своим (который уже есть в CI).

Также можешь провести эксперимент (любые эксперименты лучше делать на вм) чтобы увидеть этот рут от МС - скачать этот MicrosoftCodeVerifRoot.crt и поставить его в trusted root cert auth для машины. После этого он появится в списке Certification Path этого диалога свойств.

SegFault
vbs ps а потом пришел amsi и на форумах юных хэкиров и прочих блекхэтов стали появляется темы "куплю апход амси" "срочно обфусцировать скрипт от амси", "отключить амси" итд, бгг мы все это уже проходили много раз

Малварь никуда не денется, вендой мир не ограничен и венда далеко не самая популярная ось. К тому же приличная малварь сейчас имеет еулу, адвокатов, офф сайт и легальный ботнет из своих кастомеров лопухов. Если вдруг с малварью случится что-то плохое ты сразу об этом узнаешь из новостей о том как начнут схлопываться конторы, впаривающие воздух идиотам - те самые аверы. Вероятность этого события мала.

| Сообщение посчитали полезным:

да вы же наркоманы

| Сообщение посчитали полезным: Yurkar

SDK

Ну написал он под дурью про вбм, что такого, просто не знает что эмулится это всё давно очень. Про серты тоже верно(на счёт веществ), крэшит уже после запуска как бы. Может быть даже последние грибы в этом сезоне, так как потом из за отключения рф мы больше ничего не узнаем.

-----
vx

| Сообщение посчитали полезным:

Adler
Судя по крашдампу, StackLimit в KTHREAD нулевой. А почему-хороший вопрос, насколько помню, никакие эти служебные структуры я не трогаю.

| Сообщение посчитали полезным:

Archer, вот второй дамп с домашнего ПК, если что.

| Сообщение посчитали полезным:

В принципе то же самое, не проходит проверку границ стека. Но в идеале это отлаживать надо. Сходу не скажу, что тут могло пойти не так, структуры эти я не трогаю, GS тоже дефолтно заполняется.

| Сообщение посчитали полезным: Adler

Что означает сообщение "Wrong platform!"?
Borland Delphi
ASProtect(1.23-2.56)

| Сообщение посчитали полезным:

esa_r
x86 - для x86 на ОС x86
x64 - для x64 на ОС x64

| Сообщение посчитали полезным:

Gideon Vi
У меня ОС x64, нужно распаковать программу x86. Версия x64 пишет "Wrong platform!", версия x86 пишет "take the x64 version". Вилы! И что теперь с этим делать?

| Сообщение посчитали полезным:

LShadow77 пишет:
И что теперь с этим делать?

поставить vmware?

| Сообщение посчитали полезным:

Gideon Vi
А сработает? Может и попробую на досуге...

| Сообщение посчитали полезным: