Русский / Russian English / Английский

Сейчас на форуме: spinz (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 534.3 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 0.5 (гость)
Статус: Участник

Создано: 26 января 2010 22:31 New!
Цитата · Личное сообщение · #2

Файл: slil.ru/28548047
размер: 371 kb

PEiD: Microsoft Visual C++ v7.1 EXE

DiE: Compiler: Microsoft Visual C++ | C/C++ EXE
Heuristic: NsPack 3.x

названия секций: .data .tls .rsrc .rdata .reloc .text

entropy index: 99.941

Результаты собственных исследований:
вначале прога раскриптовывает все секции (простым ксором), затем передает управление некоему подобию vm. Из этой vm вываливается только на вызовы api и некоторых библиотечных функций c++.
Ссылка на "расксоренный" файл - slil.ru/28548869 , размер тот же.


Ранг: 2005.1 (!!!!)
Статус: Модератор
retired

Создано: 27 января 2010 18:08 New!
Цитата · Личное сообщение · #3

Сверху самодельный стаб, который косит под си по сигнатуре. Внутри вм, походу, вмпротовская, причём старая, которая не на стеке держит контекст. Т.е., видимо, 1.22, которая фриварная полная.


Ранг: 275.7 (наставник)
Статус: Участник
Advisor

Создано: 7 февраля 2010 04:19 New!
Цитата · Личное сообщение · #4

У кого что есть по VM_Solidshield?
//1. 9. 27. 0
Завиртуалена всего одна процедура, правда по ходу не маленькая.
С опкодами вызовов не сложно, по остальному пока не вкурился.

Ранг: 11.6 (новичок)
Статус: Участник

Создано: 18 февраля 2010 05:17 · Поправил: TOM_RUS New!
Цитата · Личное сообщение · #5

1. StarCraft II Beta 0.3.0.14093
2. Battle.net.dll 1.0.0.17577 http://filebeam.com/eaafe16e0bbe4421d5a190908d994c12
3. 9,01 МБ (9 454 149 байт)
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ | C/C++
6. .text, .rdata, .data, .rsrc, .reloc
7. Entropy index: 92,186

Ранг: 25.3 (посетитель)
Статус: Участник

Создано: 27 февраля 2010 00:19 New!
Цитата · Личное сообщение · #6

1. Direct MP3 Joiner 3.0 (3.0.1.5)
2. --> dmp3join.rar <--
3. 1,16 МБ (1 222 604 байт)
4. Nothing found *
5. Nothing found
6.CODE,DATA,BSS, .idata, .edata, .tls, .rdata, .14nf05k, .rsrc, jl4kyy8p, fawxgsso
7. Entropy index: 86, 423


Ранг: 237.0 (наставник)
Статус: Участник
sysenter

Создано: 27 февраля 2010 00:27 New!
Цитата · Личное сообщение · #7

Nabu
PEtite 1.4 -> Ian Luck - PEiD


Ранг: 544.6 (!)
Статус: Участник
оптимист

Создано: 27 февраля 2010 02:16 New!
Цитата · Личное сообщение · #8

Nabu пишет:
Direct MP3 Joiner 3.0 (3.0.1.5)

EXECryptor там,применена только вм криптора.
OEP > 00565EE4
проверяй что выкладываешь пришлось искать делки для запуска файла


Ранг: 326.1 (мудрец)
Статус: Участник

Создано: 2 марта 2010 16:19 New!
Цитата · Личное сообщение · #9

1. VWTester 2.5
2. rapidshare.com/files/357851780/VWTester.rar.html
3. 982K
4. Nothing found *
5. Nothing found
6. .text, .rdata, .data, BSS, .rsrc, .adata, .asd0, .asd1, .reloc
7. 7.95

Похоже на ExeCriptor, но под UnExeCriptor v1.0 RC2 приложение дает исключение, в логе - Set memory breakpoint for Extra code section... Error

Ранг: 617.3 (!)
Статус: Участник

Создано: 2 марта 2010 16:32 New!
Цитата · Личное сообщение · #10

Vamit пишет:
Похоже на ExeCriptor

Интересно чем-же, ни одного показателя на это.
Больше похоже на вмпрот или что-то типа того


Ранг: 326.1 (мудрец)
Статус: Участник

Создано: 2 марта 2010 16:42 New!
Цитата · Личное сообщение · #11

Vovan666 пишет:
Интересно чем-же, ни одного показателя на это

В экспорте имеются функции EXECryptor_AntiDebug и другие.

Ранг: 617.3 (!)
Статус: Участник

Создано: 2 марта 2010 17:06 New!
Цитата · Личное сообщение · #12

фигня этот экспорт (и нафига экспорт exe-шнику). после EXECryptor-а половина секций названо рандомными именами, а тут всего 2 секции переименованы.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 2 марта 2010 18:44 · Поправил: BigJack New!
Цитата · Личное сообщение · #13

Уже справились, спасибо за помощь Jupiter

Ранг: 304.9 (мудрец)
Статус: Модератор
CrackLab

Создано: 4 марта 2010 08:10 · Поправил: SReg New!
Цитата · Личное сообщение · #14

1. allradio
2. all-radio.net/download.php
3. 6.47 MB
4. borland delphi
5. .text .itext .data .bss .idata .didata .tls .rdata .rsrc alldata0 alldata1

з.ы. на программе мощная антиотладка
з.з.ы. вот этот i003.radikal.ru/1003/cc/4e99bcba1335.jpg никому ничего не говорит?


Ранг: 544.6 (!)
Статус: Участник
оптимист

Создано: 4 марта 2010 09:46 New!
Цитата · Личное сообщение · #15

SReg пишет:
1. allradio

это вм прот..

Ранг: 23.5 (новичок)
Статус: Участник

Создано: 5 марта 2010 19:15 New!
Цитата · Личное сообщение · #16

1. f0recast-1.0.4
2. www.sendspace.com/file/tp96gp
3. 258KB
4. Microsoft Visual C++ 8.0 *
5. Microsoft Visual C++ | C/C++
6. .text .rdata .data .rsrc
7. 89,064 --> Packed


Ранг: 67.4 (постоянный)
Статус: Участник

Создано: 5 марта 2010 19:50 New!
Цитата · Личное сообщение · #17

tino пишет:
1. f0recast-1.0.42. www.sendspace.com/file/tp96gp3. 258KB4. Microsoft Visual C++ 8.0 *5. Microsoft Visual C++ | C/C++6. .text .rdata .data .rsrc7. 89,064 --> Packed


Ничем не паковано

Ранг: 0.5 (гость)
Статус: Участник

Создано: 7 марта 2010 19:11 New!
Цитата · Личное сообщение · #18

1. iQ-VIEW PRO 2.10
2. uploading.com/files/34c2a479/iQ-VIEW.exe/
3. 5,26 МБ (5 523 968 байт)
4. Borland Delphi 6.0 - 7.0
5. Borland Delphi[ver: 7] | Object Pascal
6. CODE, DATA, BSS, .idata, .tls, .rdata, .reloc, .rsrc
7. 82,104

Ранг: 16.5 (новичок)
Статус: Участник

Создано: 11 марта 2010 14:00 · Поправил: noph New!
Цитата · Личное сообщение · #19

Добрый день! Меня послали сюда из темы - http://exelab.ru/f/index.php?action=vthread&forum=2&topic=15950
Помогите пожалуйста определить чем упакована DLL-ка и хотя бы приблизительно сказать как и чем её распаковать.. Заранее спасибо!

1. gameShieldDll.dll (1.2.1.8)
2. http://narod.ru/disk/18641748000/x.dll.html
3. 1.15mb
4. Nothing Found *
5. Microsoft Visual C++ | C/C++, Heuristic: nothing found. Entro->Hard Scan->Status-> PACKED
6. .text .rsrc .reloc . idata .data .data .data
7. byte 1207808, entropy index 98.667

Более подробно я писал --> Link <--.. повторяться не буду. Вероятно дллка не упакована, а просто прошла через мутацию или что-то подобное. Так или иначе, нужно как-то от этого избавиться..
Надеюсь на помощь!


Ранг: 544.6 (!)
Статус: Участник
оптимист

Создано: 11 марта 2010 14:55 · Поправил: ClockMan New!
Цитата · Личное сообщение · #20

noph пишет:
1. gameShieldDll.dll (1.2.1.8)

Themida
OEP>(ImageBase+00030237)

Ранг: 0.5 (гость)
Статус: Участник

Создано: 17 марта 2010 21:48 · Поправил: eputsato1 New!
Цитата · Личное сообщение · #21

1)Meta Compiler 4.0.244
2)http://rapidshare.com/files/364655770/ML.zip.html
3)1.12 MB
4)Nothing found [Overlay] *
5)Heuristic: Themida (Но распаковщики TheMida не берут, а далее External Sign: Nothing detected)
6)
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
00001000 00044000 00001000 0001D000 E0000040 code
.rsrc 00045000 000008F0 0001E000 00001000 C0000040 res
.idata 00046000 00001000 0001F000 00001000 C0000040 imp
.data 00047000 00234000 00020000 000FF000 E0000040 none
.reloc 0027B000 00001000 0011F000 00001000 00000000 breloc
7)Entropy index: 98.634


Ранг: 79.4 (постоянный)
Статус: Участник

Создано: 24 марта 2010 10:15 New!
Цитата · Личное сообщение · #22

1- Morpheus
2- www.4shared.com/file/247645877/70cf5fd1/Morpheus.html
3-779 KB
4. 5. Ничего


Ранг: 326.1 (мудрец)
Статус: Участник

Создано: 24 марта 2010 10:26 New!
Цитата · Личное сообщение · #23

AKAB
RLPack v.1.20.1 Full Edition (EXE- aPLib 0.43 / LZMA 4.3x ) ap0x.jezgra.net *ACM
try RL!dePacker v1.5 from ap0x.jezgra.net

Ранг: 0.5 (гость)
Статус: Участник

Создано: 25 марта 2010 13:03 New!
Цитата · Личное сообщение · #24

1: SurfCop
2: rapidshare.com/files/367919000/amManagementConsole.rar.html
3: 13M
4: peid: UPolyX v0.5 [Overlay] *
5: die: Borland C++
6: -
7. -

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 25 марта 2010 13:49 New!
Цитата · Личное сообщение · #25

eputsato1 пишет:
1)Meta Compiler 4.0.244
2)http://rapidshare.com/files/364655770/ML.zip.html
3)1.12 MB
4)Nothing found [Overlay] *
5)Heuristic: Themida (Но распаковщики TheMida не берут, а далее External Sign: Nothing detected)


Themida

Ранг: 1.0 (гость)
Статус: Участник

Создано: 7 апреля 2010 15:12 · Поправил: ranger New!
Цитата · Личное сообщение · #26

Всем привет.

Извините, если что неверно. Сам файл залить не могу пока, но по тому, что есть, что подскажете. Локализации поддается (с помощью OgreGUI), но вот заменить картинки внутри файла не смог. Чем это может быть упаковано и что посоветуете для распаковки-запаковки обратно. Программа весит 4 мб, расширение *.exe, работает с внешними устройствами (программатором) на Windows x86. В файлмене на програмке отображается иконка с тремя разноцветными кубиками, при запуске самой программы в название добавляется wx (посмотрите скрины), также есть скрин, сделанный программой PE Explorer Dissasembler:

http://vfl.ru/i/20100407/7aa063c1c525a22b466fc03eaedc64af_1.jpg.html
http://vfl.ru/i/20100407/7aa063c1c525a22b466fc03eaedc64af_2.jpg.html

Это не Питон, случаем?

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 7 апреля 2010 20:07 New!
Цитата · Личное сообщение · #27

ranger, судя по скрину ни чем не пакован. А пеид что говорит по этому вопросу?

Ранг: 1.0 (гость)
Статус: Участник

Создано: 8 апреля 2010 21:45 · Поправил: ranger New!
Цитата · Личное сообщение · #28

Вот скрин с Peid и Die:
vfl.ru/i/20100409/02cd4de8053337cc2cdba372fcbe759c_1.jpg.html


Статус: Аноним

Создано: 8 апреля 2010 23:27 New!
Цитата #29

gcc и, видимо, интерфейс на wxWidgets. Может сам файл выложишь?

Ранг: 0.5 (гость)
Статус: Участник

Создано: 16 апреля 2010 18:26 New!
Цитата · Личное сообщение · #30

Здавствуйте.
Программа OpenBox 3.15 rapidshare.com/files/376578029/OpenBox315.exe.html ~1Mb
PEID: Normal : Nothing found *
PEID: Deep & Hard : UPolyX v0.5 *
DiE: Nothing Found
Name: .text, .tls, .inhlpp, .idata, .rsrc
Entropy: 99,334

Ранг: 16.5 (новичок)
Статус: Участник

Создано: 22 апреля 2010 19:26 New!
Цитата · Личное сообщение · #31

Продолжаю свой же вопрос.
http://exelab.ru/f/index.php?action=vthread&forum=13&topic=11325&pag e=8#19 - тут запрос
http://exelab.ru/f/index.php?action=vthread&forum=13&topic=11325&pag e=8#20 - первый и единственный ответ
http://narod.ru/disk/20006914000/gameShieldDll.dll.html - Последняя версия DLL-ки.

Плачу 3к ЯДа за полную её распаковку.
Господа модераторы, заранее прошу прощения, если не туда запостил это, от части, объявление. Подходящего раздела не нашёл.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Видеокурс ВЗЛОМ