Русский / Russian English / Английский

Сейчас на форуме: gabryelle, strannyi, cppasm (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 535.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 16.4 (новичок)
Статус: Участник

Создано: 22 сентября 2010 16:44 New!
Цитата · Личное сообщение · #2

1. Render widgets
2. ifolder.ru/17588017
3. 1.23 mb
4. Информация из PEiD: - aspack 2.12?
5. Информация из DiE - aspack 2.12?
6. Имена секций модуля -aaz, adata, text, rdata
7. Энтропия - 88.9

вывод в бсод...при распаковке или анализе

Ранг: 0.5 (гость)
Статус: Участник

Создано: 22 сентября 2010 20:17 New!
Цитата · Личное сообщение · #3

1. GprsSrvTaxi (1.0.0.49)
2. rghost.ru/2702925
3. 2,59 Mb
4. Nothing, Microsoft Visual C++ 2005
5. Nothing, Microsoft Visual C++
6. .text .rdata .data .rsrc .idata
7. Die entropy index 99,651

Ранг: 57.9 (постоянный)
Статус: Участник

Создано: 23 сентября 2010 22:45 New!
Цитата · Личное сообщение · #4

icerix
действительно ASPack, снимается ASpackDie 1.4

Ранг: -1.4 (нарушитель)
Статус: Участник

Создано: 23 сентября 2010 23:31 · Поправил: Duet New!
Цитата · Личное сообщение · #5

Пытался проанализировать exe фаил несколькими анализаторами но не один из них не смог определить тип упаковки, дайте совет, в какую сторану двигаться дальше, как определить тип защиты?
После перевода файла прогой Likerus большая часть ресурсов не переводиться, искал ресурсы вручную, не нашол, значит гдето спрятаны, а анализаторы пишут "не возможно определить тип защиты, возможно новый кампилятор"
Вот фаил: webfile.ru/4759157
Скрин анализа: webfile.ru/4759186


Ранг: 544.8 (!)
Статус: Участник
оптимист

Создано: 24 сентября 2010 01:18 New!
Цитата · Личное сообщение · #6

Duet
Visual C++ 2008 т.е ничем


Ранг: 544.8 (!)
Статус: Участник
оптимист

Создано: 24 сентября 2010 01:24 New!
Цитата · Личное сообщение · #7

Invisibleninja пишет:
1. GprsSrvTaxi (1.0.0.49)

Guardant


Ранг: 2008.7 (!!!!)
Статус: Модератор
retired

Создано: 24 сентября 2010 08:29 · Поправил: Модератор New!
Цитата · Личное сообщение · #8

Duet
Ты шапку вообще видел? Что форма есть, например? Или что не стоит в топике задавать вопросы не по теме? Лишнее выпилил.

Ранг: -0.5 (нарушитель)
Статус: Участник

Создано: 25 сентября 2010 07:42 · Поправил: Tema567 New!
Цитата · Личное сообщение · #9

1. PlayClaw (1.9.9.1000b)
2. http://depositfiles.com/files/mdo1n304w
3. 1.88 Mb
4. Microsoft Visual C++ v6.0 DLL *
5. Nothing Found, Microsoft Visual C++ [ver: x.x]
6. .text .rdata .data CONST .tls .rsrc .UPX0 .UPX1
7. 98,516
* eip указывает в секции UPX0, наглухо забитой пикодом, с ходу определить не получается, помогите найти OEP

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 25 сентября 2010 07:46 New!
Цитата · Личное сообщение · #10

Tema567 пишет:
1. PlayClaw (1.9.9.1000b)

VMprotect там

Ранг: 40.4 (посетитель)
Статус: Участник

Создано: 28 сентября 2010 14:03 · Поправил: Модератор New!
Цитата · Личное сообщение · #11

От модератора: форму видел, вот и оформи


Ранг: 544.8 (!)
Статус: Участник
оптимист

Создано: 28 сентября 2010 14:48 New!
Цитата · Личное сообщение · #12

ZLOvar пишет:
Есть екзешник от игры Cross Fire

Могу тебя обрадовать Themida
Толька какаято странная она
EP>007B4000


Ранг: 1024.6 (!!!!)
Статус: Участник

Создано: 7 октября 2010 03:46 · Поправил: reversecode New!
Цитата · Личное сообщение · #13

1. Pobedit 0.922
2. http://openbox.uv.ro/tools/pobedit0922.zip
3. 1.16 Mb
4. Nothing found *
5. (Win)Upack 0.39
6. мусор всякий
7. 99,711

запрос отменен. на удивление DiE определила что то

Ранг: 1.7 (гость)
Статус: Участник

Создано: 9 октября 2010 20:34 New!
Цитата · Личное сообщение · #14

1. Опен 3
2.http://rapidshare.com/files/424049705/Satelite.rar
3.1.06 Mb
4. Nothing found
5.Nothing found
6. .CODE .bss .gxgyfk .idata .edata .rsrc
7. энтропия PEid 7.61 (packed)

другим анализатором определил что как бы там Private exe protector 3.07
но решил спросить у вас так ли это. И если так подскажите как от него избавится.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 9 октября 2010 23:35 New!
Цитата · Личное сообщение · #15

xryst
PROTECTiON iD v6.4.0
pid.gamecopyworld.com/
[!] Private EXE Protector v3.0 (or newer) protected !

Ну и так на глаз видно, что это он. Секция bss мапится на 660 мегабайт

Ранг: 0.7 (гость)
Статус: Участник

Создано: 10 октября 2010 22:35 New!
Цитата · Личное сообщение · #16

1) Moswar Assistant v1.1.0
2) depositfiles.com/files/4a3484zdu
3) 92 kbytes
4) PEiD - Microsoft Visual C# / Basic .NET
5) DiE - Microsoft Visual C++| C/C++
6) .text, .sdata, .rsrc, .reloc
7) 6.18 (Not Packed)


Ранг: 1024.6 (!!!!)
Статус: Участник

Создано: 10 октября 2010 22:49 New!
Цитата · Личное сообщение · #17

Kostya7
оно ничем не упаковано, там дотнет

Ранг: 3.2 (гость)
Статус: Участник

Создано: 11 октября 2010 04:21 New!
Цитата · Личное сообщение · #18

1. Animated Weather 1.02
2. www.mediafire.com/?mgwene46dz685h6
3. 444 кб
4. PEiD Nothing found *
5. DiE Microsoft Visual C++| C/C++
6. .text, .data, .rsrc, .reloc
7. 96.59 (Packed)


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 11 октября 2010 05:57 New!
Цитата · Личное сообщение · #19

john2003 судя по коду и строкам какой то китайский неизвестный простенький пакер.

Ранг: 57.1 (постоянный)
Статус: Участник

Создано: 11 октября 2010 07:07 · Поправил: sys_dev New!
Цитата · Личное сообщение · #20

john2003
чем запрокчено не понятно, но или китайцы или их ученики, смотреть где-то переход на OEP, надо тут:
Code:
  1. 0x001348a1 RtlLeaveCriticalSection(0x0011af68)
  2. 0x0010725e GetTickCount()


т.е. поставить 0x001348a1 сюда бряк и дебажить пока не приозошла резкая сменая адресов

Ранг: 23.5 (новичок)
Статус: Участник

Создано: 18 октября 2010 00:25 New!
Цитата · Личное сообщение · #21

1. неизвесно
2. www.mediafire.com/?3mgbpy7kc0bs6vj
3. 271.11 KB
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
5. DiE Microsoft Visual C++| C/C++
6. .rsrc, остальные без названий
7. 99,844 (Packed)


Ранг: 544.8 (!)
Статус: Участник
оптимист

Создано: 18 октября 2010 04:25 New!
Цитата · Личное сообщение · #22

tino пишет:
1. неизвесно

а может Fusion.dll накрытый говно троянским криптором...

Ранг: 281.7 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 18 октября 2010 05:06 New!
Цитата · Личное сообщение · #23

ClockMan пишет:
а может Fusion.dll накрытый говно троянским криптором...

Под названием kryptor 3 ?

Ранг: 404.7 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 21 октября 2010 12:15 · Поправил: ELF_7719116 New!
Цитата · Личное сообщение · #24

john2003, а не вирусняк ли это? (китайский)
Microsoft Visual C++ 9.0, _initterm должна на OEP выводить, а попадаем в аллочный блок.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 24 октября 2010 00:37 · Поправил: bidgo New!
Цитата · Личное сообщение · #25

Сайт где раздают лиценционные проги http://ru.giveawayoftheday.com/ в течении суток.
Вопрос , как можно распаковывать именно архив, тот (ихний триаловский архив) , что-бы файл программы установки извлеч и просто хранить у себя на компе , для установки в дальнейшем. просто там бывают проги с серийниками, удобно. чтобы их не искать с оффсайтов после истечения времени на инсталяцию проги. Может есть прога какая-то для этого извлечения.? Перепробовал кучу разных распаковщиков , не берет. Помогите плиз.
Как пример:
1. Aiseesoft MP4 Converter Suite
2. Ссылка на скачивание (триал - время распаковки прошло) -->Aiseesoft MP4 Converter Suite <--
3. .zip (20.6 МБ)
4.файла Setup.exe PEiD ( Microsoft Visual C++ 6.0 [Overlay] )
5. файла Setup.exe DiE ( Microsoft Visual C++ ver 5.0/6.0 - Overlay : 232323... Nothing discovered )

Ранг: 1.6 (гость)
Статус: Участник

Создано: 24 октября 2010 01:48 New!
Цитата · Личное сообщение · #26

bidgo
Там все элементарно запускаешь их инсталятор и не закрывая его, идешь в папку Documents and Settings\Usrs\Local Settings\Temp там будет в виде скрытого файла чистый инстал. Копируешь его куда надо, меняешь атрибуты и все. Бывает что при запуске их инстал добавляет нужную регу сразу в реестр, тут нужна прога показывающая что нового добавилсь в реестр за опред. время, либо искать в ручную по названию софта.

Ранг: 156.1 (ветеран)
Статус: Участник
Капрал

Создано: 25 октября 2010 15:13 · Поправил: freeExec New!
Цитата · Личное сообщение · #27

Название - PingPlotter Standart 3.30.4.48
Сам файл - PingPlotter.exe
Размер - 2.2kk
PEiD - О_о ничего не сказал
DiE - таки как-то смог рагадать, что написана прога на дельфи
Имена секций обычные, за исключением аж три секции .data. В последней находится ЕР ну и видимо сам протектор.
При запущенной программе и запуске Ольки 1.1 прога выходит. Приатачить процесс удаётся только в Ольки 2.01 ну и это ничего путного мне не дало


Ранг: 544.8 (!)
Статус: Участник
оптимист

Создано: 25 октября 2010 15:21 · Поправил: ClockMan New!
Цитата · Личное сообщение · #28

freeExec пишет:
Название - PingPlotter Standart 3.30.4.48

Themida
ep>0079E000
oep>0061E307
Качай плаг для олли фантом и всё будет ок.


Ранг: 109.3 (ветеран)
Статус: Участник
Yes! I_m noob!

Создано: 29 октября 2010 12:49 New!
Цитата · Личное сообщение · #29

1. Boilsoft Video Splitter 6.06 buil 138
2. rghost.ru/3080808/private/7547cc6700efb3c65c214392ecf27c77
3. 1.43 Мб
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++| C/C++
6. .rsrc .idata phhaozvl zvqvdicx (и несколько без названия)
7. 97,899


Ранг: 544.8 (!)
Статус: Участник
оптимист

Создано: 29 октября 2010 12:58 New!
Цитата · Личное сообщение · #30

[0utC4St] пишет:
1. Boilsoft Video Splitter 6.06 buil 138

Themida
EP>0064F000

Ранг: 1.1 (гость)
Статус: Участник

Создано: 29 октября 2010 21:11 New!
Цитата · Личное сообщение · #31

1. 555 Timer PRO EX v2.4
2. www.schematica.com/Schematica/files/TimerPRO2_Setup.zip
3. 4.91 Mb
4. PEiD: Nothing found *
5. DiE: Compiler - Borland Delphi | Object Pascal, Heuristic - Nothing found
6. .text .rsrc .idata .data .data .data
7. 99,423

Ida пишет - упакован, при запущенной оле - ругается что запущен дебаггер. Фантом не помогает
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Видеокурс ВЗЛОМ