eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: bartolomeo, CDK1234 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 0.2 (гость)
Статус: Участник

Создано: 4 марта 2008 01:38 New!
Цитата · Личное сообщение · #2

1: ShardSecurity
2: www.warcraftworld.ru/files/wow_tot.rar
3: 2M
4,5: peid: armadillo v4.x (неверно) die: microsoft visual basic (неверно)
6: .loader .text .text2 .rdata .data
7. bytes: 83148 entropy index: 98


Ранг: 752.8 (! !)
Статус: Участник
Student

Создано: 6 марта 2008 09:11 New!
Цитата · Личное сообщение · #3

vasya_pupkin Microsoft Visual C++ | C/C++


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 6 марта 2008 11:34 New!
Цитата · Личное сообщение · #4

vasya_pupkin
Microsoft Visual C++ 8.0

Ранг: 0.2 (гость)
Статус: Участник

Создано: 8 марта 2008 04:05 New!
Цитата · Личное сообщение · #5

Spirit пишет:
Microsoft Visual C++ 8.0


я имел в виду не wow_tot.exe (это патченый клиент world of warcraft) а ss_launcher.dll


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 10 марта 2008 10:20 New!
Цитата · Личное сообщение · #6

vasya_pupkin
интересная либа...
Собственно либо она не накрыта ничем (т.к. энтропия в норме), либо накрыта самопальным криптером с shardsecurity.com. Напоминает экзешник от радмина...
Судя по линкеру и по импорту, написанна на Microsoft Visual C++ 6.0.

Ранг: 0.6 (гость)
Статус: Участник

Создано: 10 марта 2008 12:42 New!
Цитата · Личное сообщение · #7

1: K-Client
2: rapidshare.com/files/98377349/client.rar
3: 249 KB
4: Borland Delphi 6.0 - 7.0 [Overlay]
5: Borland Deplhi | Object Pascal
6: CODE DATA BSS .idata .tls .rdata .reloc .rsrc
7: bytes: 335752 entropy index: 92,839


Ранг: 88.4 (постоянный)
Статус: Участник

Создано: 10 марта 2008 12:46 New!
Цитата · Личное сообщение · #8

zimmwarrior
Это чистый Borland Delphi, файл не чем не упакован.

Ранг: 0.6 (гость)
Статус: Участник

Создано: 10 марта 2008 12:57 New!
Цитата · Личное сообщение · #9

Не может быть...
Прога на C# написана это я точно от авторов знаю...


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 10 марта 2008 13:06 New!
Цитата · Личное сообщение · #10

zimmwarrior
Borland Delphi >=10 .Net application
Ничем не пакован.

Ранг: 10.1 (новичок)
Статус: Участник

Создано: 27 апреля 2008 18:10 New!
Цитата · Личное сообщение · #11

1.ruffroseN.bin - файл
2. http://webfile.ru/1906466 http://webfile.ru/1906466 файл не либа и не исполняемый
3.508 байт
4.-
5.-
6.-
7.-

Ранг: 210.7 (наставник)
Статус: Участник

Создано: 27 апреля 2008 18:17 New!
Цитата · Личное сообщение · #12

stlay
С чего ты взял что он запакован =\
Загляни внутрь файла с помощью любого хэкс редактора и увидишь слудущие строки:
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000090 00 52 6F 73 65 4F 6E 6C 69 6E 65 .RoseOnline
000000A0 2E 65 78 65 04 18 1C 9A 08 00 4C 6F 67 6F 2E 64 .exe...љ..Logo.d
000000B0 64 73 45 20 22 A3 0B 00 6C 69 62 63 75 72 6C 2E dsE "Ј..libcurl.
000000C0 64 6C 6C 9E 3E 3D B2 09 00 7A 6C 69 62 31 2E 64 dllћ>=І..zlib1.d
000000D0 6C 6C 86 75 E5 45 09 00 54 52 6F 73 65 2E 65 78 ll†uеE..TRose.ex
000000E0 65 F5 92 F1 73 15 00 53 43 52 49 50 54 53 2F 47 eх’сs..SCRIPTS/G
000000F0 4C 4F 42 41 4C 53 43 52 2E 4C 55 41 4B C8 EF 95 LOBALSCR.LUAKИп•
00000100 1C 00 53 4F 55 4E 44 2F 42 47 4D 2F 68 61 6C 6C ..SOUND/BGM/hall
00000110 6F 77 65 65 6E 74 68 65 6D 65 2E 6F 67 67 C7 7B oweentheme.oggЗ{
00000120 07 4B 1D 00 53 4F 55 4E 44 2F 42 47 4D 2F 6A 75 .K..SOUND/BGM/ju
00000130 6E 6F 6E 5F 61 64 76 70 6C 61 69 6E 73 2E 6F 67 non_advplains.og
00000140 67 B6 67 EB B3 1A 00 53 4F 55 4E 44 2F 42 47 4D g¶gлі..SOUND/BGM
00000150 2F 54 6F 77 6E 30 32 5F 6A 75 6E 6F 6E 2E 6F 67 /Town02_junon.og
00000160 67 20 D8 F0 16 0F 00 52 75 66 66 50 72 6F 74 65 g Шр...RuffProte
00000170 63 74 2E 65 78 65 9C F6 C3 D9 14 00 53 43 52 49 ct.exeњцГЩ..SCRI
00000180 50 54 53 2F 54 55 54 4F 52 49 41 4C 2E 4C 55 41 PTS/TUTORIAL.LUA
00000190 42 60 B4 4C 1D 00 53 4F 55 4E 44 2F 42 47 4D 2F B`ґL..SOUND/BGM/
000001A0 50 79 72 61 6D 69 64 30 31 5F 4A 75 6E 6F 6E 2E Pyramid01_Junon.
000001B0 6F 67 67 40 61 81 E5 18 00 53 4F 55 4E 44 2F 42 ogg@aЃе..SOUND/B
000001C0 47 4D 2F 54 6F 77 6E 30 31 5F 4F 72 6F 2E 6F 67 GM/Town01_Oro.og
000001D0 67 4E E4 49 84 0F 00 52 75 66 66 50 72 6F 74 65 gNдI„..RuffProte
000001E0 63 74 2E 64 6C 6C B4 3B 50 18 ct.dllґ;P.

Ранг: 436.2 (мудрец)
Статус: Участник

Создано: 27 апреля 2008 18:20 New!
Цитата · Личное сообщение · #13

stlay пишет:
1.ruffroseN.bin - файл

Ничем. Это скорее всего файл конфигурации

Ранг: 9.4 (гость)
Статус: Участник

Создано: 10 мая 2008 11:33 New!
Цитата · Личное сообщение · #14

Конвектор base64
Peid Not Found
PiD тоже самое
DiE Not Found
Какой то прот точно не упаковщик.
ifolder.ru/6497983

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 10 мая 2008 12:07 New!
Цитата · Личное сообщение · #15

UzVeR очередной криптор/пакер которым паковали какие-то malware


Ранг: 106.6 (ветеран)
Статус: Участник

Создано: 10 мая 2008 12:19 New!
Цитата · Личное сообщение · #16

UzVeR, вроде QuickPack NT

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 10 мая 2008 13:34 New!
Цитата · Личное сообщение · #17

VAD87 пишет:
UzVeR, вроде QuickPack NT
угу, он самый.


Ранг: 279.1 (наставник)
Статус: Участник
wizard

Создано: 10 мая 2008 19:29 New!
Цитата · Личное сообщение · #18

у меня Peid говорит - PE Win32 DLL (0 EntryPoint)

Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 10 мая 2008 21:11 New!
Цитата · Личное сообщение · #19

MACKLIA, так этот пакер на взгляд легко определить (он сливает всё в одну секцию + использует старый trick с 0 EntryPoint) в принципе клон кучи других.
PS и распаковывается за 10 сек.

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 10 мая 2008 21:26 · Поправил: Assass1n New!
Цитата · Личное сообщение · #20

Уважаемые ну я ж сам её паковал, там точно qpack, секция переименована с помошью CFF Expl.
Там ещё и исходник прилагался...

Ранг: 565.4 (!)
Статус: Модератор

Создано: 21 мая 2008 03:02 New!
Цитата · Личное сообщение · #21

1. VCM Editor (HP Tuners) v2.1.6.0
2. Выслать могу по запросу (похоже, custom-билды под каждого покупателя)
3. 5.5 Mb
4. Nothing found
5. Compiler: Visual C/C++ | C/C++ | Heuristic: Nothing found (в том числе и все остальные методы)
6. Все слито в одну кучу - ".text 00001000 0041F000 00000200 00003B80 E0000020 c/b/i/r"
7. PEID: 3.20 (Not Packed) / DiE: Index 99.930 --> Packed
Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.

Ранг: 4.7 (гость)
Статус: Участник

Создано: 21 мая 2008 05:55 · Поправил: serkuz New!
Цитата · Личное сообщение · #22

1.VirusHunter_utilities (regpatch.dat и любой экзешник)
2.daxa.com.ua/rar/VirusHunter_utilities.rar
3.100кб
4.Not a valid PE file
5.Not a valid PE file
6.-
7.-
regpatch.dat написан скорее всего на Borland C++,а остальные возможно это какой-то bat2exe,возможно 16битные проги?.
Вроде утилиты для борьбы с вирусами,и все сделано цивильно(сайт,описание)

Ранг: 9.9 (гость)
Статус: Участник

Создано: 23 мая 2008 17:27 New!
Цитата · Личное сообщение · #23

serkuz, не запакованы. 16-битные компилированные bat-ники

Ранг: 4.7 (гость)
Статус: Участник

Создано: 23 мая 2008 22:38 New!
Цитата · Личное сообщение · #24

mozaxaka спасибо.А regpatch.dat? Если посмотреть блокнотом-можно увидеть Borland C.Или это просто 16битный экзешник?

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 2 июня 2008 20:29 New!
Цитата · Личное сообщение · #25

1. Win32.Trojan.Radi / Win32:Dialer-1222, MD5=a8c7bbaaed29718c3c143e9f2ef21fbc
2. Google://dm_0233.exe ("не по форме", по понятным причинам)
3. 8kb
4. nothing
5. nothing
6. .flat
7. 7.08 (Packed) - потому что под криптором находится файл сжатый UPX-ом.

Это какой-то говно-криптор, видел несколько несколько разновидностей троянов и прочей гадости, а также несколько разных вариантов stub'а. Секция всегда только одна, и всегда ".flat", import table отсутствует.

Для этого stub'a сигнатура на entrypoint: 9031C391E8000000005883E809BAC804000001C289C352E8C10300006A03FF93DC0400 008D93CD02000052FF93CC040000CD03

Ранг: 299.3 (наставник)
Статус: Участник
ILSpector Team

Создано: 3 июня 2008 16:41 New!
Цитата · Личное сообщение · #26

1. IE Screenshot Pro
2.http://rapidshare.de/files/39563879/iescreenshotpro.dll.html
3.~600kb
4.Aspack 2.12

Ранг: 1.5 (гость)
Статус: Участник

Создано: 3 июня 2008 17:41 New!
Цитата · Личное сообщение · #27

А вот это: XXMA д › @F ) A Џ p‹
 xњЭUПk\U>o’Ж±ЌљґҐE;


запаковано в AMXX_Studio можно получить оригенал скрипта

Ранг: 8.1 (гость)
Статус: Участник

Создано: 4 июня 2008 22:54 · Поправил: BadM00nz New!
Цитата · Личное сообщение · #28

1. Juva1d2d
2. dump.ru/file_catalog/423419
3. 632 KB
4. ASPack 2.12 -> Alexey Solodovnikov
5. Heuristic: Nothing found, External Singn : ASPack 2.12
6. .ASPack .ASPack
7. Bytes: 652434 Entropy Index: 99.853

При ручной распаковки у меня складывается впечатление что это не совсем аспак 2.12 ...

Ранг: 210.7 (наставник)
Статус: Участник

Создано: 5 июня 2008 00:00 New!
Цитата · Личное сообщение · #29

BadM00nz
Там не ASPack. Похоже на RLPack с подменной сигнатурой ASPack.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 5 июня 2008 10:19 New!
Цитата · Личное сообщение · #30

v0id2k пишет:
Похоже на RLPack

RLPack и похоже свежая версия ;) Вот анпакнутый , наскоряк .
rapidshare.com/files/120204896/Juva1D2DU_.rar
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS