eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler, korsaring (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.8 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 9 октября 2008 10:20 New!
Цитата · Личное сообщение · #2

Release

Archer пишет:
С вероятностью в 95% вмпрот.

Ранг: 3.1 (гость)
Статус: Участник

Создано: 13 октября 2008 08:05 New!
Цитата · Личное сообщение · #3

Release
WM Protect 100% =)))

Ранг: 5.4 (гость)
Статус: Участник

Создано: 29 октября 2008 22:17 New!
Цитата · Личное сообщение · #4

1. Extractor
2. rapidshare.com/files/158763143/Extractor.rar.html
3. 300kb
4. Nothing found
5. Nothing found
6. .text
.rdata
.data
.rsrc
.tvm0
.tls
.tvm1
.reloc
7. PUSH 2EEBE65E
CALL 0048DE21
PUSHFD
PUSH ESP
CMP EBX, 00000003
PUSHAD
LEA ESP, [ESP+28]
JZ 0048A865
PUSHFD
PUSHFD
LEA ESP, [ESP+08]
JMP 004879A9

Olly ее не берет, если честно чую что боян но здесь я не нашел упоминания об этом проте.


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 29 октября 2008 22:34 New!
Цитата · Личное сообщение · #5

Опять же, 97%, что VMProtect.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 30 октября 2008 10:00 New!
Цитата · Личное сообщение · #6

Minvik пишет:
1. Extractor

чет он не запускается не хрена на двух осях попробовал , по виду вроде похож на VMProtect

Ранг: 510.2 (!)
Статус: Модератор

Создано: 8 ноября 2008 00:15 New!
Цитата · Личное сообщение · #7

1. DLL - sc32lds.DLL, идет вместе с одной exe-кой (kg) написанной на VB6
2. rapidshare.com/files/160803676/sc32lds.DLL.html
3. 60 KB
4. PEID 0.95: ASPack 2.12 -> Alexey Solodovnikov
5. Die 0.64: Microsoft Visual C++ [ver x.x] | c/C++, External Sign: ASPack v2.12
6. секции:
.ASPack
.ASPack
7. Энтропия PeID095 - 7.82 (Packed), Die 0.64 - Entropy Index 97.393


PUSS подсказал что
>>Dll-ка запакована RLPack 1.20 с ложной сигнатурой Aspack'а.
Информация от ExeInfo PE 0.0.1.9C - Generic check : RLPack 1.20 with fake signature (интересно
почему другие ошибаются, а ExeInfo нет...?
хинт от проги говорит -
>>try RL!dePacker from ap0x.jezgra.net
пробовал на RLdePacker1.41 - не взял,
джентельмены, помогите с распаковкой пож-ста.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 8 ноября 2008 11:29 New!
Цитата · Личное сообщение · #8

pavka пишет:
запакована RLPack 1.20

Там под РЛпаком еще какая то фигня
00381000 C8 000000 ENTER 0,0 <---ep
00381004 837D 0C 01 CMP DWORD PTR SS:[EBP+C],1
00381008 75 1B JNZ SHORT sc32lds.00381025
0038100A E8 CE000000 CALL sc32lds.003810DD
0038100F 72 09 JB SHORT sc32lds.0038101A
00381011 B8 01000000 MOV EAX,1
00381016 C9 LEAVE
00381017 C2 0C00 RETN 0C

0038304C 7C80AC28 kernel32.GetProcAddress <---import
00383050 7C801D77 kernel32.LoadLibraryA
00383054 7C903151 ntdll.RtlMoveMemory
00383058 7C90311B ntdll.RtlZeroMemory
0038305C 7C809A81 kernel32.VirtualAlloc
00383060 7C809B14 kernel32.VirtualFree
00383064 7C801AD0 kernel32.VirtualProtect
00383068 7C80AA66 kernel32.FreeLibrary


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 8 ноября 2008 19:29 New!
Цитата · Личное сообщение · #9

Помогать с распаковкой-это в топике на взлом, здесь ТОЛЬКО опознавать защиту. Возможно, не совсем логично, но это так.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 9 ноября 2008 09:07 · Поправил: Модератор New!
Цитата · Личное сообщение · #10

Archer пишет:
ТОЛЬКО опознавать защиту.

Именно это я и пытался сделать , к сожалению неудачноpavka пишет:
Там под РЛпаком еще какая то фигня


Archer: да это я не тебе, а автору поста выше

Ранг: 5.2 (гость)
Статус: Участник

Создано: 27 ноября 2008 06:27 New!
Цитата · Личное сообщение · #11

С некоторых пор прога Налогоплательщик 2008 ver.12.29 упакована другим упаковщиком
Кто может подсказать - как и чем его распаковать ??? ......
Вот ссылка на ехешник
superstar.ifolder.ru/9282796

Ранг: 23.6 (новичок)
Статус: Участник

Создано: 27 ноября 2008 16:31 New!
Цитата · Личное сообщение · #12

Задача такая, надо русифицировать прогу Catt2 (http://ifolder.ru/9285619) 800 kB, но при сканировании файла CATT2.exe в PEiD пишет что "Not a valid PE file" в OllyDbg такая же проблема. Подскажите чем упакован файл и как его можно русифицировать?
Заранее огромное спасибо!


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 28 ноября 2008 00:11 · Поправил: Flint New!
Цитата · Личное сообщение · #13

Чем паковано?
1) EX4-TO-MQ4
2) www.purebeam.biz/ex4_to_mq4_demo.exe
3) 6198Kb
4) Nothing found *
5) Nothing found
6) .text .data .tls .rdata .idata .edata .rsrc .muma0 .muma1 .muma2
7) 7.83 (Packed)

на EP

00A7C62B PUSH 5C8AE62E
00A7C630 CALL 01068188
00A7C635 PUSH 1C44ED2E
00A7C63A CALL 01066F68
00A7C63F DB 1A
00A7C640 DB 05
00A7C641 DB A4


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 28 ноября 2008 05:14 New!
Цитата · Личное сообщение · #14

FlintЭто VMProt

Ранг: 162.4 (ветеран)
Статус: Участник

Создано: 5 декабря 2008 20:46 New!
Цитата · Личное сообщение · #15

Чем паковано?
Total Uninstall
www.martau.com/archives/Total-Uninstall-Setup-5.0.2.exe

Довольно экстримальный прот. В импорте тока lstrcpynA. секций много и все с мусорным именем.
при аттаче ольги прога терминируется (с сусером неработал).

PEiD - обычная тема с UPolyX (бредит)
DiE - не разобрал.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 5 декабря 2008 21:40 New!
Цитата · Личное сообщение · #16

1. l2walker.dll 2.09
2. rapidshare.com/files/170571685/l2walker.dll_2.09.zip.html
3. 2333 KB
4. Nothing found
5. Nothing found
6. .text .rdata .data .shd .rsrc .idata0 .idata1 .tls .idata2 .reloc
7. 7.91 (Packed)


Статус: Пришелец

Создано: 5 декабря 2008 22:26 · Поправил: progopis New!
Цитата #17

SWR
Чем упаковано пока сказать не могу, но вроде OEP=618CA8. Код на OEP очень душевно обфусцирован и перенесён в другую секцию (на родном месте мусор).

ВМ?
Code:
  1. yatslafc:00AC7CCD                 push    679D1A7h
  2. yatslafc:00AC7CD2                 jmp     loc_0_901160
  3. yatslafc:00AC7CD7 ; ---------------------------------------------------------------------- -----
  4. yatslafc:00AC7CD7                 push    679D2FFh
  5. yatslafc:00AC7CDC                 jmp     loc_0_901160
  6. yatslafc:00AC7CE1 ; ---------------------------------------------------------------------- -----
  7. yatslafc:00AC7CE1                 push    679D3CFh
  8. yatslafc:00AC7CE6                 jmp     loc_0_901160
  9. yatslafc:00AC7CEB ; ---------------------------------------------------------------------- -----
  10. yatslafc:00AC7CEB                 push    679D44Dh
  11. yatslafc:00AC7CF0                 jmp     loc_0_901160
  12. yatslafc:00AC7CF5 ; ---------------------------------------------------------------------- -----
  13. yatslafc:00AC7CF5                 push    679D620h
  14. yatslafc:00AC7CFA                 jmp     loc_0_901160


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 5 декабря 2008 23:00 New!
Цитата · Личное сообщение · #18

SWR
Если секции мусорные-возможно, говнопрот, он же ExeCryptor. Но могу и ошибаться, сам файл не смотрел.
myronik
Судя по секциям, VMProtect. Тем более, что релизнули его, а автор вечно своё барахло накрывает потыреным софтом.


Статус: Пришелец

Создано: 6 декабря 2008 00:01 · Поправил: progopis New!
Цитата #19

Archer пишет:
он же ExeCryptor

Да это он. Вот цитата из WorldWide:

|– Unpack ExECryptor
...
| | |– Manual Unpacking Total Uninstall 3.7

Тема июльская, вряд ли бы они протектор сменили.
Нашёл в теме про ExeCryptor:
Remember I inlined Uninstall Tool (same soft producer)
Этим протом что, все юнистал тулы накрывают?

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 6 декабря 2008 13:25 New!
Цитата · Личное сообщение · #20

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 декабря 2008 15:58 New!
Цитата · Личное сообщение · #21

progopis пишет:
на родном месте мусор).

В BMпротекте не просто мусор


Статус: Пришелец

Создано: 8 декабря 2008 16:59 · Поправил: progopis New!
Цитата #22

pavka
Дык я не про VMProtect, а про ExeCryptor, и там действительно мусор. Причём не сразу на OEP, а чуть дальше код просто выдран, разбавлен мусором и перенсён в другую секцию. На исходном месте jmp на этот выдранный код, а за ним мусор.
Эй! SWR, ты куда пропал?

Ранг: 4.1 (гость)
Статус: Участник

Создано: 18 декабря 2008 12:42 New!
Цитата · Личное сообщение · #23

Копался с прогой написанно на Visual Foxpro ... но не понятно чем упакованно ...

Depomir www.depomir.ru/

Вот сцыла на exe rapidshare.com/files/174490540/DepoMir1.exe.html


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 20 декабря 2008 20:43 New!
Цитата · Личное сообщение · #24

Overloud TH1 1.0.1 вобщем вроде прога написана Visual C, но при запуске отладчика, и при аттаче выскакивает экран смерти и идет перезагрузка, олька чистая с последним фантомом. При установке прога устанавливает какой-то драйверок, наверное в нем вся мутка. Жду полезных советов
ссылка на прогу
www.overloud.com/media/common/TH1%201.0.1%20Standalone%20PC.exe
ссылка на экзешник
www.shareua.com/files/show/2089801/TH1.rar.html

Ранг: 21.9 (новичок)
Статус: Участник

Создано: 20 декабря 2008 20:53 New!
Цитата · Личное сообщение · #25

SemDJ
Там Pace Anti-Piracy.
Глянь сюда:
http://www.exelab.ru/f/index.php?action=vthread&forum=2&topic=13332


Статус: Пришелец

Создано: 1 января 2009 23:28 · Поправил: progopis New!
Цитата #26

St_George
Там какой-то самопальный протектор. Такое ощущение, что навешивали его прямо патчем исходного файла. Суть такая - OEP не тронут, но сделан отдельно код который вызывается до OEP. Он патчит программу в месте, где вызывается GetProcAddress для DllWinMain. В итоге запускается не GetProcAddress, а некая функция (довольно большая), которая восстанавливает работоспособность файла в памяти.

P.S. Снять реально. Но у меня пока не рабочие дампы. Сложность в том, что в память не грузится весь файл. Нужно отдельно прикручивать к дампу сам код программы.

Добавлено:
Новые факты. Попытался сделать патч, который делал для версии NP2006W и выяснил что код пошифрован. Соответственно, выяснил что импорт vfp9r.dll патчится (CreateFileA, CloseHandle) на некие функции, которые расшифровывают код. Думаю дальше обсуждать в этой теме не стоит. Если не справлюсь сам, сделаю новый тред.

Ранг: 0.6 (гость)
Статус: Участник

Создано: 14 января 2009 23:48 New!
Цитата · Личное сообщение · #27

Чем упаковано?
1.Blink Personal
2.http://rapidshare.com/files/183298795/b_l_ink.rar.html
3.534 Kb
4. Nothing found *
5. Nothing found
6. noname,noname,noname,Sectio%n
7.Entropy 98,732(die), 7,94(Peid)Packed.


Ранг: 147.7 (ветеран)
Статус: Участник
sv_cheats 1

Создано: 15 января 2009 02:27 · Поправил: SER[G]ANT New!
Цитата · Личное сообщение · #28

2 pirowan
Вроде как upx, а сверху скрамблер от Guru.exe

Ранг: 0.2 (гость)
Статус: Участник

Создано: 19 января 2009 17:41 New!
Цитата · Личное сообщение · #29

1. Sam Broadcaster 4.3.6
2. rapidshare.com/files/186007663/SAMBC.7z.html
3. 4.78Mb
4. PKLITE32 v1.1 *
5. Borland Delphi | Object Pascal
6. CODE, DATA, BSS, .idata, h9emq5so, .tls, .rdata, bmau68jo, .rsrc, bg984ylu, q5fkb1e0
7. Entropy PEiD: 6.61 (Maybe Packed) DiE: 83.634 (Not packed)


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 19 января 2009 17:58 New!
Цитата · Личное сообщение · #30

svr4
Судя по секциям, ExeCryptor-ом там накрыто нечто борландовское.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 20 января 2009 01:56 New!
Цитата · Личное сообщение · #31

Здравствуйте! А чем прогу для Windows mobile запаковали сможете сказать?
1. SoftMaker Office 2008 Rev.494
2. link_deleted_by_forum_engine/files/lcidhu8hk
3. Размер архива: 4.50 MB
4. Nothing found *
5. PlanMaker.exe - not valid PE file!
6. .text
7. -
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS