eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: SDK, LoxmatbIj, AMSPeople, freudz (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.8 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 0.6 (гость)
Статус: Участник

Создано: 20 января 2009 20:28 New!
Цитата · Личное сообщение · #2

SER[G]ANT пишет :Вроде как upx, а сверху скрамблер от Guru.exe
Однако при проходе по F8 айсом встречается куча гадости:SEH антиотладка,RDTS,код из IsDebuggerPresent(FS[...),проверкаCRC;после распаковки иXOR расшифровки OEP не изменяется,код по этому адресу модифицируется.В коде до распаковки встречаются куски мешающие дизасму(в ИДЕ их вручную данными можно представить) короче гемморой и явно не UPX,но что имеенно мне знаний мало
Кстати эта дрянь грузит DLL перед стартом без системного загрузчика.
Может встречал кто эту хрень?

Ранг: 0.5 (гость)
Статус: Участник

Создано: 11 февраля 2009 03:45 New!
Цитата · Личное сообщение · #3

File Name: AlwaysHot.resource
Size: 344KB |
Peid Not Found
PiD тоже самое
DiE Not Found
Паковано
http://www.sendspace.com/file/uxlyzf http://www.sendspace.com/file/uxlyzf - пакованная либа
http://www.sendspace.com/file/x3v8n5 http://www.sendspace.com/file/x3v8n5 - сам ехе-шник на всякий

Ранг: 25.1 (посетитель)
Статус: Участник

Создано: 27 февраля 2009 09:40 New!
Цитата · Личное сообщение · #4

1. -
2. Rapidshare.com http://rapidshare.com/files/203085387/unpack_me.zip.html / Slil.ru http://slil.ru/27003799
3. 1.91 Mb (zip)
4. PEiD: "tElock 1.0 (private) -> tE!"
5. DiE: "tElock 0.99"
6. .aspr|.aspr|.aspr|.aspr|.aspr|.aspr|.rsrc|.aspr
7. Упаковано

Надо полностью распаковать. QUnpack (только через аттач к процессу) генерит нерабочий дамп, судя по всему из-за кривого восстановления таблицы импорта, исправить ситуацию не смог.

Доподлинно известно что:

1. Пару версий назад данный файл палился рядом аверов (на самом деле безопасен, ругались за пакер), сейчас он чист http://www.virustotal.com/ru/analisis/9b6c52ab8d9147502b89120981f2ba80 , скорее всего вносились незначительные "модификации".

2. Запакован дельфовый EXE - 100%.

3. UNtElock 0.99 его не снимает


Ранг: 147.7 (ветеран)
Статус: Участник
sv_cheats 1

Создано: 27 февраля 2009 10:24 New!
Цитата · Личное сообщение · #5

RUNaum
Держи
dump.ru/file/1919763

Ранг: 3.8 (гость)
Статус: Участник

Создано: 28 февраля 2009 17:15 · Поправил: ChVL New!
Цитата · Личное сообщение · #6

1. Total Uninstall 5.0.1
2. rapidshare.com/files/202755035/Tu.rar.html
3. 3.3 MB
4. PEiD не определяет.

Ранг: 17.6 (новичок)
Статус: Участник

Создано: 28 февраля 2009 17:38 New!
Цитата · Личное сообщение · #7

ChVL пишет:
1. Total Uninstall 5.0.1

Там Themida 2.0.5.0

Ранг: 4.4 (гость)
Статус: Участник

Создано: 19 марта 2009 02:21 New!
Цитата · Личное сообщение · #8

1. Sakray
2. rapidshare.com/files/210873133/unpack.rar.html <--
3. 1495 KB
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Heuristic: Nothing found, External Singn : nothing detected
6. atmptiqm, .rsrc, mxvpfyqj, holapqdp, brfotxzc
7. EntryPoint: 00120000

Не получается распаковать. Запакованый файл - rcp.dll.


Ранг: 656.2 (! !)
Статус: Участник
CyberMonk

Создано: 19 марта 2009 15:44 New!
Цитата · Личное сообщение · #9

van_gog Themida/WinLicense V2.0.1.0 + [Hide from PE scanners Type2] -> Oreans Technologies * Sign.By.fly * 20080721 *


Ранг: 598.5 (!)
Статус: Модератор
Research & Development

Создано: 19 марта 2009 19:24 New!
Цитата · Личное сообщение · #10

Oreans ID 1.1 [golds7n!LAG]
---------------------------
rcp.dll was protected with themida/winlicense 2.030
---------------------------

Ранг: 0.1 (гость)
Статус: Участник

Создано: 23 марта 2009 14:08 New!
Цитата · Личное сообщение · #11

1. l2.exe
2. --> rapidshare.com/files/212508321/19_03_09_l2.exe.html <--
3. 2,15 МБ (2 258 432 байт)
4. UpolyX 0.5
5. Themida / Xprotecter
6. uacevvul, .rsrc, ekeydbij, koqvhekd, cqfzfyjo
7. packed


Ранг: 147.7 (ветеран)
Статус: Участник
sv_cheats 1

Создано: 23 марта 2009 14:34 · Поправил: SER[G]ANT New!
Цитата · Личное сообщение · #12

n00byc0der
Themida 2.0.5.0

Ранг: 2.2 (гость)
Статус: Участник

Создано: 24 марта 2009 02:24 New!
Цитата · Личное сообщение · #13

1. File Name: main.exe
2. www.sendspace.com/file/1k5lg6
3. Size: 3852 KB
4. Peid: Not Found
5. PiD: Not Found
6. DiE: Not Found

Паковано 100%

Палит отладчик, автоанпакеры естественно не берут.

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 24 марта 2009 10:21 New!
Цитата · Личное сообщение · #14

yuzik: Themida 2.0.6.5

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 25 марта 2009 22:23 New!
Цитата · Личное сообщение · #15

1. Commfort 4.20
2. www.izone.ru/internet/relations/commfort-download.htm
3. 6794 кб
4. PeID: Themida 1.8.x.x -> Oreans Technologies *
5. DIE: Themida
6. .rsrc .idata CFCL

Что фима в курсе, но вот версия хз. Скрипт Themida + WinLicense 1.9.1.0 - 2.0.5.0 Unpacker v0.2.txt не дает никаких результатов. Пните плз в направлении где можн почитать про распоковку данной версии фимы

Ранг: 22.9 (новичок)
Статус: Участник

Создано: 25 марта 2009 22:40 New!
Цитата · Личное сообщение · #16

Dem0n1C пишет:
Что фима в курсе, но вот версия хз

Версия - 2.0.6.5

Ранг: 0.1 (гость)
Статус: Участник

Создано: 27 апреля 2009 23:23 · Поправил: igrekster New!
Цитата · Личное сообщение · #17

1. eCtune 0.0.2.2 r1
2. http://rapidshare.com/files/226475454/eCtune.zip
3. 1.1M
4. Microsoft Visual C# / Basic .NET [Overlay]
5. Heuristic: Nothing found, Compiler: Microsoft Visual C++ | C/C++
6. .text .reloc .rsrc
7. Entropy Index: 76.123

Используется какой-то .net обфускатор. Какой - я пока не в силах понять.

Ранг: 42.1 (посетитель)
Статус: Участник

Создано: 28 апреля 2009 01:04 New!
Цитата · Личное сообщение · #18

igrekster: Eziriz .NET Reactor, легко определить по наличию строчек типа:
Code:
  1. ldstr   "Can't find native library! Please install the native library to your local directory or to your system(32) directory."
  2. ldstr   "'eCtune_nat.dll' not found!"


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 30 апреля 2009 00:30 · Поправил: SemDJ New!
Цитата · Личное сообщение · #19

1. RadioClicker PRO 7.1.2.2
2. Http://radioclicker.com/radioclicker-pro/download/rclicker pro_setup.exe
3. 4,28 МБ
4. Peid и другие анлизаторы не определяют ничего, но ясно что там .Net только не понятно чем упакована.

Lizard
Спасибо, че-то забыл о PROTECTiON iD v0.6.2.3

Ранг: 48.2 (посетитель)
Статус: Участник

Создано: 30 апреля 2009 01:28 New!
Цитата · Личное сообщение · #20

SemDJ
PROTECTiON iD v0.6.2.3 определил как Themida v2.0.1.0 - v2.0.6.5 (or newer)


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 4 мая 2009 14:32 · Поправил: deepred New!
Цитата · Личное сообщение · #21

Собственно сам архив: СКАЧАТЬ
Не могу понять, что там конкретно PECompact или PEBundle? Пытался распаковать, начало похоже на вышеуказанные пакеры, но дальше что-то не то.


ClockMan, ё-моё, спасибо друже. А я сижу уже 3 часа и думаю, что защиту в PECompacte поменяли.


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 4 мая 2009 14:52 New!
Цитата · Личное сообщение · #22

deepredЭто RLPack

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 мая 2009 15:23 New!
Цитата · Личное сообщение · #23

1. l2Divine 8.4.1

2. rapidshare.com/files/229405673/L2Divine.rar.html

3. 1,47Mb

4. PEiD:
Linker Info: 2.25
First Bytes: 55,8B,EC,B9
Borland Delphi 6.0 - 7.0 [Overlay]
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *

5. Borland Delphi | Object Pascal
Heuristic: Nothing found

6. Sections:
CODE, DATA, BSS, .idata, .tls, .rdata, .reloc, .rsrc

7. Entro
Index: 99,379
Status: packed
Detected: Nothing found

Спасибо)


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 5 мая 2009 16:33 New!
Цитата · Личное сообщение · #24

это какое-то делфи юзающие .NET?!
что за чудо?


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 5 мая 2009 16:38 New!
Цитата · Личное сообщение · #25

NoFate Там чистий Borland Delphi ( 2.0 - 7.0 ) 1992, ничем не накрыт.

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 мая 2009 16:45 New!
Цитата · Личное сообщение · #26

Странно.. По идее должно тогда работать в Dis# или в .NET Reflector. Или я что-то не так делаю?


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 5 мая 2009 16:49 New!
Цитата · Личное сообщение · #27

у меня при запуске вылетает .NET ошибка, и начало файла c EntryPoint какое-то не Делфовское, но это делфи


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 5 мая 2009 16:50 New!
Цитата · Личное сообщение · #28

NoFateЭто Borland Delphi 6.0 - 7.0 [Overlay]Просто скарей всего в Overlay содержится бибблиотеки написаные на Net

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 мая 2009 16:51 New!
Цитата · Личное сообщение · #29

Работает только с 3.5 , если не ошибаюсь.

При попытке подсунуть в .NET Reflector или любой аналог ничего не происходит, в Reflector'e ошибка "doesn't contain a CLI header"

Спасибо за помощь! ;)

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 мая 2009 16:55 New!
Цитата · Личное сообщение · #30

Overlay отцепил с помощью плагина для PEiD, получилось на 1,3Mb с учетом того, что сам exe-шник на 1,56..


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 5 мая 2009 17:02 · Поправил: SemDJ New!
Цитата · Личное сообщение · #31

NoFate кстати "PROTECTiON iD" показал dotNet Reactor v3.3 - v3.9 (or newer) protected ! не понятно вроде чистый делфи.....

Reflector'e ошибка "doesn't contain a CLI header"
У меня такая ошибка выскакивала, когда прога на .Net была накрыта фимой, так что полюбому чем-то запакована.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS