eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 28 января!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: zds, vladshishkin, hlmadip (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B


Ранг: 60.9 (постоянный)
Статус: Участник

Создано: 8 ноября 2015 19:53 · Поправил: 8 ноября 2015 23:02 ==DJ==[ZLO] New!
Цитата · Личное сообщение · #2

1. PDF Graber 8.0.0.32
2. -->Чисто Эхешник<--
3. 10Mb
4. Информация из PEiD: Nothing found [Overlay] *
5. Информация из DiE: Borland Delphi
6. Информация из DiE v2: Embarcadero Delphi(XE2-XE7)[-]
7:
Code:
  1. Name:    VOffset: VSize:   ROffset: RSize:   Flags:   Scan:    Packed:  
  2. .text    00001000 01147000 00000400 00659CFA E0000020 code        
  3. .BSS     01148000 0000B000 0065A200 00004C8E E0000020 none        
  4. .text    01153000 0007E000 0065F000 0002A3CD E0000020 data        
  5. .BSS     011D1000 00043000 00689600 00000000 E0000040 none        
  6. .idata   01214000 00007000 00689400 00002200 E0000020 none        
  7. .BSS     0121B000 00003000 0068B600 00000AD2 E0000020 none        
  8. .CODE    0121E000 00001000 0068C200 00000067 E0000020 exp         
  9. .text    0121F000 00001000 0068C600 00000000 E0000040 none        
  10. .txdata  01220000 00001000 0068C400 00000067 E0000020 none        
  11. .txdata  01221000 00152000 0068C600 000BBBF3 E0000020 none        
  12. .rsrc    01373000 001B3000 00748200 001B25E2 E0000040 res         
  13. .CODE    01526000 0051B000 008FA800 000058EB E0000020 none        
  14. .CODE    01A41000 00045000 00900200 00044D6E E0000040 tls         
  15. .text    01A86000 00001000 00945000 00000780 E0000020 none        
  16. .idata   01A87000 00039000 00945800 00039000 E0000020 imp         

8: 97%

Ранг: 34.5 (посетитель)
Статус: Участник

Создано: 8 ноября 2015 23:02 New!
Цитата · Личное сообщение · #3

PDF Graber 8.0.0.32
DotFix NiceProtect + DotFix Fake Signer если RDG Packer Detector v0.7.5.2015 правильно определил.

Ранг: 2.4 (гость)
Статус: Участник

Создано: 2 декабря 2015 13:01 · Поправил: 2 декабря 2015 13:17 erchess New!
Цитата · Личное сообщение · #4

1. Adrenaline 1.99
2. https://www.dropbox.com/s/or9v52gck6in1hw/Adrenalin.rar?dl=0
3. 1.17 мб






Ранг: 321.4 (мудрец)
Статус: Участник
born to be evil

Создано: 2 декабря 2015 13:35 New!
Цитата · Личное сообщение · #5

erchess
нафик тут столько скринов? vmprotect на проге

| Сообщение посчитали полезным: Autokent


Ранг: 1.3 (гость)
Статус: Участник

Создано: 8 декабря 2015 02:13 · Поправил: 8 декабря 2015 02:18 PlaySten New!
Цитата · Личное сообщение · #6

Всем добра! Подскажите как быть? Peid пишет, что упаковано yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
А DiE 0.98 говорит, что VMProtect(2.X)[-]

Ранг: 507.2 (!)
Статус: Модератор

Создано: 8 декабря 2015 02:15 New!
Цитата · Личное сообщение · #7

PlaySten пишет:
А DiE 0.98 говорит, что VMProtect(2.X)[-]

ета

Ранг: 1.3 (гость)
Статус: Участник

Создано: 8 декабря 2015 02:16 New!
Цитата · Личное сообщение · #8

Это возможно взломать с помощью туториалов которые лежат на tuts4u по вмпротекту?

Ранг: 3.3 (гость)
Статус: Участник

Создано: 10 декабря 2015 23:09 New!
Цитата · Личное сообщение · #9

1. Autocom 2015-2
2. https://yadi.sk/d/_jV0_Mnom95be
3. 5.3 Мбайт
4. PEiD - .NET executable -> Microsoft * Sign.By.fly [Overlay] *
5. DiE - nothing found
6. DiE v2 - Smart Assembly(6.6.3.41)[-]
de4dot справиться и помочь тоже не смог.
Точно знаю что это Net приложение.
В IdaPro файл открывается, но как то странно выглядит - многие процедуры как будто за двоены.


Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 31 марта 2016 05:06 New!
Цитата · Личное сообщение · #10

1.Zwischenzug - 11-10-02

7. .text .rdata .data .rsrc

Ранг: 46.6 (посетитель)
Статус: Участник

Создано: 4 июня 2016 13:13 New!
Цитата · Личное сообщение · #11

1. Андроид приложение "Мой проездной" 2.0.9.
2. http://rgho.st/7kjSvNmFd
3. 19 мб
4. неприменимо
5. неприменимо
6. неприменимо
Предположение, что накрыто DexProtector, хотелось бы уточнить версию и на сколько сложно снять его.


Ранг: 321.4 (мудрец)
Статус: Участник
born to be evil

Создано: 4 июня 2016 15:15 New!
Цитата · Личное сообщение · #12

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 4 июня 2016 16:25 New!
Цитата · Личное сообщение · #13

офтоп ajax краем глаза пробежал эту статью на хабре.. афигел))) вот народ маньяки

Ранг: 30.2 (посетитель)
Статус: Участник

Создано: 4 июня 2016 17:02 · Поправил: 4 июня 2016 17:03 Quadcon New!
Цитата · Личное сообщение · #14

ajax пишет:
--> Исследование защищенности карты Тройка <--


VodoleY пишет:
офтоп ajax краем глаза пробежал эту статью на хабре.. афигел))) вот народ маньяки


Устарело, сейчас накрыта DexProtector-ом.

--> Тык <-- кусок бесполезного лога. Можно по нему в общих чертах понять как эта хрень работает.

Записи вида: "I/DroidParts(22741): java.io.File" декриптованные строки.

Патчим метод:
Code:
  1. .method static final acbbd(Ljava/lang/String;)Ljava/lang/String; //Функа декрипта строк.

Вписать 2 строки, ну и пересобрать apk
Code:
  1. const/4 v1, 0x4
  2. invoke-static {v1, v2}, Lorg/droidparts/util/L;->log(ILjava/lang/Object;)V
  3.  
  4. перед 
  5. return-object v2


Особо не вникал что там но разобрать можно.

Ранг: 46.6 (посетитель)
Статус: Участник

Создано: 4 июня 2016 21:50 · Поправил: 4 июня 2016 21:53 mixer632 New!
Цитата · Личное сообщение · #15

Quadcon пишет:
Патчим метод:

Не запуститься, я пробовал через апктул получал смали и обратно собирал апк, подписывая сертификатом проги. Падает при запуске, палит сертификаты)
Quadcon пишет:
--> Тык <--

Интересует эта либа libdexprotector.so, в ней реализована часть нативных функций. Создается в app_outdex при старте и удаляется прогой. Как перехватить ? Если скриптом мониторить папку и скопировать как там появится, то успеет ли скрипт это сделать.
Можно ли права настроить на рутованном девайсе, чтобы при удалении обламалась ?

Ранг: 30.2 (посетитель)
Статус: Участник

Создано: 5 июня 2016 13:53 New!
Цитата · Личное сообщение · #16

mixer632 пишет:
Не запуститься

В большинстве случаев запуск и не нужен.

mixer632 пишет:
Интересует эта либа libdexprotector.so, в ней реализована часть нативных функций. Создается в app_outdex при старте и удаляется прогой. Как перехватить ?

https://github.com/strazzere/android-lkms вот так.

Ранг: 46.6 (посетитель)
Статус: Участник

Создано: 6 июня 2016 23:21 New!
Цитата · Личное сообщение · #17

Quadcon пишет:
.method static final acbbd(Ljava/lang/String;)Ljava/lang/String; //Функа декрипта строк.

А где вы такую функцию нашли в тех сорцах ? Нигде нету там функции с именем acbbd.


Ранг: 1972.5 (!!!!)
Статус: Модератор
retired

Создано: 6 июня 2016 23:46 New!
Цитата · Личное сообщение · #18

Хватит гонять обсуждения в не предназначенном для этого топике.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 6 сентября 2016 12:07 New!
Цитата · Личное сообщение · #19

https://www.sendspace.com/file/0wx142
что здесь?
последняя секция - .tprot

Ранг: 8.1 (гость)
Статус: Участник

Создано: 16 сентября 2016 20:40 New!
Цитата · Личное сообщение · #20

Добрый вечер. Очень необходима Ваша помощь.

1. Андроид игра Mu Origin RU v 1.5 - написана на Unity
2. https://yadi.sk/d/ESJO-PulvG2qf
3. Не архив - сам файл Dll - Размер 5 мб
4 PEiD говорит "Not a valid PE file"
5. DiE говорит "Assembly-CSharp.dll - not valid PE file!"
6. DiE v2 говорит Type: Binary
7. Имен не показывает
8. Entropy (bits/byte): 7.5823 94% packed

Ранг: 0.6 (гость)
Статус: Участник

Создано: 17 октября 2016 19:38 New!
Цитата · Личное сообщение · #21

1. _geolib (Geopolitical Simulator 4) v 6.20
2. http://rgho.st/7ZZn8BF22
3. 6355 kb
4.
5.
6.
7.
8.

Ранг: 373.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 18 октября 2016 20:24 New!
Цитата · Личное сообщение · #22

Hater Dan пишет:
1. _geolib (Geopolitical Simulator 4) v 6.20
2. http://rgho.st/7ZZn8BF22
3. 6355 kb
4.

Там явно навесной прот какой-то. Одно могу сказать точно: такой древней ахинеей, как копирование первых инструкций в секцию себе и прыжок на оставшейся команды в системные либы, занимается узкий круг публичных протов (мож это даже obsidium, как DiE показывает):
Code:
  1. 613602AB    8BFF            MOV EDI,EDI
  2. 613602AD    55              PUSH EBP
  3. 613602AE    8BEC            MOV EBP,ESP
  4. 613602B0    FF75 14         PUSH DWORD PTR SS:[EBP+14]
  5. 613602B3    FF75 10         PUSH DWORD PTR SS:[EBP+10]
  6. 613602B6    FF75 0C         PUSH DWORD PTR SS:[EBP+0C]
  7. 613602B9  - E9 431DAE16     JMP 77E42001
  8.  
  9. 77E42001  |.  FF75 08       PUSH DWORD PTR SS:[EBP+8]                ; |Address = 61B1FF98
  10. 77E42004  |.  6A FF         PUSH -1                                  ; |hProcess = INVALID_HANDLE_VALUE
  11. 77E42006  |.  E8 95FAFFFF   CALL VirtualProtectEx                    ; \KERNEL32.VirtualProtectEx
  12. 77E4200B  |.  5D            POP EBP
  13. 77E4200C  \.  C2 1000       RETN 10

Ранг: 15.2 (новичок)
Статус: Участник

Создано: 27 октября 2016 23:19 · Поправил: 29 октября 2016 21:54 dendel New!
Цитата · Личное сообщение · #23

Помогите разобраться с упаковщиком

1. .dll одной из прог
2. Скачать файл с sendspace.com --> Link <--
3. (4.75MB)
4. Информация из PEiD --> Link <--
5. Информация из DiE --> Link <--
6. Информация из DiE v2 --> Link <--
7. Имена секций модуля
8. Энтропия - --> Link <--

Ранг: 0.5 (гость)
Статус: Участник

Создано: 5 ноября 2016 11:44 · Поправил: 5 ноября 2016 13:13 Samorez New!
Цитата · Личное сообщение · #24

5- Compiler - Microsoft Visual C++ | C/C++

6- PE: protector: Dotfuscator(-)[-]
PE: library: .NET(v4.0.30319)[-]
PE: linker: Microsoft Linker(11.0)[EXE32]

7- .text .rsrc .reloc

8- Entropy Index - 84,904

Ранг: 0.9 (гость)
Статус: Участник

Создано: 18 ноября 2016 20:31 New!
Цитата · Личное сообщение · #25

1: nsbLauncher.exe [Downloader] - nsbLauncher[number].exe [сама программа]
2: --> nsbLauncher.rar<--
3: 2.84 MB
Накрыт: Themida/Winlicense(2.X)[-]
+
Накрыт: NetReactor.

Но чем ещё запакован не смог определить (

Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 18 ноября 2016 21:51 · Поправил: 18 ноября 2016 22:44 Jaa New!
Цитата · Личное сообщение · #26

ArtesSPC
С чего вы взяли? Упаковано действительно Themida/Winlicense + NetReactor, после распаковки код прекрасно видно



Онлайн проверка ключа еще и при создании билда

| Сообщение посчитали полезным: script_kidis, ArtesSPC



Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 18 ноября 2016 22:15 New!
Цитата · Личное сообщение · #27

"unpacking gods"

Ранг: 9.2 (гость)
Статус: Участник

Создано: 29 ноября 2016 08:05 · Поправил: Модератор New!
Цитата · Личное сообщение · #28

От модератора: в шапке есть форма, как надо оформлять пост

Ранг: 0.5 (гость)
Статус: Участник

Создано: 6 февраля 2017 23:03 · Поправил: Andrupol New!
Цитата · Личное сообщение · #29

Добрый день
Есть длл расширение для Farcard v6
ссылка https://yadi.sk/d/NhQR2cds3DDzz3
Размер: 4,2 МБ вирусов нет.
Peid в обычном режиме не определяет ничего в агрессивном пишет UPolyX v0.5 *
die 0.64 определяет Borland Delphi [ver: x] | Object Pascal
die 1 определяет PE: protector: VMProtect(-)[-]
PE: compiler: Borland Delphi(-)[-]
PE: linker: Turbo Linker(2.25*,Delphi)[DLL32]

[img]http://rgho.st/7Cby7qsF7[/img]

{ Атач доступен только для участников форума } - 2017-02-07_000903.png

Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 6 февраля 2017 23:21 · Поправил: Jaa New!
Цитата · Личное сообщение · #30

Andrupol
Там действительно VMProtect 2.xx

Ранг: 0.5 (гость)
Статус: Участник

Создано: 6 февраля 2017 23:38 New!
Цитата · Личное сообщение · #31

JaaА какая версия можно узнать или это практически не реально? Я только учусь взлому. Простите если что не так.
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS