eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: evggrig, shura_k, dconer1
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 12.6 (новичок)
Статус: Участник

Создано: 10 августа 2008 23:25 New!
Цитата · Личное сообщение · #2

Распакуйте пожалуйста программу.
AT4RE Hasher 1.0
Весит 123 КБ
MoleBox V2.X -> MoleStudio.com [Overlay] *
Вот ссыль, пароль 123
rapidshare.com/files/136368427/AT4RE_Hasher_1.0.rar.html

Ранг: 436.2 (мудрец)
Статус: Участник

Создано: 10 августа 2008 23:46 New!
Цитата · Личное сообщение · #3

Bad_guy пишет:
Что здесь категорически не допускается?
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 августа 2008 03:42 New!
Цитата · Личное сообщение · #4

asser
unpacked
slil.ru/26048690

Ранг: 1.6 (гость)
Статус: Участник

Создано: 11 августа 2008 18:20 New!
Цитата · Личное сообщение · #5

inf1kek пишет:
armageddon

Пробовал армагеддон - неплохая вещь, но выдает сообщение:
Parent PID: 1124
OEP VA: 004017D4 OEP RVA: 000017D4
Warning: OEP call return VA: 008E4EED is not from Armadillo VM!!
Что посоветуют специалисты?


Ранг: 1981.1 (!!!!)
Статус: Модератор
retired

Создано: 11 августа 2008 21:15 New!
Цитата · Личное сообщение · #6

Ну погоняй под другими анпакерами, DilloDie тот же.
Специалисты посоветуют почитать туторы и подёргаться самому, туторов навалов, а минимальная версия даже не требует 2 процессов, там делов то... А если самому лень-напиши в запросы на взлом с пометкой только на распаковку.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 12 августа 2008 02:08 New!
Цитата · Личное сообщение · #7

1. GameCam v2.1
2. webfile.ru/2153621
3. 1,27 МБ
4. Nothing found [Overlay] *
5. Nothing found
6. .text .data .xcpad .idata .reloc .rsrc
7. Entropy: 5.80 (Not Packed)
EP Check: Not Packed
Fast Check: Packed

Ранг: 436.2 (мудрец)
Статус: Участник

Создано: 12 августа 2008 02:16 · Поправил: tihiy_grom New!
Цитата · Личное сообщение · #8

marokko
Хрен знает что это такое там внутри я так и не понял
В общем в оле ставь hardware-бряк на адрес 428238, после того как тормознешься, делай дамп в petools. Вроде нормальный файл получается

Ранг: 0.1 (гость)
Статус: Участник

Создано: 12 августа 2008 02:38 New!
Цитата · Личное сообщение · #9

DiE говорит, что Compiler C++|C/C++
Делал русификаторы для 4 предыдущих версий этой программы (ресурсы были доступны для изменения),
а вот с этой ничего не получается. Программа свежая и платная.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 августа 2008 03:19 New!
Цитата · Личное сообщение · #10

marokko
выложи на нормальный обменник

Ранг: 0.1 (гость)
Статус: Участник

Создано: 12 августа 2008 04:04 New!
Цитата · Личное сообщение · #11

rapidshare.com/files/136663875/GameCamV2.rar.html на рапиде

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 августа 2008 06:06 New!
Цитата · Личное сообщение · #12

marokko
чет у меня при запуске выдает месагу
"Game Cam failed to initialize because another program or instance has corrupted its memory space. Reboot your computer and
try again."
ну в принципе все понятно
00401812 3BFB CMP EDI,EBX
00401814 59 POP ECX
00401815 75 1D JNZ SHORT GameCamV.00401834
00401817 BE 10204000 MOV ESI,GameCamV.00402010
0040181C 68 E0104000 PUSH GameCamV.004010E0 ; UNICODE "There has been an error starting this virtual appliance. Error code: "
00401821 8BC6 MOV EAX,ESI
00401823 E8 E5000000 CALL GameCamV.0040190D
00401828 68 E8114000 PUSH GameCamV.004011E8 ; UNICODE "0x0006"
0040182D E8 A2000000 CALL GameCamV.004018D4
00401832 EB 12 JMP SHORT GameCamV.00401846
00401834 53 PUSH EBX
00401835 FF15 04A05A00 CALL DWORD PTR DS:[<&KERNEL32.GetM>; kernel32.GetModuleHandleW
0040183B FF7424 10 PUSH DWORD PTR SS:[ESP+10]
0040183F 56 PUSH ESI
00401840 50 PUSH EAX
00401841 FFD7 CALL EDI <-----------вход в VM.dll
00401843 83C4 0C ADD ESP,0C
00401846 6A 10 PUSH 10
00401848 68 F8114000 PUSH GameCamV.004011F8 ; UNICODE "Xenocode Virtual Appliance Runtime"
0040184D 68 10204000 PUSH GameCamV.00402010
00401852 53 PUSH EBX
00401853 FF15 38A05A00 CALL DWORD PTR DS:[<&USER32.Messag>; USER32.MessageBoxW
00401859 5F POP EDI
0040185A 5E POP ESI
0040185B 5B POP EBX
0040185C 8BE5 MOV ESP,EBP
0040185E 5D POP EBP

дампить лучше здесь пока импорт не заполнен

00C59331 3BF3 CMP ESI,EBX <---Dump it
00C59333 74 07 JE SHORT 00C5933C
00C59335 8B4D D8 MOV ECX,DWORD PTR SS:[EBP-28]
00C59338 03F1 ADD ESI,ECX
00C5933A EB 06 JMP SHORT 00C59342
00C5933C 8B70 10 MOV ESI,DWORD PTR DS:[EAX+10]
00C5933F 0375 D8 ADD ESI,DWORD PTR SS:[EBP-28]
00C59342 8B78 10 MOV EDI,DWORD PTR DS:[EAX+10]
00C59345 037D D8 ADD EDI,DWORD PTR SS:[EBP-28]
00C59348 EB 76 JMP SHORT 00C593C0
00C5934A 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
00C5934D 50 PUSH EAX
00C5934E E8 F42AFDFF CALL 00C2BE47
00C59353 C645 FC 17 MOV BYTE PTR SS:[EBP-4],17
00C59357 8B06 MOV EAX,DWORD PTR DS:[ESI]
00C59359 B9 00000080 MOV ECX,80000000
00C5935E 8BD0 MOV EDX,EAX

Ранг: 2.7 (гость)
Статус: Участник

Создано: 13 августа 2008 10:00 New!
Цитата · Личное сообщение · #13

Подсобите плиз.

1. Электронный каталог автозапчастей Mitsubishi ASA
2. rapidshare.de/files/40224191/asa_min.rar.html (запакована mmData.dll, в архиве минимальный набор файлов для запуска)
3. 1.4 Mb
4. Microsoft Visual C++ 6.0 - 8.0 *
5. Nothing found
6. UPX0, UPX1, rsrc,text,adata,data,reloc,pdata
7. 7.38 (Packed)

Запакована mmData.dll. В теле встречается строка 3.03 UPX! но upx и PEiD говорят что это не upx
В дополнение при отсутствии некоторых ключей в реестре при запуске прога говорит "key expired" выдает Hardware fingerprint и просит ввести серийник(активация).

!Есть большая уверенность что длл пропатчена и перепакована потому как оригинальная длл использовала Hasp HL , требовала хардварный ключик и не просила никаких активаций.

Очень нужно именно распаковать dll, нужен доступ к коду экспортируемых ф-ий.

Ранг: 436.2 (мудрец)
Статус: Участник

Создано: 13 августа 2008 10:30 New!
Цитата · Личное сообщение · #14

Jshade
В библиотеке mmData.dll вроде ничего нет, и экспортируемые функции в ней видны нормально.
А вот в Asa.exe сидит Armadillo, так что тебе нужно искать валидную пару под HWID

Ранг: 2.7 (гость)
Статус: Участник

Создано: 13 августа 2008 12:20 New!
Цитата · Личное сообщение · #15

tihiy_grom пишет:
Jshade
В библиотеке mmData.dll вроде ничего нет, и экспортируемые функции в ней видны нормально.
А вот в Asa.exe сидит Armadillo, так что тебе нужно искать валидную пару под HWID


вроде - это не значит что там ничего нет...
мне нужны не экспортируемые функции а именно их код раскопать...
А в asa.exe где ты нашел armadillo я чет так и не понял... вообще никак не запакован

Ранг: 1.6 (гость)
Статус: Участник

Создано: 13 августа 2008 16:38 New!
Цитата · Личное сообщение · #16

киген что-то подозрителен, раньше вроде эта команда не пользовалась таким пакером...

{ Атач доступен только для участников форума } - keygen.exe

Ранг: 75.7 (постоянный)
Статус: Участник

Создано: 13 августа 2008 20:28 New!
Цитата · Личное сообщение · #17

Надеюсь, что когда-нибуть, можно будет увидеть,
более профессиональные ответы....
mmData.dll запакована UPX и сверху накрыта Armadillo.
Кто-то пустил мульку, что такую связку нельзя распаковать,
и теперь так многие пакуют.
Весь прикол в том что, распаковывается намного легче.
Сперва снимаем Armadillo а затем UPX.
И получаем девственный исходный файл.
Для этого не надо знать HWID, name, key.


Ранг: 60.6 (постоянный)
Статус: Участник
KpTeaM

Создано: 28 августа 2008 20:56 New!
Цитата · Личное сообщение · #18

1. IRoNDooM v2.5 (hxxp://www.irondoom.ru/)
2. rapidshare.com/files/140844864/IRoNDooM.rar.html
3. 3217874 байт
4. Nothing found *
5. yoda's Protector 1.02 - 1.03.2
6. названия секций затёрты
7. Энтропия 7.92 (Packed)

QuickUnpack выдал такую информацию:
Quick self analyze.... unknown
PESniffer EP Scan: MEW 11 SE v1.2
PEiD scanning... tElock 0.99 - 1.0 private -> tE! *

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 28 августа 2008 22:55 New!
Цитата · Личное сообщение · #19

Runtime_err0r : Да, очень похоже на Yoda Protector. Перед оригинальным yP кодом добавили 2 безусловных перехода (jmp).
Klever : Пакер прикольный, но ничего подозрительного (троёв) там не нашёл. OEP - 40d7d0.


Ранг: 525.3 (!)
Статус: Участник
оптимист

Создано: 29 августа 2008 12:24 New!
Цитата · Личное сообщение · #20

DarkWolfНезнаю с чего та взял что OEP 0040d7d0 ? У меня OEP 0040243C и фай запускаеться после расспаковки.

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 29 августа 2008 14:22 New!
Цитата · Личное сообщение · #21

ClockMan : А если внимательно почитать - кому адресована вторая строчка? Я про кейген писал, а ты OEP ИронДоома указываешь...

Ранг: 9.8 (гость)
Статус: Участник

Создано: 31 августа 2008 01:46 · Поправил: Модератор New!
Цитата · Личное сообщение · #22

Оформи запрос правильно


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 31 августа 2008 20:34 · Поправил: r99 New!
Цитата · Личное сообщение · #23

del

Ранг: 3.3 (гость)
Статус: Участник

Создано: 22 сентября 2008 22:01 · Поправил: nope New!
Цитата · Личное сообщение · #24

del


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 23 сентября 2008 00:35 New!
Цитата · Личное сообщение · #25

nope
vmprot видимо


Ранг: 1981.1 (!!!!)
Статус: Модератор
retired

Создано: 23 сентября 2008 20:57 New!
Цитата · Личное сообщение · #26

С вероятностью в 95% вмпрот.


Ранг: 199.6 (ветеран)
Статус: Участник
www.uinc.ru

Создано: 8 октября 2008 00:27 · Поправил: DrGolova New!
Цитата · Личное сообщение · #27

Ога, на IRoNDooM.exe банальный Yoda Protect слехка моджифицированный парой jump'ов от пионэров.
Сниматься соответсно должен элементарно. В том числе и generic анпакереми.


Ранг: 199.6 (ветеран)
Статус: Участник
www.uinc.ru

Создано: 8 октября 2008 00:45 New!
Цитата · Личное сообщение · #28

Если быть точнее, то это Yoda Protect v1.02c. Нашел багу в распаковщике - перекосило последнюю секцию. Небольшая доработка рашпилем и вуалябля: stream.ifolder.ru/8462984

Ранг: 14.6 (новичок)
Статус: Участник

Создано: 8 октября 2008 10:40 New!
Цитата · Личное сообщение · #29

1. DWar
2. rapidshare.com/files/151950847/DWar.7z.htm
3. 3,419,840
4. Nothing found *
5. Nothing found
6. мусор (вообще рациональность требования этого пункта меня "смущает", ну да ладно)
7. 7.89 (Packed)

Интересно именно что за пакер(прот) - уж больно гадит своими переходниками в основном коде и в своих секциях.
Хотя может кто еще подскажет решение по восстановлению импорта будет замечательно. Собственно, импорт можно восстановить через скрипт для олли, но возможно есть более лучшее/интересное решение...


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 8 октября 2008 18:23 New!
Цитата · Личное сообщение · #30

Release
7z

Ранг: 14.6 (новичок)
Статус: Участник

Создано: 9 октября 2008 08:26 New!
Цитата · Личное сообщение · #31

r99 пишет:
Release
7z

Ну, спасибо за очень нужный пост. А я то думал, чем это я запаковал ехе-шник, перед тем как выложить на рапиду.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS