ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Пока успехом попытки не увенчались. Попробовал разные средства, VMUnpacker, stripper, Quick Unpack.. пока ничего вразумительного не получилось. Разве что дизасм

Да будет вам известно, дельфи (с 2007, вроде) умеет генерить .нет приложения. Скорее всего, он и есть, просто ничем не покрыт, судя по секциям. Сам файл не смотрел ещё. Если будет время, гляну, скажу поточнее.

Themida, Themida, Themida
не проще ли сигнатуры добавить в PEid и не мучаться?

AndreyMust19
Есть вещи, которые сложно определять сигнатурно. Но вот отдельную прогу-анализатор сделать вполне реально. Только кому оно надо?

AndreyMust19 : т.е. в итоге накрыто Themid'ой , затем заменена сигнатура? Как определили, если не секрет? Ни PEiD, ни его аналоги, про Themida точно ничего не заметили))

Ещё один... Сказано же - не всё можно определить сигнатурными методами! А PEiD ничем кроме сигнатур не славится, хотя плагины под него написаны.

Вижу что обсуждения запрещены но я хочу спросить.
Правила соблюдать никак не хочешь? Побаню пока на сутки тогда

CFF explorer-ом удали секцию и всё.
Либо сделай Rebuild PE любым PE редактором.

В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита.
Причем, ничем не опознаваемая (PEiD)
Сам ехе-шник упакован, но не полностью.
Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он).

Кому не сложно, посмотрите что за пакер, а?
http://ifolder.ru/12467032 размер 2.5мб

xdiablo пишет:
В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита.
Причем, ничем не опознаваемая (PEiD)
Сам ехе-шник упакован, но не полностью.
Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он).

Кому не сложно, посмотрите что за пакер, а?
ifolder.ru/12467032 размер 2.5мб

Во первых нужны либы для запуска. Во вторых раз она новая откуда в PEID должны сигнатуры быть?

Не запускается ни разу. Судя по секциям, ничем там не накрыто. Какие там места по-твоему поскрамблены? Или все должны шариться и искать, где же оно. Ещё и апает. Учитывая, что запрос не по форме ни разу.

Файл TOPOR.EXE версия файла 4.3.89.7 (программа для разводки плат для электроники)
Страница скачивания www.eurointechТОЧКАru/index.sema?a=demos&pid=33
(> 11 МБ)
PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++

Размер файла 3220 кб
После запуска идет более 1000 АПИ вызовов:
выделение памяти размером 972 кб (VirtualAlloc)
много GetProcAddress
потом 5 раз VirtualProtect (секции фиксирует наверное)
потом переход на начало выделенной памяти.

Вобщем память сдампил, получился очень похожий на
настоящий PE файл, но пока не запускается. Не вникал
в проблемы пока.

Наводит на грусть то, что размер был 3.2 мб,
а рабочий сдампленый кусок всего 972 кб.

Вопрос такой. Если кто такой опыт имел,
скажите пожалуйста, сможет ли работать
сдампленый код (экзешник) или без
родной части он не жилец?

AlexKlm

судя по цитате с сайта:

Версия TopoR Lite отличается от полнофункциональной только ограничением на число цепей (до 125) и слоев (до 8) и позволяет сохранять проекты.

Версия TopoR Demo не имеет ограничение на число цепей, обрабатывает до 8 слоев, но не позволяет сохранять или экспортировать проекты.

чтобы не региться на сайте, выложи дистриб (или дай прямой линк)

AlexKlm пишет:
сможет ли работать сдампленый код (экзешник) или без родной части он не жилец?

очевидно, ты чем-то не тем дампил
попытай счастья с автоматическими распаковщиками армадиллы

AlexKlm пишет:

Наводит на грусть то, что размер был 3.2 мб,
а рабочий сдампленый кусок всего 972 кб.
Это нормально.

AlexKlm пишет:
PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++
Ну всё определилось. А позвольте узнать, причём здесь ЭТА тема?

progopis: ЭТА тема? - Я подумал что лишние сведения не повредят. Спасибо за ответ.

Jupiter: чтобы не региться на сайте, выложи дистриб (или дай прямой линк)
www.alexklmТОЧКАru/ru/misc/Setup_TopoR_Lite_4_3_89_07_man.exe
Дампил я сам исходя из размеров выделяемой до этого памяти, кроме того
я проверял память на непрерывность при помощи VirtulQuery, поэтому ошибка
врядли возможна. Но всякое бывает.

AlexKlm

\BIN\TOPOR.EXE
Protected Armadillo
Protection system (Professional)
<Protection Options>
Standard protection or Minimum protection
<Backup Key Options>
Fixed Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
Version 6.40 11-02-2009

Почитайте правила топика ещё раз: вопрос-ответ. А вы что тут развели? Завязывайте.

1. Google Earth 5.0.11733.9347
2. http://narod.ru/disk/10217252000/googleearth.rar.html
3. ~6Mb
4. "Nothing found, done"
5. "Nothing found"
6:
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00C769E1 00000400 00C76A00 60000020 code
.rdata 00C78000 003F3EE1 00C76E00 003F4000 40000040 d/e/i
.data 0106C000 000D3014 0106AE00 000A5600 C0000040 none
CONST 01140000 0000001F 01110400 00000200 C0000040 none
.rsrc 01141000 0000F590 01110600 0000F600 40000040 res

Начальный пост с дополнительными деталями по вопросу - тут: http://exelab.ru/f/index.php?action=vthread&forum=1&topic=14620

Благодарю.

Google Earth - не упакован

NeoTall пишет:
Google Earth - не упакован
...тем не менее, антивири при проверке этого файла пишут "Generic packer and/or user-defined container", чего не пишут про обычные экзешники (в т.ч. и про GoogleEarth более старых версий).
И они скорее всего правы, так как в составе этого файла есть кучи кода и функции, которые в ранних версиях GoogleEarth были в отдельных ДЛЛках рядом с экзешником. Например, сделайте текстовый поиск по этому файлу на стринг "evllp.dll" - Вы его не раз найдете, но этой DLL ОТДЕЛЬНО в составе данной версии нет, как нет ее и вообще в системе. Но тем не менее, всё работает.
В предыдущей версии evllp.dll - была, лежала рядом с экзешником и была для него жизненно необходимой (без нее не работало). То же самое и еще с несколькими десятками мелких ДЛЛок, ранее лежащих отдельно от.
Такое ощущение, что программа и жизненно важные ДЛЛки как раз и были утоптаны в один большой экзешник, разворачиваемый в памяти при работе.

Если это не пакер - то возможно ли, что это новомодный thin client (ака контейнер виртуального приложения) или еще какая-нибудь подобная слабодизассемблируемая классическими методами лабуда типа .NET приложения или чего-то в этом роде?

Спасибо.

1. Jv16 PowerTools 2009 (1.9.0.552)
2. www.macecraft.com/downloads/jv16pt_setup.exe
3. 4.64мб
4. PEID---(UPOLYX v0.5*)
5. DIE---(Borland Delphi)
6. CODE,DATA,BSS,idata,tls,rdata,pt0
7. 7.93(Packed)

DotFixNiceProtect версия походу прота последния
P.S. надоже додуматься программу для работы с реестром накрыть такым"нехорошее слово"

1. Алгоpитм 2.1
2. Минимальный набор для запуска (разм. 1.0 Мб, ехе+dll) --> здесь <--. Полностью инсталлятор (5,68 Мб) --> тут <--
3. Размер архива 1.0 Мб
4. PEiD 0.95
Microsoft Visual C++ v6.0 DLL [Overlay] *
5. DiE 0.64
Microsoft Visual C++ | C/C++
Nothing found
6. Имена секций .text, .data, .xcpad, .idata, .reloc, rsrc.

Name Virt.Size Virt.Address RawSize RawAddress Characteristics

.text 00003С1Аh 00401000h 00003Е00h 00000400h 60000020h
.data 00000428h 00405000h 00000000h 00004200h С0000040h
.xcpad 0014А000h 00406000h 00000000h 00004200h 00000000h
.idata 00000272h 00550000h 00000400h 00004200h 40000040h
.reloc 000001A4h 00551000h 00000200h 00004600h 42000040h
.rsrc 0000645Аh 00552000h 00006600h 00004800h 40000040h

Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.

По моему ничего необычного - обычный Microsoft Visual C++.

wasmkv пишет:
1. Алгоpитм 2.1

http://link_deleted_by_forum_engine/files/mjnv09s0x

Прога, вроде как, и зарегисттрировалась, но при создании .exe ругается на недорегистрированность... Т.ч. надо смотреть еще где-то...

P.S. Что-то непонятное, одним словом...

wasmkv пишет:
Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка

Сверху может быть загрузчик на C++. Обрати внимание на секцию .xcpad, возможно оттуда работает NET после того как секция заполнится.

там xenocod'ом покрыто
rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.

Shad0vv пишет:
там xenocod'ом покрыто
rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.

Уже и сам заметил, что там xenocod'ом покрыто, точнее каспер подсказал. Чем распаковывали интересно? Пишет что зарегана, но нормальный .ехе не создает и требует ключик при выходе.
uncleua, Shad0vv спасибо за оперативность.

Да, точно Xenocode. Я что-то ступил. Версия 7.0.162.

wasmkv пишет:
Чем распаковывали интересно?

Напишу здесь - может еще кому будет интересно...
Я пошел, как оказалось, не самым сложным путем... Запустил после установки прогу и обратил внимание
на то, что в процессах два экземпляра АЛГОРИТМ 2.exe - один поменьше и другой побольше...
Сдампил\распаковал тот который побольше с помощью NETUnpack - получилось то что получилось - прога запускается, в рефлектор грузится,
видно что там что-то делал или еще делает Xenocode.

Регистрацию обошел в функции peremens2.PerfomanceProgress - она вызывается при обработке
события нажатия на кнопку регистрации Demo.Button1_Click и при правильном серийном номере
должна возвращать True... Но вся фишка, видимо, заключается в ключе реестра который создается
в строчке Registry.CurrentUser.CreateSubKey()

Пишет что зарегана, но нормальный .ехе не создает

С другой стороны непонятно как этот кусок кода, который обрабатывает создание .ехе файла, может
создавать нормальный исполняемый файл, если он только то и делает, что копирует файл
"c:\Program Files\Алгоритм\Data\Objects\Demo.exe" в то место где мы хочем создать наш .ехе и
просто дает ему другое имя...