Quick Unpack 2.1


История версий
--------------
v2.1
[!] исправлены многие ошибки. например, падение при восстановлении ресурсов на некоторых программах
[!] многопоточные приложения теперь корректно обрабатываются
[+] добавлена возможность установить конец модуля при трассировке функций импорта. Когда найдено обращение к импорту, оно анализируется, ведёт ли оно за пределы модуля (чтобы не трассировать внутренние функции). Некоторые проты перенаправляют импорт в последнюю секцию файла. Чтобы убрать эту проблему и была введена данная возможность. Это RVA
[+] добавлена возможность класть таблицу импорта по указанному RVA вместо создания новой секции
[+] добавлена возможность установить дельту для хука RDTSC (см. rdtsc_delta в Scripts.rus.txt)
[+] добавлена опция Load libraries only к списку методов восстановления импорта. с этой опцией импорт в прямом смысле слова не восстанавливается, просто берётся по 1 функции импорта из каждой из загруженных библиотек. после этого дамп будет загружен со всеми нужными библиотеками, а для импорта будут использоваться старые адреса функций, записанные протектором. эту опцию можно использовать, когда перенаправление импорта уж слишком забористое, но дамп после установки сервис пака или серьёзного апдейта работать перестанет
[+] добавлена опция Execute functions while tracing import. по умолчанию во время трассировки импорта функции не исполняются, но некоторые протекторы используют результаты выполнения функций в своей работе, для них и добавлена эта опция
[+] добавлена опция Process call xxx/jmp xxx. некоторые протекторы переделывают обращения к импорту из call [xxx]/jmp [xxx] в call xxx/jmp xxx. эта опция позволяет обрабатывать также и такие обращения к импорту
[+] добавлено несколько новых функций и переменных для скриптов
[+] generic OEP finder от UsAr теперь поддерживает и DLL
[+] добавлен новый манифест для Висты

Конструктивные отзывы приветствуются.

Ссылки на архив:

http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip http://qunpack.ahteam.org/wp-content/uploads/2008/03/qunpack21.zip

Сайт: http://qunpack.ahteam.org/ http://qunpack.ahteam.org/

| Сообщение посчитали полезным:

Errins
Косяк подтверждаю. Уже понял, из-за чего он. В следущей версии будет поправлено.

| Сообщение посчитали полезным:

Archer
Нашел баг при открытии файлов. Посмотри файлы в аттаче. Обрати внимание на Virtual Size последней секции.

5e2e_29.07.2007_CRACKLAB.rU.tgz - winmine.rar

| Сообщение посчитали полезным:

Errins
Баг подтверждаю. Спасибо за наводку, буду думать, как бы от него избавиться.

| Сообщение посчитали полезным:

Залил новую версию на qunpack.ahteam.org/wp-content/uploads/2007/07/qunpack2beta.zip Все старые бетки были убиты. Опять-таки это не релиз, а бета для тестинга.
Из нового скажу, что сообщённые баги были поправлены.
Изменилось управление памятью, теперь она расходуется более экономно, что позволяет обращаться с огромными секциями (хотя это происходит порой по 15 минут и своп вырастает до 3 Гб, так что ждите, если оно так). Косяк с этим делом в меру возможностей поправил (может и на ПЕП замахнусь с его бегемотными секциями). Поскольку переписано было немало, могут появиццо какие-нить хитрые баги, хотя мой быстрый тестинг их и не выявил.
Также в драйвере был найден косячок, который не позволял корректно передать управление обработчику 13 прерывания, из-за чего прога отлаживаемая падала. Так что кто юзает двигло Сида, может взять обнову (с другой стороны, если прошлую обнову у меня не брали, где были введены альтернативные бряки, то смысла брать нет, ибо интерфейс общения с дровом менять придёццо).

В планах на будущее прикрутить скрипты, наконец. К релизу версии 2.0 (планируется к концу лета) надеюсь это сделать.
В относительном будущем может будет возможность прикрутить Dream of every reverser от deroko (если он даст разрешение), вещь поистине замечательная, ищет ОЕП во многих случаях и весьма быстро.
Совсем в далёком будущем планируется обратить взор в сторону аппаратной виртуализации. Если кто подкинет сорцы в соответствующей теме, и я с этим разберусь, то будет.

Ну и всем удачи, пишите багрепорты/замечания/предложения. Как видите, поддержка довольно быстрая и либеральная.

| Сообщение посчитали полезным:

Archer

Ахив шифруй, поскольку если пропустить через антивирус то пишет TR/Agent.BYM

| Сообщение посчитали полезным:

Archer
Я заметил что QU 2 перестал распаковывать PECompact. Версия 1.0 beta 5 PEiD распаковывает отлично, а вот QU 2.0 не хочет. Если есть у тебя DivX Player попробуй еще на нем, там тоже PECompact. Пока из замеченных минусов все.

| Сообщение посчитали полезным:

Разрешение от deroko на использование его Dream of every reverser получено, буду прикручивать.
Vadim Sergeevich
Ну что я могу сказать, только: В топку такие антивири. З.Ы. Чисто из любопытства, какой антивирь и на какой файл?
deepred
DivX Player под рукой нету, просьба выложить, на чём не работает. З.Ы. Одна из прошлых версий DiE была пакована PECompact, её нормально анпачит. PEiD 0.94 тоже нормально анпачится, ибо эта программа первая идёт на тесты. Так что вряд ли не берёт PECompact, но если что, буду править.

| Сообщение посчитали полезным:

Archer
Сделай по возможности фичу бряка на заданном адресе, чтобы потом можно было приаттачиться к этому процессу отладчиком, тем более что будет два разных трэйс движка (антиотладка идёт лесом)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Насчёт аттача отладчиком-это всё через скрипты скорее всего можно будет сделать (протрассировать до нужного момента, потом усыпить процесс и деаттач драйвера с последующим аттачем любым отладчиком).
Получил сорцы Dream of every reverser. Там такой хитрый момент, что он использует драйвер, а драйвер этот нельзя выгружать. Ещё, насколько я понял, там можно ловить бряк не только на исполнение, но и на чтение/запись, что теоретически позволяет обходить проверку патченого кода. Я пока склюняюсь к тому, чтобы сделать из него пока просто OEP Finder. А антиотладку планирую пустить лесом через аппаратную виртуализацию. Но в принципе если у кого-нибудь будет дикое желание переделать QU в стриппер какого-нить аццкого протектора, то для большей недектируемости может и подумаю о слиянии движка Сида и дероко.

| Сообщение посчитали полезным:

Archer пишет:
своп вырастает до 3 Гб,
Archer пишет:
может и на ПЕП
Так как пеп накожен за это в морду давать надо и подвергать жесткому остракизму ..
Smon пишет:
Сделай по возможности фичу бряка на заданном адресе, чтобы потом можно было приаттачиться к этому процессу
+1

| Сообщение посчитали полезным:

pavka пишет:
Так как пеп накожен
И подкожен тоже....)))))))))))
Вот так вот лишать удовольствия людей,и причём на ровном месте...))))))
Но это радует:
и на ПЕП замахнусь
своп вырастает до 3 Гб
Archer
Это вообще не прот,а какой-то "дикий,злобный архиватор,напичканый детектом".
Без Айса,там сложновато работать.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Avira AntiVir PersonalEdition Classic детектит трояна в архиве TR/Agent.BYM, но если распаковать архив, то ничего не детектит

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

deepred

Тестил на 1.4 и 2.79 на calc.exe и делфовской проге. Все прекрасно распаковывается.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Archer
=TS=
Странно, вчера тестил не распаковывалось ни на каком режиме. Сейчас еще раз попробовал - все распаковалось. Видимо вчера какой то косяк был в ОС, надо было перезагрузиться.

| Сообщение посчитали полезным:

Archer
Посмотри вот этот файлик (запакован UPX). Та версия QU, которую ты выложил последней, запоролась на нем, в отличие от предыдущих. Я туда добавил SEH (и исключение недалеко от EP) , именно после чего и стал не справляться QU.

4488_30.07.2007_CRACKLAB.rU.tgz - winmine.exe

| Сообщение посчитали полезным:

Archer, будет ли поддержка перестройки секции ресурсов (опционально)? Как-то Dr.Golova "грозился" написать гуевую версию, может есть смысл с ним насчет этого перетереть..

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Errins
Уже пошли пинки в меня по поводу нового драйвера, неужто я опять там что-то не доглядел... Этот косяк подтверждаю, буду работать.
Kindly
*бьюсь об клавиатуру и плачу от бессилия. Ты уже где-то 4 или 5, кто это спрашивает. Всем я отвечаю так: ПЕРЕСТРОЙКА РЕСУРСОВ УЖЕ ЕСТЬ ДАВНО, ЕЩЁ С ВЕРСИИ 1.0 RC1, ОНА ПРОИСХОДИТ ПРИ ОТРЕЗАНИИ СЕКЦИЙ. ЛЮДИ, ПОЖАЛУЙСТА, ЧИТАЙТЕ РИДМИ. Ну вот, примерно вот так.

| Сообщение посчитали полезным:

Archer пишет:
ЛЮДИ, ПОЖАЛУЙСТА, ЧИТАЙТЕ РИДМИ.

дык предлагали же - выводи наиболее интересные места в главном окне программы

| Сообщение посчитали полезным:

Вот очередная бетка. Опять-таки только для тестирования. Снова я исправил косяки в драйвере (на этот раз, думаю, всё уже окончательно нормально), поправил все баги, о которых было сообщено. Думаю, что это последняя бетка, следущий будет уже релиз где-нить в конце лета-начале осени.
qunpack.ahteam.org/wp-content/uploads/2007/08/qu20beta.zip
Gideon Vi
Да там половина ридми-интересное место, не пихать же 5 страниц туда.

| Сообщение посчитали полезным:

Archer пишет:
Вот очередная бетка.

спасибо за релиз

Archer пишет:
Да там половина ридми-интересное место, не пихать же 5 страниц туда.

Да, но после этого ты уже будешь иметь полное маральное право пуская дым из обоих ноздрей посылать всех на RTFM и Потом - можно же сделать просто: в процессе унпака, перед выводом лога просто очищать окно

| Сообщение посчитали полезным:

Во, а ещё сплеш-скрин можно сделать - закинуть туда админа, который в истерике по клаве стучит головой

зы. Да знаю, знаю: не надо курить такую траву. Пробовал - не помогает

| Сообщение посчитали полезным:

Gideon Vi
Да не, ридми пихать не буду, пожалуй, ибо там отформатировано фигово будет+на 1 страницу не влезет, а скролить вряд ли будут+прога на инглише, значит инглиш и надо пихать, а его наши вряд ли читать станут.
А вот насчёт сплеша... как бы сказать так помягче ты уверен, что это поможет распаковке? Просто на мне сейчас 4 проекта и такие вещи, пожалуй, как-нить потом прикручу, когда всё остальное будет готово.

| Сообщение посчитали полезным:

Archer пишет:
ты уверен, что это поможет распаковке?

нет, это поможет в понимании состояния автора, которому в десятый раз задают один и тот же вопрос Но ты прав, конечно - как-нибудь потом

| Сообщение посчитали полезным:

Archer
Если после аттача к процессу попытаться распаковать файл второй раз, то QU зависает. В первой бетке второй версии такого не было, так что, по-видимому, ты еще не всё поправил.

| Сообщение посчитали полезным:

Не надо пихать ридми в главное окно проги. Просто перед первым запуском программы необходимо выводить лиц.соглашение (оно выводиться) и там написать основные возможности (перестройка ресурсов, обрезание секций и т.д.). А что бы пользователь действительно это прочитал (а не как я: запустил, свернул, секунд через сорок вернулся, нажал кнопку и всё) надо в самом тексте сделать маленький линк при нажатии которого активируетсья кнопка OK, или же кнопка OK активна, но если не нажать линк то выскочит сообщение, что ты ещё не прочитал текст. Линк естественно не синим цветом, что бы сразу не кидался в глаза. Вот тогда думаю несоторые вопросы о возможностях QU у большенства отпадут.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Errins
Это действительно так, вроде, буду править.
Assass1n
В принципе не место в лицензионном соглашении посторонним надписям. А насчёт того, что его никто не читает, дык мне фиолетово, оно всё равно для отмазы.
Ладно, оставлю я этот ридми в покое, некуда его особо пихать. На этом вопрос с ридми считаю закрытым.

| Сообщение посчитали полезным:

Archer
Так на всякий случай, может прикрутишь потом если захочешь(я лично именно такой вариант и сделал бы)
ShellExecute(NULL, "open", <fullpath_Readme.rus.txt>, NULL, NULL, SW_SHOWNORMAL);
В блокноте будет выводиться Readme.rus.txt при старте и опционально можно сделать в настройках (у тебя, их там пока две), чтобы отключалось…
Проверять в файле настроек(QU.ini при старте), если есть ключ(отдельный например ShowReadme), значит, как заказывал пользователь в параметре, ну а если нету его там, значить делать вывод Readme, ну еще там можно определять какой язык в системе основной и на основе него ENG.txt или RUS.txt
Такие реализации есть в инете стопудофф, просто закопипастить код, вроде проблем недолжно быть (Наверное, лучший вариант)

P. S.
просто не знал, что там спецформатвывода присутствует, который затрудняет вывод обычного текста в контрол… И естественно я имел в виду один раз выводить…

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

И тамагочи туда ещё,чтоб веселее было.
--------------
Нормальный чел,обязательно ридми прочтёт.
Ресурсы квик ребюлдит,только в рестораторе к примеру,они не доступны.Их всё равно перестраивать приходиться.Поэтому и вопросы возникают,ну типа тест же идёт.Народ же не с упрёком,и не с предьвами постит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Demon666
А вот насчёт открытия ридми при старте я подумаю, неплохая идея.
Bronco
Я, собственно, и делаю ребилд, чтоб отрезать секции+чтоб доступны были. Как это недоступны в рестораторе?? Сейчас проверил на PEiD, без отрезания секций ругаются на ресурсы. С отрезанием секций ExeScope и ResHacker все ресурсы увидели. Ресторатора вот нет под рукой...

| Сообщение посчитали полезным:

Archer
У рестаратора драг/дроп удобный,я поэтому его юзаю(2006).ExeScope и ResHacker,они же под старые языки програмирования,тестовые строки некоректно отображают.Я ими не проверял.PE Explorer читает,но гробит,если при сохранении правит sizeofimage.ResBinder,на мой взгляд,по перестройке ресурсов,самая удачная утиля.Сети как-то ваш квик,в дистрибутиве лайки держал.Не думаю,что будет против,если его утилю заюзать,в дистрибутив квика.Его утиля,действительно грызёт всё.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: