eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: asmerdev1 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 3.5 (гость)
Статус: Участник

Создано: 28 июля 2008 10:27 New!
Цитата · Личное сообщение · #2

pavka Понял спс буду учить матчасть а на сайте у производителя написано ну очень трудно снять зашиту у них там VM и RSA880

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 июля 2008 13:49 New!
Цитата · Личное сообщение · #3

www23 пишет:
на сайте у производителя написано ну очень трудно снять зашиту у них там VM и RSA880

Защиту я не смотрел но прот убогий до предела сделан на коленке

Ранг: 0.1 (гость)
Статус: Участник

Создано: 29 июля 2008 14:14 · Поправил: DJ VK New!
Цитата · Личное сообщение · #4

Файл дампирован avz4,
1. zdoSo7dP.sys
2. [url=http://ifolder.ru/7506650
]http://ifolder.ru/7506650
[/url]
3. Размер архива 33,5 КБ (34 305 байт)
4. ничего, (может быть upolyx 0.5), оверлей
5. Информация из DiE - не опознан как PE
6. Имена секций модуля

01 .text
02 .rdata
03 .data
04 PAGECODE
05 INIT
06 .rsrc
07 .reloc

7. не знаю чем считать энтропию, не нашел еще прогу.


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 29 июля 2008 17:03 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #5

DJ VK
Хм, интересный файлик...
Энтропию можно в PEiD посомтреть:

Entropy: 6.20 (Not Packed)
EP Check: Packed
Fast Check: Not packed
Сигнатурный сканер грит:
Nothing found [Overlay] *

Скомпилино в визуал студии, линкер версии 7.10

Среди строк есть весьма интересные:
.text:00012ED8 00000013 C ObOpenObjectByName
.text:00012EEC 00000016 C ObOpenObjectByPointer
.rdata:000173E0 0000001D C RtlPrefetchMemoryNonTemporal
.rdata:00017CD8 00000023 C c:\slite\bin\fre\i386\dwshield.pdb
PAGECODE:00019F46 00000007 C System
PAGECODE:0001BEE8 00000005 C INIT
PAGECODE:0001C546 00000010 C ClassInitialize
PAGECODE:0001C99C 00000017 C KiSystemService(INT2E)
PAGECODE:0001C9B4 0000001A C KiFastCallEntry(SYSENTER)
PAGECODE:0001D392 00000016 C \SystemRoot\System32\
PAGECODE:0001D3AA 0000000A C ntdll.dll
PAGECODE:0001D3B6 00000016 C \SystemRoot\System32\
PAGECODE:0001D3E6 00000006 C ServiceDescriptorTiptorTable
PAGECODE:0001D3FE 00000017 C ZwProtectVirtualMemory
PAGECODE:0001D416 00000013 C ZwTerminateProcess
PAGECODE:0001D42A 0000000B C ZwFlushKey
PAGECODE:0001F092 0000000E C IofCallDriver
PAGECODE:0001F0A2 00000013 C IofCompleteRequest
PAGECODE:0001F0B6 00000005 C INIT
PAGECODE:0001F32C 00000005 C INIT
PAGECODE:0001F59A 00000005 C INIT

В экспорте функция start:
INIT:000233A2 public start
INIT:000233A2 start dw 0
INIT:000233A4 dd 317h dup(0)
INIT:00024000 dd 20h dup(?)
INIT:00024000 INIT ends

=)
мож пригодится инфа...

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 31 июля 2008 11:17 New!
Цитата · Личное сообщение · #6

www23 пишет:
ну очень трудно снять зашиту у них там VM и RSA880

Хм.. чет посмотрел а какая защита там? чего? Защита от лохов, что бы не поняли что их надувают. Этот файл что у тебя полная липа Ломаный переведеный репак и к стати это не прот а криптор какой то видимо приватный. Как снимать я уже сказал Bерсия файла 607.2.0.0 подается как семерка . Один из последних что я снимал с PCgurda 805.0.0.0

Ранг: 3.5 (гость)
Статус: Участник

Создано: 4 августа 2008 14:57 · Поправил: www23 New!
Цитата · Личное сообщение · #7

pavka да это я понял ресурсы руские можно воткуть в другой а с этим и не париться а с vagcom 805 снять то снял но не все там остаются секции шифрованые а запускаться запускаеться с оеп да кстати я эту типо VAGrus 7 до рабочего состояния не смог довести

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 4 августа 2008 16:03 New!
Цитата · Личное сообщение · #8

www23 пишет:
7 до рабочего состояния не смог довести

Там в иат нужно добавить init exreme.dll С перебивкой прыжков можно не парится, достачно восстановить иат, тем скриптом что выкладывал и занопить обработку в процедуре переходников

Ранг: 3.5 (гость)
Статус: Участник

Создано: 5 августа 2008 11:42 New!
Цитата · Личное сообщение · #9

pavka понял а 805 не подскажеш как её добить можно если можно конечно у меня шнур есть но от этой семерки если его воткнуть то скорей всего шнур сдохнет на 805 перепрошить можно конечно но у меня нет проггаматора под atmega 162 хотя странное дело прошивка его лежит в корне hcc178.bin и hc178.bin

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 5 августа 2008 11:58 New!
Цитата · Личное сообщение · #10

www23 пишет:
805 не подскажеш как её добить

в каком смысле добить? распаковать?

Ранг: 3.5 (гость)
Статус: Участник

Создано: 5 августа 2008 18:58 New!
Цитата · Личное сообщение · #11

pavka init exreme.dll добавил занопить обработку в процедуре переходников не понял где это

Ранг: -0.8 (нарушитель)
Статус: Участник

Создано: 5 августа 2008 20:02 New!
Цитата · Личное сообщение · #12

1. Game.exe (+Game.ini), оба лежат в архиве
2. http://webfile.ru/2139872
3. 441 кБ
4. PEiD v0.94
Nothing found *
5. DiE 0.64
Borland Delphi | Object Pascal
ORiEN 2.11 / 2.12
6. .bss
.packed
.rsrc
.loader
7. Bytes=459264
Bits=3674112
Entro bits=3669683
Entropy Index=99,879
Дело в том что после распаковки UN'ORiEN 2.12 он все равно еще до фига декодирует, ставлю BP
на CreateThread, а проге наплевать

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 августа 2008 03:31 New!
Цитата · Личное сообщение · #13

www23 пишет:
добавил занопить обработку в процедуре переходников не понял где это

зайди в переходник, любой кэлл или jmp и пробеги по ней можно в статике и найди команды
ROR EAX,0A
BSWAP EAX
ROR EAX,19
NOT EAX
BSWAP EAX
NEG EAX
они немного разбавлены мусором , их и убери нопами


Ранг: 1102.9 (!!!!)
Статус: Участник

Создано: 6 августа 2008 07:23 New!
Цитата · Личное сообщение · #14

DJ VK пишет:
Файл дампирован avz4,
1. zdoSo7dP.sys


Не пойму, что ты ожидаешь увидеть на драйвере... VMProtect?


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 6 августа 2008 07:54 New!
Цитата · Личное сообщение · #15

DJ VK пишет:
Файл дампирован avz4,
1. zdoSo7dP.sys

Никто не будет разбираться в твоем огрызке, патамушта:
1. Если ты дампируешь дров после запуска, то из Image уже удалены все Discardable секции (в том числе и INIT в которой живет EntryPoint, импорт и релоки). Ресурсы кстати тоже )
2. ImageBase в заголовке стоит оригинальная а не та, которая действительно была при дампе Image (аффтары avz4 еще до этого не додумались?). Соответственно все настраиваемые элементы кажут в адресное пространтсво дампа, а не Image.

Ранг: 3.5 (гость)
Статус: Участник

Создано: 6 августа 2008 13:43 · Поправил: www23 New!
Цитата · Личное сообщение · #16

pavka пишет:
в каком смысле добить? распаковать?

посмотри что получилось webfile.ru/2141555

0043C00B -E9 5903D800 jmp 11BC369h можно такое убрать ?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 августа 2008 16:06 New!
Цитата · Личное сообщение · #17

www23 пишет:
0043C00B -E9 5903D800 jmp 11BC369h можно такое убрать ?

побольше кода запости чет похоже ты напутал

Ранг: 3.5 (гость)
Статус: Участник

Создано: 8 августа 2008 13:28 New!
Цитата · Личное сообщение · #18

pavka пишет:
побольше кода запости чет похоже ты напутал

вот
011E1027 68 6C191C01 PUSH 21_.011C196C
011E102C ^E9 D0B6FDFF JMP 21_.011BC701
011E1031 68 79331C01 PUSH 21_.011C3379
011E1036 ^E9 C6B6FDFF JMP 21_.011BC701
011E103B 68 CE3F1C01 PUSH 21_.011C3FCE
011E1040 ^E9 BCB6FDFF JMP 21_.011BC701
011E1045 68 B54B1C01 PUSH 21_.011C4BB5
011E104A ^E9 B2B6FDFF JMP 21_.011BC701
011E104F 68 38591C01 PUSH 21_.011C5938
011E1054 ^E9 A8B6FDFF JMP 21_.011BC701
011E1059 68 69681C01 PUSH 21_.011C6869
011E105E ^E9 9EB6FDFF JMP 21_.011BC701
011E1063 68 527A1C01 PUSH 21_.011C7A52
011E1068 ^E9 94B6FDFF JMP 21_.011BC701
011E106D 68 77811C01 PUSH 21_.011C8177
011E1072 ^E9 8AB6FDFF JMP 21_.011BC701
011E1077 68 17CF1C01 PUSH 21_.011CCF17
011E107C ^E9 80B6FDFF JMP 21_.011BC701
011E1081 68 49DA1C01 PUSH 21_.011CDA49
011E1086 ^E9 76B6FDFF JMP 21_.011BC701
011E108B 68 EDE01C01 PUSH 21_.011CE0ED
011E1090 ^E9 6CB6FDFF JMP 21_.011BC701
011E1095 68 99E91C01 PUSH 21_.011CE999
011E109A ^E9 62B6FDFF JMP 21_.011BC701
011E109F 68 78131D01 PUSH 21_.011D1378 ; Real entry point of SFX code
011E10A4 ^E9 58B6FDFF JMP 21_.011BC701
011E10A9 68 54311D01 PUSH 21_.011D3154
011E10AE ^E9 4EB6FDFF JMP 21_.011BC701
011E10B3 68 EA591D01 PUSH 21_.011D59EA
011E10B8 ^E9 44B6FDFF JMP 21_.011BC701
011E10BD 68 DB751D01 PUSH 21_.011D75DB
011E10C2 ^E9 3AB6FDFF JMP 21_.011BC701
011E10C7 68 807B1D01 PUSH 21_.011D7B80
011E10CC ^E9 30B6FDFF JMP 21_.011BC701
011E10D1 68 E6AB1D01 PUSH 21_.011DABE6
011E10D6 ^E9 26B6FDFF JMP 21_.011BC701
011E10DB 68 5FCE1D01 PUSH 21_.011DCE5F
011E10E0 ^E9 1CB6FDFF JMP 21_.011BC701
011E10E5 68 31F21D01 PUSH 21_.011DF231
011E10EA ^E9 12B6FDFF JMP 21_.011BC701

и вот
0043BFE8 E8 EAE60300 CALL 21_.0047A6D7
0043BFED 8BC8 MOV ECX,EAX
0043BFEF E8 BBE80300 CALL 21_.0047A8AF
0043BFF4 6A 00 PUSH 0
0043BFF6 68 F4010000 PUSH 1F4
0043BFFB 6A 01 PUSH 1
0043BFFD FF73 20 PUSH DWORD PTR DS:[EBX+20]
0043C000 FF15 C0A54A00 CALL DWORD PTR DS:[<&user32.SetTimer>] ; USER32.SetTimer
0043C006 E8 7B1A0000 CALL 21_.0043DA86
0043C00B -E9 5903D800 JMP 21_.011BC369
0043C010 5C POP ESP
0043C011 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
0043C012 F5 CMC
0043C013 35 09D02520 XOR EAX,2025D009
0043C018 6D INS DWORD PTR ES:[EDI],DX ; I/O command
0043C019 8C0F MOV WORD PTR DS:[EDI],CS

Ранг: 3.5 (гость)
Статус: Участник

Создано: 8 августа 2008 13:38 New!
Цитата · Личное сообщение · #19

pavka пишет:
зайди в переходник, любой кэлл или jmp и пробеги по ней можно в статике и найди команды

стормозил у тебя в скрипте это есть а с exreme.dll надо чтонибуть делать ? прога все равно падает
правдо далеко уже таблика в порядке

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 8 августа 2008 14:09 New!
Цитата · Личное сообщение · #20

www23 пишет:
а с exreme.dll надо чтонибуть делать ? прога все равно падает

нет ничего не надо делать падает видимо потому что ты табличку не в родное место записал
Я скриптом делал табличку без импрека

www23 пишет:
011E1027 68 6C191C01 PUSH 21_.011C196C
011E102C ^E9 D0B6FDFF JMP 21_.011BC701
011E1031 68 79331C01 PUSH 21_.011C3379
011E1036 ^E9 C6B6FDFF JMP 21_.011BC701
011E103B 68 CE3F1C01 PUSH 21_.011C3FCE
011E1040 ^E9 BCB6FDFF JMP 21_.011BC701
011E1045 68 B54B1C01 PUSH 21_.011C4BB5
011E104A ^E9 B2B6FDFF JMP 21_.011BC701
011E104F 68 38591C01 PUSH 21_.011C5938


Это вм ;) хочешь разбирать , иду в руки и вперед

Ранг: 3.5 (гость)
Статус: Участник

Создано: 8 августа 2008 14:38 New!
Цитата · Личное сообщение · #21

pavka пишет:
нет ничего не надо делать падает видимо потому что ты табличку не в родное место записал
Я скриптом делал табличку без импрека

тем что выложил ?
mov i_st,47D000
mov i_end,47D598 я его с оеп запускал он часть импорта на оборот зашифровывает

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 8 августа 2008 14:46 New!
Цитата · Личное сообщение · #22

www23 пишет:
тем что выложил ?
mov i_st,47D000
mov i_end,47D598 я его с оеп запускал он часть импорта на оборот зашифровывает

нет конечно. Ты что не представляешь как выглядит сишная табличка?

Ранг: 3.5 (гость)
Статус: Участник

Создано: 8 августа 2008 23:03 New!
Цитата · Личное сообщение · #23

pavka пишет:
нет конечно. Ты что не представляешь как выглядит сишная табличка?

нет

Ранг: 1.6 (гость)
Статус: Участник

Создано: 10 августа 2008 15:43 New!
Цитата · Личное сообщение · #24

1 Radialix 2 версия 2.00 сборка 344
2 link_deleted_by_forum_engine/files/7127190
3 peid UPolyX v0.5 *
4 Die Armadillo x.xx
5 .text
.itext
.data
.bss
.idata
.edata
.tls
.rdata
.reloc
.text1
.data1
.reloc1
.pdata
.rsrc
6 Entropy 7.27 (Packed)
EP Check Packed
Fast Check Not Packed
Вопрос: Если это Armadillo то какая версия? И с чего начать?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 10 августа 2008 17:22 New!
Цитата · Личное сообщение · #25

KocMoHaBT
по секциям вроде арма KocMoHaBT пишет:
Если это Armadillo то какая версия? И с чего начать?

проверь утилью вела


Ранг: 340.0 (мудрец)
Статус: Участник
THETA

Создано: 10 августа 2008 17:57 New!
Цитата · Личное сообщение · #26

pavka пишет:
проверь утилью вела

KocMoHaBT
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Standard protection or Minimum protection
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
!- Version 5.42 20-02-2008

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 10 августа 2008 18:24 · Поправил: tempread New!
Цитата · Личное сообщение · #27

1. Зеленый путь 2006
2. Програvма из запросов на взлом. Предназначена для тестирования в автошколе. Подробное описание: [url=http://www.exelab.ru/f/index.php?action=vthread&topic=10399&for um=2&page=49#16
]http://www.exelab.ru/f/index.php?action=vthread&topic=10399&forum=2 & page=49#16
[/url]
3. [url=http://upload.com.ua/get/900385384
]http://upload.com.ua/get/900385384
[/url]
4. 4,04 MB
5. PEiD: Borland Delphi 6.0 - 7.0
6. При запуске сообщается об отсутствии лицензии и завершается.
7. ПМ или в этой теме

Пару своих слов: в программе есть добавленные секции, есть VM,которая не обфусцирована, насчитал около 70 опкодов. Под VM очень большие куски кода. Первый вход в VM:
004AE44C . 68 96A65500 PUSH ClassWin.0055A696; First jump to VM
004AE451 .^ E9 BC93FDFF JMP ClassWin.00487812


Ранг: 1981.1 (!!!!)
Статус: Модератор
retired

Создано: 10 августа 2008 18:39 New!
Цитата · Личное сообщение · #28

tempread
Судя по входу, похоже на вмпрот.
KocMoHaBT
По арме туторов хватает, тем более для минимальной защиты, там не менялось ничего с 4 версии.


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 10 августа 2008 19:59 New!
Цитата · Личное сообщение · #29

tempread пишет:
Пару своих слов: в программе есть добавленные секции, есть VM,которая не обфусцирована, насчитал около 70 опкодов. Под VM очень большие куски кода. Первый вход в VM:
004AE44C . 68 96A65500 PUSH ClassWin.0055A696; First jump to VM
004AE451 .^ E9 BC93FDFF JMP ClassWin.00487812

VMProtect 1.22

Ранг: 1.6 (гость)
Статус: Участник

Создано: 10 августа 2008 21:21 New!
Цитата · Личное сообщение · #30

Спасибо всем, кто ответил. По арме действительно туторов хватает, но они все разные...
А случайно анпакеров (хороших) нет? Мои что-то не справляются. Надеюсь на помощь.


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 10 августа 2008 23:15 New!
Цитата · Личное сообщение · #31

armageddon
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS