Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Archer пишет:
Чо-то глухо всё

Archer, Bronco правду говорит - лето на дворе. Это для всей около-компьютерной индустрии так

| Сообщение посчитали полезным:

Archer
Не печалься, прога нужна на самом деле очень многим, т.к. экономит уйму времени. Пока версия 1.0 Final работает стабильно и никаких глюков не замечал. Просто у таких хорошо развивающихся программ глюков бывает мало, поэтому народ молчит. Да и не китайцы мы, чтобы говорить постоянно "СПАСИБО".

| Сообщение посчитали полезным:

Всем респект за саппорт.
Bronco
Действительно в последней версии был косячок с ТЛС. Тут версия с поправленной этой фишкой. hххp://qunpack.ahteam.org/wp-content/uploads/2007/07/quickunpack20beta .zip

| Сообщение посчитали полезным:

THIS LINK IS DEAD

| Сообщение посчитали полезным:

nopnop
The last link is OK, just remove the space. By the way it was said, that this was not a release, just for beta testing, so the link may die at any moment, when there will be no more need in testing.

| Сообщение посчитали полезным:

nopnop

Link is work just remove spaces and replace xx to tt, or try my one: link_deleted_by_forum_engine/files/1126943
=)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

thanx guys
for mirror this

| Сообщение посчитали полезным:

Archer
А связочка с Ольгой,крутая фишка.
Привыкнуть надо только...))))
Тут уж надо по полной.
И секции левые срезать,если антидамп
И табличку в родное место тыкнуть,если место есть.
Чтобы печаль не грызла,ща навыдумываем насущный гимор...))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Потестил, вроде все работает без косяков.
тока не распаковывает такие пакеры как: Unnamed Scrambler, unkOwn_Crypter, fEaRz Crypter и .т. д. (короче как я заметил эта технология - создание потока/ запись в память потока / разморозка потока в последнее время стала очень популярна)
думаю Quick Unpack нужно научить дампить их на kernel32.ResumeThread
P.S Archer где взял Oep Finder V1.60 by Human/MiNT

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Archer
При 3-ем использовании Human'овского ОЕПа прога слетает

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Flint пишет:
последнее время стала очень популярна)
Юзают одни исходники толпой вот и популярна ;)
Flint пишет:
Quick Unpack нужно научить дампить
Имхо не нужно ;) тратить время на такое дерьмо ! Сабж развивается в нужном направлении ;)

| Сообщение посчитали полезным:

Archer
Поменял название темы. Так пойдёт ?

Поглядел в эбауте тулзы эх какие имена, кстати
помарки такие, поправь: "Bad_Guy" правильнее "Bad_guy"
"CRACKLAB" либо: "CRACKL@B", либо "CRACKLAB.rU"

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bronco
Насчёт резать секции-там и так нули в конце секции срезаются, так что должно быть норм (хотя сам не тестил). Ещё опция порезать секции с конца до ресурсов включительно есть, тогда ресурсы ребилдятся.
А вот табличку в родное место, имхо, нафиг. Там и так нормальный ребилд импорта идёт+ТЛС и ресурсы при необходимости.
Flint
Пакеры я гляну, хотя вряд ли буду затачивать под такие конкретные вещи, как запись в чужой поток. А сорцы взял на exetools, там же и разрешение получил на юзанье.
Spirit
Насчёт многократного юза, уже были косяки. Видно не до конца их запатчил, проверю.
Bad_guy
Ну в принципе он не только ЕХЕ, он ДЛЛ тоже может распачить, так что ЕХЕ убрать из темы и норм будет. Насчёт эбаутов-поправлю, спс.

| Сообщение посчитали полезным:

Archer
Ещё опция порезать секции с конца до ресурсов
Я пробовал,пока только на моле...
Тока Quick резанул вместе.... с секцией ресурсов.)))
Вообще я имел ввиду срезание в ручном режиме.
Выборочно,с возможностью правки,по необходимости,..
К примеру ПеП,так просто не сдампишь...)))
Да и другие пакеры/проты хвосты за собой - тоже тянут.
Ну это для связки с Ольгой,приятно было бы иметь такой дампер/имрек в одном флаконе.
Тем паче секция .idata замыкающая.
Насчёт перестраивания ресурсов,не надо.Утиля Seti хорошо грызёт - всё.
Табличку в "родное место"? Не горит,оставим на перспективу...))))
Подождём пока "печалиться" начнёшь...))))))
Хотя...лучше радуйся...!!!!

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Там режется с конца до секции ресурсов ВКЛЮЧИТЕЛЬНО. При этом ресурсы оно ребилдит (ну должно по крайней мере), т.е. это всё уже реализовано, причём в версии RC1, вроде. А вот насчёт среза секций вручную, в принципе можно прикрутить такую тему, что типа резать по дефолту оставить опцию, а добавить Advanced резку, где уже можно выбрать руками, чо резать, а чо оставить. Если нужно, прикручу такую тему (а оно надо?).
Вот насчёт ПЕП, смотрел только старые версии, каюсь, когда не было антидампа такого. Но нули в конце секции при дампе и так срезаются и в конечном файле место не занимают. А вот если там не нули-хрен его знает, как тогда делать... =/

| Сообщение посчитали полезным:

Archer
Я так понимаю,тут не критика,а какой-то "тест".))))
- Возможно... с конца и до...
Но пока есть только парочка молебоксов.
В ручную,там не сложно,и с *.exe и с *.dll,даже без утили Олдстера.
Но для теста опции срезки секций,подходят.
2-я сборка(beta),в них срезает с конца и... с секцией рессурсов включительно.
Может эта опция и не нужна?
>Если нужно, прикручу такую тему (а оно надо?).
Для большинства пакеров и протов,это явно - не нужно...))))
Из антидампов,только с пепом и RLPack,пока сталкивался.
В RLPack срезать нЕчего.Там "приращивать" надо.(Pavka больше знает)
Пеп,по другому не сдампишь.Или собирать по кускам.
Если ради одного ПеПа,то наверно - не стоит.Я уже приловчился.
Хотя может у сообщества,больше опыта и если выскажуться - "за".
Тогда решение само созреет.
> А вот если там не нули-хрен его знает, как тогда делать...
Вот если для ПеПа(Delphi),то как раз вручную и приходиться обрезать ОТ последней(.tls),ДО секции ресурсов.Если .tls не пересчитать и не выправить,то при дампировании висяк получаем.
Возможно в этом случае,нули и не стоит обрезать.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

[удали меня]

-----
Я фантомас, а ты гавно

| Сообщение посчитали полезным:

Flint
Посмотрел я unkOwn_Crypter, никак его распаковка не укладывается в общую схему, которая реализована в QU, поэтому включать его поддержку не буду. НО если я когда-нибудь сподоблюсь написать скрипты, вполне можно будет анпачить это с помощью скриптов.
Bronco
Насчёт срезания секций, я думаю, ну нафиг, там придёццо для этого делать отдельную форму+пересчитывать размер прошлых секций и тд, а особого смысла для этого нет, ибо юзается такое мало где.
Spirit
Насчёт слёта при многократном использовании ОЕП Файндера от Хумана, у меня на последней версии не подтвердилось.

| Сообщение посчитали полезным:

Archer
Согласен,что пока - мало.
Да и PE Dumper v3.0/FKMA,с этой фишкой,пока рулит.
Но для связки с Ольгой,такие примочки,может и понадобяться в будущем.
-----------
Даже не вериться,что ИмРеку альтернатива есть,да ище с методом syd'а.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Archer пишет:
если я когда-нибудь сподоблюсь написать скрипты
Если бы в QU была поддержка скриптов было бы здорово;)Archer пишет:
[i]Archer пишет:
Посмотрел я unkOwn_Crypter, никак его распаковка не укладывается в общую схему
Там распаковыват не чего бряк на CreateProcessA ниже после выделения памяти дампить! Я выкладывал скрипт там с десяток подобного добра дампится

| Сообщение посчитали полезным:

pavka пишет:
бряк на CreateProcessA ниже после выделения памяти дампить
общая схема - это как раз не бряк на CreateProcess а бряк на указанном оеп

pavka пишет:
Если бы в QU была поддержка скриптов было бы здорово
+1

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

ОК, основные вещи поправил, кой-чо переделал. Начну тогда потихоньку мутить скриптовое двигло, пожалуй. Может, к концу лета намучу.
pavka
Я не спорю, там реально в анпаке ничего сложного нет, но архитектура QU немного другая. К примеру, дамп идёт не произвольной области, а только самого файла и идёт, стоя на ОЕП. + заточено для 1 процесса, поэтому для того, чтобы на автомате анпакать эту фигню, придёццо менять архитектуру немного, а оно того не стоит, ибо пакер фигня. Придут скрипты-он и так загнёццо.
Bronco
Ну там импорт уже не методом Сида. При изначальном анпаке проги остался 1 метод, в основе которого метод Сида, но довольно сильно мной переделанный. При аттаче же все методы поиска мной написаны.

| Сообщение посчитали полезным:

Smon пишет:
общая схема - это как раз не бряк на CreateProcess
Archer пишет:
но архитектура QU немного другая.
Я о том же что подобную муть в ольке за пару секунд снимаешь и нет смысла включать поддержку подобной дряни ;)

| Сообщение посчитали полезным:

pavka пишет:
нет смысла включать поддержку подобной дряни
ИМХО анпакер должен быть анпакером и сл-но снимать должен всякую дрянь!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
анпакер должен быть анпакером
Он уже не просто унпакер...)))))
Там возможности гораздо шире,и...уже часть реализованны.
Я тока пока со скриптами не вьехал,их же всё равно под Ольгой, и писать ,и тестировать.
Или что-то будет своё?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Archer
крути к нему lua -- есть либа... вот --> тут <-- http://www.hiew.ru/hem.html прикрутили скрипты к хью...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

"ИМХО анпакер должен быть анпакером и сл-но снимать должен всякую дрянь!"
Ты много такой дряни как unkOwn_Crypter видел?
К черту его поддержку!

| Сообщение посчитали полезным:

Nightshade
Да всё уже, я решил, что поддержку его включать не буду. В релизе 2.0 будут скрипты, если в них реализую бОльшую часть основного функционала, то снимать можно будет эту шнягу с помощью скрипта (как пример скрипта, как раз его и накатаю, наверно).
Bronco
А вот скрипты наверняка будут свои, т.е. кормишь QU какой-то свой скрипт, и он делает, чо надо. С олькой никак связано не будет. Вполне вероятно, что скрипты реально будут на lua, ещё пока думаю.

| Сообщение посчитали полезным:

Archer пишет:
В релизе 2.0 будут скрипты, если в них реализую бОльшую часть основного функционала, то снимать можно будет эту шнягу с помощью скрипта (как пример скрипта, как раз его и накатаю, наверно).
Медленными, но верными шагами Quick Unpack постепенно превращается в отладчик.
P.S. И хотел еще посоветовать добавить такую функцию, как восстановление ресурсов после распаковки. А то у многих распакованных файлов секция ресурсов лежит в секции пакера. Если эта фича будет, то тогда Quick Unpack по настоящему можно будет считать УНИВЕРСАЛЬНЫМ РАСПАКОВЩИКОМ. Если договориться с Dr.Golova, то можно взять метод на основе его Resource Rebuilder v1.0.

| Сообщение посчитали полезным:

Archer
А вот скрипты наверняка будут свои
А чем Олины хуже?Тут хоть понятно что писать.
Была как то утиль aPE.public.version_0.1.0beta.Я так и не отдуплился,с чего заготовки пишуться.
deepred
Resource Binder(SetiSoft) кажись на тех сорцах "воспитан"...))),
но вырос в хорошую утилю.
И ребюлд заголовка,и перестраивает ресурсы,вообщем "грызёт" всё подряд после любого унпака,хоть прота,хоть пакера...))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: