eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: asmerdev1 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 3.1 (гость)
Статус: Участник

Создано: 7 февраля 2017 00:30 New!
Цитата · Личное сообщение · #2

Andrupol пишет:
какая версия

Andrupol пишет:
Я только учусь взлому.

Тогда толка от версии никакого. Новичку не по зубам.

Ранг: 0.7 (гость)
Статус: Участник

Создано: 14 февраля 2017 02:39 · Поправил: hexep New!
Цитата · Личное сообщение · #3

1. Программа проверки знаний "Экзамен" Версия 1.5
2. http://rgho.st/7rqnYQBJq
3. Размер архива - 545 Кб
4. Информация из PEiD - ASPack 2.12 -> Alexey Solodovnikov
5. Информация из DiE - ASPack/ASProtect
6. Информация из DiE v2 - ASPack(2.12-2.XX)[-] ; Compiler - Borland Delphi(-)[-]
7. Имена секций модуля - http://rgho.st/6XFwhKbsZ
8. Энтропия - Bytes: 570368 Entropy Index: 99.655

Распаковщики ASPack/ASProtect не признают данный файл


Ранг: 71.9 (постоянный)
Статус: Участник

Создано: 14 февраля 2017 03:05 · Поправил: Creckerhack New!
Цитата · Личное сообщение · #4

hexep

держи не знаю вроде распаковал

--> Link <--

| Сообщение посчитали полезным: hexep


Ранг: -4.4 (нарушитель)
Статус: Участник

Создано: 29 апреля 2017 08:31 New!
Цитата · Личное сообщение · #5

1)mrac.dll - защита от дебаггинга, которая инжектится в софт
2)https://yadi.sk/d/QHJo9qqG3HU4Ma
3)размер архива 6,96 МБ
4)UPolyX v0.5 [Overlay] *
5)-->Packed
6)PE: protector: Obsidium(-)[-]
PE: protector: Themida/Winlicense(2.X)[-]
PE: linker: Microsoft Linker(14.0)[DLL32,signed]
7)Name:
iGDr
iGDrc
.idata

oyocqupb
kgfajmli
.taggant

Ранг: 23.6 (новичок)
Статус: Участник

Создано: 30 октября 2017 14:52 New!
Цитата · Личное сообщение · #6

1. Ford IDS 107
2. https://yadi.sk/d/A8hg3nNF3PE6XJ
3. 471Kb
4. tElock 1.0 (private) -> tE! *
5. Nothing found
6. Microsoft Visual C++ 2010SP1
7. Секции
.text
.rdata
.data
.rsrc
.reloc
.idata
.text
8. Энтропия - bits/bytes 7.68466

Ранг: 376.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 3 ноября 2017 19:35 New!
Цитата · Личное сообщение · #7

jinoweb пишет:
Ford IDS 107

По косвенным признакам: Arxan
Code:
  1. Age : 0x1 (1) | Pdb : D:\Ford_Diagnostics\Software Protection\FdrsLicensing\fdrslm\ArxanRelease\fdrslm.pdb

Во-всяком случае оно даже распаковывается
http://rgho.st/85YrVHwQ7

ну засрато немного jmp const, но при желании - достаточно быстро это говно вычищается

Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 3 ноября 2017 22:52 New!
Цитата · Личное сообщение · #8

1. EСU Flаshеr 2.3.0.c
2. http://zalil.su/5206500
3. 4 529 152 байт
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ | C/C++
6. ссылка не открывается
7.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 003C4000 00000000 00000000 60000020 none -
.data 003C5000 00071000 00000000 00000000 C0000040 none -
.tls 00436000 00001000 00000600 00000200 C0000040 none -
.rdata 00437000 00001000 00000000 00000000 50000040 none -
.idata 00438000 00004000 00000000 00000000 40000040 none -
.didata 0043C000 00001000 00000000 00000000 C0000040 none -
.edata 0043D000 00001000 00000000 00000000 40000040 none -
.vmp0 0043E000 002BEF8E 00000000 00000000 E0000060 none -
.vmp1 006FD000 0044E29A 00000800 0044E400 E0000060 t/e/i X
.reloc 00B4C000 0000017C 0044EC00 00000200 50000040 breloc -
.rsrc 00B4D000 00002D02 0044EE00 00002E00 40000040 res -

8. 7.93 (Packed)

Ранг: 17.8 (новичок)
Статус: Участник

Создано: 3 ноября 2017 22:56 · Поправил: RevCred New!
Цитата · Личное сообщение · #9

virusnyak пишет:
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ | C/C++

VMProtect(судя по именах секций, по ответу DIE, и по самому коду) && Dongle(судя по запросу ключа при старте)
плюс delphi XE5-6, а не MV C++

| Сообщение посчитали полезным: virusnyak


Ранг: -1.9 (нарушитель)
Статус: Участник

Создано: 3 ноября 2017 23:23 · Поправил: Модератор New!
Цитата · Личное сообщение · #10

Помогите распаковать файл выше, чтот я туп для этого)))

От модератора: шапку топика прочитать тоже? топик не для запросов на распаковку, для этого поиск специалистов есть. и да, линк на него уже давали в прошлом же топике

Ранг: 1.6 (гость)
Статус: Участник

Создано: 17 ноября 2017 00:30 New!
Цитата · Личное сообщение · #11

1: Bot (NoName)
2: zalil.su/?fg=4313014
3: 407.76 KB
4: Microsoft Visual C# / Basic .NET [Overlay]
5: Babel .NET(1.0-2.X)[-]
6: Dotfuscator(-)[-]

Ранг: 29.8 (посетитель)
Статус: Участник

Создано: 17 ноября 2017 01:05 New!
Цитата · Личное сообщение · #12

COBETCHiK
KoiVM v0.2.0-custom

Ранг: 0.5 (гость)
Статус: Участник

Создано: 1 декабря 2017 21:53 New!
Цитата · Личное сообщение · #13

Помогите пожалуйста распаковать. На сколько я понял это UPX,но все что я находил - очень старое и под х32.
Эта библиотека под х64.

1. Библиотека, защищающая определенные функции софта от хуков.
2. http://rgho.st/86jTJTH9R
3. 100 kb
4. Не открывает
5. http://ipic.su/img/img7/fs/Snimok.1512154370.png

Ранг: 0.5 (гость)
Статус: Участник

Создано: 1 декабря 2017 22:24 New!
Цитата · Личное сообщение · #14

LightGreenPixel
Это юпикс, под ним ничего нет. Для распаковки вам необходимо скачать вот это --> Link <-- и запустить с ключом -d
Если не секрет, откуда модуль выцарапали?

| Сообщение посчитали полезным: LightGreenPixel


Ранг: 10.7 (новичок)
Статус: Участник

Создано: 7 декабря 2017 01:48 New!
Цитата · Личное сообщение · #15

1. Lansweeper.dll 6.0.100.94
2. http://www.multiup.eu/2d95df932f5d1e8a8ebd8d71845d35e6
3. 3Mb
4. Microsoft Visual Studio .NET *
5. Microsoft Visual Studio
6. Microsoft Visual Studio C/C++
7. Функции и имена обфусцированы, вида \u0080 или \u0200
Хочу понять чем обфусированны, Пытался Всеми доступными детекторами, пишут "Unknown obfuscator"
Хочу сам снять защиту, главное понять чем обфусцировали код. Или подскажите куда копать.

Ранг: 9.7 (гость)
Статус: Участник

Создано: 7 декабря 2017 14:29 · Поправил: Adler New!
Цитата · Личное сообщение · #16

sashka2002, похоже какая то простая ренеймилка. de4dot справился вроде не плохо.
--> Было <-- --> Стало <--

Ранг: 10.7 (новичок)
Статус: Участник

Создано: 12 декабря 2017 19:43 New!
Цитата · Личное сообщение · #17

К сожалению деобфускации нет, только ренеймилка.

Может кто-то сказать хоть чем обфусцированно. Любой de-confuser не берёт. SAE открывает но опять же все нужные классы вместо GetUser/GetLicense вижу Class01/Class45 и т.д.

http://rgho.st/private/8vnjq57m2/fe9c04bf37b159814f44839d1d507280

Тоже чем-то обфусцировано, хз ни один деобфускатор не берёт
Вижу только такие строки :
04000A0B -> 04000A0B Field: System.String Namespace_00.dje_qNJKJWELVPNYWCJZ9LRHWP7L32UJBBN2A6TL4RGMD8M45VHMX9R6A_ejd/WKSTA_INFO_100::langroup
04000A0C -> 04000A0C Field: System.UInt32 Namespace_00.dje_qNJKJWELVPNYWCJZ9LRHWP7L32UJBBN2A6TL4RGMD8M45VHMX9R6A_ejd/WKSTA_INFO_100::Field_01
04000A0D -> 04000A0D Field: System.UInt32 Namespace_00.dje_qNJKJWELVPNYWCJZ9LRHWP7L32UJBBN2A6TL4RGMD8M45VHMX9R6A_ejd/WKSTA_INFO_100::Field_02

Ранг: 0.9 (гость)
Статус: Участник

Создано: 17 января 2018 17:07 · Поправил: DogBul New!
Цитата · Личное сообщение · #18

1. EVE Pilot 7.21.4
2. http://rgho.st/8Qb6NcJsq
3. 18 Mb

4. Информация из PEiD
Normal scan: Nothing found *
Deep scan: Alias PIX/Vivid IMG Graphics format *
Hardcore scan: Alias PIX/Vivid IMG Graphics format *

5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
Microsoft Visual Studio C/C++
Nothing found

6. Информация из DiE v2
PE: protector: .NET Reactor(4.8-4.9)[-]
PE: library: .NET(v2.0.50727)[-]
PE: linker: Microsoft Linker(6.0)[EXE32]

7. Имена секций модуля
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00002000 0193F5E4 00000400 0193F600 60000020 c/i
.sdata 01942000 0000029C 0193FA00 00000400 C0000040 data
.rsrc 01944000 00018CB0 0193FE00 00018E00 40000040 res
.reloc 0195E000 0000000C 01958C00 00000200 42000040 breloc

8. Энтропия 7.54672 (Packed)

Давным давно пробегала это программа, но сильно кажется, что улучшения в защите есть
de4dot-mod-reactor_4.9 позволяет открыть рефлектором, но до нормального вида далеко. Функционал теряется.

Ранг: 1.5 (гость)
Статус: Участник

Создано: 7 февраля 2018 10:49 · Поправил: nmdmitry New!
Цитата · Личное сообщение · #19

Добрый день господа
1. CaseImgManage v 1.0.3.0
2. https://cloud.mail.ru/public/MXKa/DHBu2RuXA
3. 2 922 461 байт
4. PEID v0.94: yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. DiE v0.64: Nothing found
6. DiE v1.01: Themida/Winlicense(2.X)[-]
7.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
00002000 00182000 00002000 000BB200 E0000040 code
.rsrc 00184000 00004C70 000BD200 00001A00 C0000040 d/r
.idata 0018A000 00002000 000BEC00 00000200 C0000040 b/i
0018C000 0033E000 000BEE00 00000200 E0000040 none
kqnjjvzz 004CA000 00212000 000BF000 00211E00 E0000040 none
ytubbqqi 006DC000 00002000 002D0E00 00000200 E0000040 none
8. Entropy index: 99,555

Сама программа написана на c#.

Ранг: 116.7 (ветеран)
Статус: Участник

Создано: 7 февраля 2018 14:30 New!
Цитата · Личное сообщение · #20

Да, действительно запаковано Themida, die не обманул

| Сообщение посчитали полезным: nmdmitry


Ранг: 1.8 (гость)
Статус: Участник

Создано: 26 августа 2018 01:53 · Поправил: R0EE New!
Цитата · Личное сообщение · #21

Доброе время суток. Уже 4ий день пытаюсь расковырять .NET програмку.

1. Название программы - CTAudSvc.exe 12.9.6.0 (На самом деле - бот для игры.)

2. Ссылка на архив - http://rgho.st/private/6cmWYPCDQ/b8686f81020f39f2cdd0841a305821fc
В комплекте с этим файлом были еще 2 (1 - апдейтер, 2 - стартер), распаковал их легко, изучил их код вдоль и поперек но кроме прямого вызова CreateProcess, запускающего CTAudSvc.exe, ничего полезного не нашел.

3. Вес архива - 3 462 471 байт

4. PEid - UPolyX v0.5 (Это не он, почему-то зачастую находится много-где)

5. DIE 0.97 - Протекторов не находит. (.NET)

6. DIE 2.0 - Протекторов не находит. (.NET)

7. Vsize Vaddress Rsize RAddr. Reladdr LN RelNum states
lySVpFn 000E7CA4 00002000 000E7E00 00000400 00000000 00000000 0000 0000 E0000040
.text 00418040 000EA000 00418200 000E8200 00000000 00000000 0000 0000 60000020
.rsrc 00002C80 00504000 00002E00 00500400 00000000 00000000 0000 0000 40000040
.reloc 0000000C 00508000 00000200 00503200 00000000 00000000 0000 0000 42000040
(пустое название) 00000090 0050A000 00000200 00503400 00000000 00000000 0000 0000 60000020

8.
Энтропия - 7.58114

Энтропия по секциям -
"lySVpFn" 7.99981
".text" 7.41773
".rsrc" 4.64299
".reloc" 0.104728
"" 2.60041

de4dot после моих разнообразных попыток или не делал ничего, или удалял всю реализацию всех методов.
(зато декомпиляторы хотя-бы открыть могли)

ILdasm при попытке посмотреть на IL выдает кучу ошибок, без какого-либо описания.
ILSpy при попытке декомпилировать выдает кучу ошибок.
dnSpy не лучше.
были попытки использовать и другие декомпиляторы, но и там успехов не было.

Ранг: 78.8 (постоянный)
Статус: Участник

Создано: 26 августа 2018 11:03 · Поправил: Mishar_Hacker New!
Цитата · Личное сообщение · #22

R0EE
Confuser ex
В DnSpy перейди по токену 0x06000001 потом поставь брекпоинт и трассируй и появиться код, потом можешь сдампить и убрать код анпака кода
nmdmitry
Запусти софт и сделай просто дамп и будет тебе чистый файл но не рабочий
DogBul
Там реактор, и нормально распаковался, делал кряк на заказ, но с заказчиком не сошлись, там внутри еще много интересного есть

| Сообщение посчитали полезным: SDK, R0EE


Ранг: 4.0 (гость)
Статус: Участник

Создано: 28 августа 2018 09:55 New!
Цитата · Личное сообщение · #23

Здравствуйте,не могу понять чем запакованно,и как расспаковать...

http://rgho.st/7skQsG5fQ
ELF64: library: GLIBC(2.3.4)[executable AMD64-64]
ELF64: compiler: gcc((Debian 4.9.2-10) 4.9.2)[executable AMD64-64]
Энтропия:http://prntscr.com/know49

Ранг: 4.3 (гость)
Статус: Участник

Создано: 28 августа 2018 11:33 New!
Цитата · Личное сообщение · #24

I can't find what is packed? please help me !

1. http://rgho.st/8s66hsKjV
2. .NET(v4.0.30319)[-]
3. Microsoft Linker(8.0)[EXE32]

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 28 августа 2018 15:18 · Поправил: hypn0 New!
Цитата · Личное сообщение · #25

vaxa Это PyInstaller (https://www.pyinstaller.org/). Внутри куча файлов сжатых zlib.
Вот распакованные: --> Link <--

Ранг: 78.8 (постоянный)
Статус: Участник

Создано: 28 августа 2018 15:39 New!
Цитата · Личное сообщение · #26

tamnt1306
confuserex modded


Ранг: 94.9 (постоянный)
Статус: Участник

Создано: 15 сентября 2018 23:59 New!
Цитата · Личное сообщение · #27

http://rgho.st/7VQv98jDg
1801.15 KB 1.8Mb
peid Microsoft Visual Basic v5.0 - v6.0 * 6.65 (Maybe Packed)
Die Microsoft Visual Basic 6.0 Native unknown(7.0)[EXE32]
Секции.text.rsrc.text.rdata.text.idata Энтропия - 6.99057 87% не сжатый
RGD Vmprotect 2.x VB6

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 16 сентября 2018 21:01 New!
Цитата · Личное сообщение · #28

SDK пишет:
Die Microsoft Visual Basic 6.0 Native

Всё верно.
А на шифрованные/пакованные секции не смотри. Они скорее всего вручную сделаны. В смысле, это не автоматический пакер взял и соорудил такой файл.

| Сообщение посчитали полезным: SDK


Ранг: 3.3 (гость)
Статус: Участник

Создано: 18 октября 2018 23:56 New!
Цитата · Личное сообщение · #29

1. IDSLoader
2. https://yadi.sk/d/nEGKRgoxtyRQ_g
3. 9Mb
4. peid - AIN Archive *
5. Die V1 - VMProtect(-)[-]
6. Die V2 - VMProtect(-)[-]
ProtectionID v0.6.7.5 - VM Protect 3.1 Build 891 detected
7 .text
.rdata
.data
.vmp0
.vmp1
.reloc
.rsrc
8. - 7.98 (Packed)

Ранг: 4.3 (гость)
Статус: Участник

Создано: 7 ноября 2018 14:39 New!
Цитата · Личное сообщение · #30

1. Seatmojo 2.4.14
2. https://yadi.sk/d/U9wqbxKFHnmbFA
3. 6Mb
4. peid - yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
5. Die V1 - VMProtect(1.X)[-]
6. Die V2 - VMProtect(1.X)[-]
7 .text
.rdata
.data
.upx0
.upx1
.rsrc
8.Entropy(bits/bytes) 7.86237
Вопрос: какая точная версия vmprotect тут стоит? И за сколько долларов её приблизительно можно снять?

Ранг: 0.5 (гость)
Статус: Участник

Создано: 19 декабря 2018 02:31 · Поправил: demontronpc New!
Цитата · Личное сообщение · #31

Не могу понять чем запакован и как распаковать .

Первый софт


PEID пишет
Microsoft Visual C# / Basic .NET
entry point 0021071E


Detect It Easy 1.01 и Detect It Easy 2.01 пишет
.NET(v4.0.30319)[-]
Microsoft Linker(8.0)[EXE32,admin]
entry point 0021071e

RDG Packer Detector v0.7.6.2017
Detecterd: Confuser (.NET Obfuscator)
Possible .Net Crypter (Heuristic Detection)





Второй софт



PEID пишет
entry point 00256062
Microsoft Visual C# / Basic .NET


Detect It Easy 1.01 и Detect It Easy 2.01 пишет
.NET(v4.0.30319)[-]
Microsoft Linker(48.0*)[EXE32,admin]
entry point 00256062




RDG Packer Detector v0.7.6.2017
Microsoft Visual .Net
aPLib compression (Algoritm)
Check IsDebuggerPresent (API)
<< 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS