eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: soft (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.8 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 мая 2009 17:12 New!
Цитата · Личное сообщение · #2

Пока успехом попытки не увенчались. Попробовал разные средства, VMUnpacker, stripper, Quick Unpack.. пока ничего вразумительного не получилось. Разве что дизасм


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 5 мая 2009 17:45 New!
Цитата · Личное сообщение · #3

Да будет вам известно, дельфи (с 2007, вроде) умеет генерить .нет приложения. Скорее всего, он и есть, просто ничем не покрыт, судя по секциям. Сам файл не смотрел ещё. Если будет время, гляну, скажу поточнее.

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 5 мая 2009 22:04 New!
Цитата · Личное сообщение · #4

Themida, Themida, Themida
не проще ли сигнатуры добавить в PEid и не мучаться?


Статус: Пришелец

Создано: 5 мая 2009 22:10 New!
Цитата #5

AndreyMust19
Есть вещи, которые сложно определять сигнатурно. Но вот отдельную прогу-анализатор сделать вполне реально. Только кому оно надо?

Ранг: 0.2 (гость)
Статус: Участник

Создано: 6 мая 2009 11:48 New!
Цитата · Личное сообщение · #6

AndreyMust19 : т.е. в итоге накрыто Themid'ой , затем заменена сигнатура? Как определили, если не секрет? Ни PEiD, ни его аналоги, про Themida точно ничего не заметили))


Статус: Пришелец

Создано: 6 мая 2009 12:55 New!
Цитата #7

Ещё один... Сказано же - не всё можно определить сигнатурными методами! А PEiD ничем кроме сигнатур не славится, хотя плагины под него написаны.

Ранг: 16.8 (новичок)
Статус: Участник

Создано: 27 мая 2009 15:57 · Поправил: Модератор New!
Цитата · Личное сообщение · #8

Вижу что обсуждения запрещены но я хочу спросить.
Правила соблюдать никак не хочешь? Побаню пока на сутки тогда

Ранг: 617.3 (!)
Статус: Участник

Создано: 27 мая 2009 16:06 · Поправил: Vovan666 New!
Цитата · Личное сообщение · #9

CFF explorer-ом удали секцию и всё.
Либо сделай Rebuild PE любым PE редактором.

Ранг: 6.7 (гость)
Статус: Участник

Создано: 4 июня 2009 12:08 · Поправил: xdiablo New!
Цитата · Личное сообщение · #10

В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита.
Причем, ничем не опознаваемая (PEiD)
Сам ехе-шник упакован, но не полностью.
Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он).

Кому не сложно, посмотрите что за пакер, а?
http://ifolder.ru/12467032 размер 2.5мб


Ранг: 67.4 (постоянный)
Статус: Участник

Создано: 10 июня 2009 12:15 New!
Цитата · Личное сообщение · #11

xdiablo пишет:
В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита.
Причем, ничем не опознаваемая (PEiD)
Сам ехе-шник упакован, но не полностью.
Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он).

Кому не сложно, посмотрите что за пакер, а?
ifolder.ru/12467032 размер 2.5мб


Во первых нужны либы для запуска. Во вторых раз она новая откуда в PEID должны сигнатуры быть?


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 10 июня 2009 17:15 New!
Цитата · Личное сообщение · #12

Не запускается ни разу. Судя по секциям, ничем там не накрыто. Какие там места по-твоему поскрамблены? Или все должны шариться и искать, где же оно. Ещё и апает. Учитывая, что запрос не по форме ни разу.

Ранг: 38.2 (посетитель)
Статус: Участник

Создано: 15 июня 2009 15:36 New!
Цитата · Личное сообщение · #13

Файл TOPOR.EXE версия файла 4.3.89.7 (программа для разводки плат для электроники)
Страница скачивания www.eurointechТОЧКАru/index.sema?a=demos&pid=33
(> 11 МБ)
PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++

Размер файла 3220 кб
После запуска идет более 1000 АПИ вызовов:
выделение памяти размером 972 кб (VirtualAlloc)
много GetProcAddress
потом 5 раз VirtualProtect (секции фиксирует наверное)
потом переход на начало выделенной памяти.

Вобщем память сдампил, получился очень похожий на
настоящий PE файл, но пока не запускается. Не вникал
в проблемы пока.

Наводит на грусть то, что размер был 3.2 мб,
а рабочий сдампленый кусок всего 972 кб.

Вопрос такой. Если кто такой опыт имел,
скажите пожалуйста, сможет ли работать
сдампленый код (экзешник) или без
родной части он не жилец?


Ранг: 601.2 (!)
Статус: Модератор
Research & Development

Создано: 15 июня 2009 16:02 New!
Цитата · Личное сообщение · #14

AlexKlm

судя по цитате с сайта:

Версия TopoR Lite отличается от полнофункциональной только ограничением на число цепей (до 125) и слоев (до 8) и позволяет сохранять проекты.

Версия TopoR Demo не имеет ограничение на число цепей, обрабатывает до 8 слоев, но не позволяет сохранять или экспортировать проекты.

чтобы не региться на сайте, выложи дистриб (или дай прямой линк)

AlexKlm пишет:
сможет ли работать сдампленый код (экзешник) или без родной части он не жилец?


очевидно, ты чем-то не тем дампил
попытай счастья с автоматическими распаковщиками армадиллы


Статус: Пришелец

Создано: 15 июня 2009 16:22 · Поправил: Модератор New!
Цитата #15

AlexKlm пишет:

Наводит на грусть то, что размер был 3.2 мб,
а рабочий сдампленый кусок всего 972 кб.

Это нормально.

AlexKlm пишет:
PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++

Ну всё определилось. А позвольте узнать, причём здесь ЭТА тема?

Ранг: 38.2 (посетитель)
Статус: Участник

Создано: 15 июня 2009 22:34 New!
Цитата · Личное сообщение · #16

progopis: ЭТА тема? - Я подумал что лишние сведения не повредят. Спасибо за ответ.

Jupiter: чтобы не региться на сайте, выложи дистриб (или дай прямой линк)
www.alexklmТОЧКАru/ru/misc/Setup_TopoR_Lite_4_3_89_07_man.exe
Дампил я сам исходя из размеров выделяемой до этого памяти, кроме того
я проверял память на непрерывность при помощи VirtulQuery, поэтому ошибка
врядли возможна. Но всякое бывает.


Ранг: 601.2 (!)
Статус: Модератор
Research & Development

Создано: 15 июня 2009 23:49 New!
Цитата · Личное сообщение · #17

AlexKlm

\BIN\TOPOR.EXE
Protected Armadillo
Protection system (Professional)
<Protection Options>
Standard protection or Minimum protection
<Backup Key Options>
Fixed Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
Version 6.40 11-02-2009


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 16 июня 2009 19:38 New!
Цитата · Личное сообщение · #18

Почитайте правила топика ещё раз: вопрос-ответ. А вы что тут развели? Завязывайте.

Ранг: 2.1 (гость)
Статус: Участник

Создано: 24 июня 2009 11:53 New!
Цитата · Личное сообщение · #19

1. Google Earth 5.0.11733.9347
2. http://narod.ru/disk/10217252000/googleearth.rar.html
3. ~6Mb
4. "Nothing found, done"
5. "Nothing found"
6:
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00C769E1 00000400 00C76A00 60000020 code
.rdata 00C78000 003F3EE1 00C76E00 003F4000 40000040 d/e/i
.data 0106C000 000D3014 0106AE00 000A5600 C0000040 none
CONST 01140000 0000001F 01110400 00000200 C0000040 none
.rsrc 01141000 0000F590 01110600 0000F600 40000040 res

Начальный пост с дополнительными деталями по вопросу - тут: http://exelab.ru/f/index.php?action=vthread&forum=1&topic=14620

Благодарю.

Ранг: 36.8 (посетитель)
Статус: Участник

Создано: 24 июня 2009 20:34 New!
Цитата · Личное сообщение · #20

Google Earth - не упакован

Ранг: 2.1 (гость)
Статус: Участник

Создано: 25 июня 2009 10:40 · Поправил: parasss New!
Цитата · Личное сообщение · #21

NeoTall пишет:
Google Earth - не упакован

...тем не менее, антивири при проверке этого файла пишут "Generic packer and/or user-defined container", чего не пишут про обычные экзешники (в т.ч. и про GoogleEarth более старых версий).
И они скорее всего правы, так как в составе этого файла есть кучи кода и функции, которые в ранних версиях GoogleEarth были в отдельных ДЛЛках рядом с экзешником. Например, сделайте текстовый поиск по этому файлу на стринг "evllp.dll" - Вы его не раз найдете, но этой DLL ОТДЕЛЬНО в составе данной версии нет, как нет ее и вообще в системе. Но тем не менее, всё работает.
В предыдущей версии evllp.dll - была, лежала рядом с экзешником и была для него жизненно необходимой (без нее не работало). То же самое и еще с несколькими десятками мелких ДЛЛок, ранее лежащих отдельно от.
Такое ощущение, что программа и жизненно важные ДЛЛки как раз и были утоптаны в один большой экзешник, разворачиваемый в памяти при работе.

Если это не пакер - то возможно ли, что это новомодный thin client (ака контейнер виртуального приложения) или еще какая-нибудь подобная слабодизассемблируемая классическими методами лабуда типа .NET приложения или чего-то в этом роде?

Спасибо.

Ранг: -0.6 (нарушитель)
Статус: Участник

Создано: 27 июля 2009 12:57 New!
Цитата · Личное сообщение · #22

1. Jv16 PowerTools 2009 (1.9.0.552)
2. www.macecraft.com/downloads/jv16pt_setup.exe
3. 4.64мб
4. PEID---(UPOLYX v0.5*)
5. DIE---(Borland Delphi)
6. CODE,DATA,BSS,idata,tls,rdata,pt0
7. 7.93(Packed)


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 27 июля 2009 13:35 New!
Цитата · Личное сообщение · #23

DotFixNiceProtect версия походу прота последния
P.S. надоже додуматься программу для работы с реестром накрыть такым"нехорошее слово"

Ранг: 24.2 (новичок)
Статус: Участник

Создано: 12 августа 2009 17:30 New!
Цитата · Личное сообщение · #24

1. Алгоpитм 2.1
2. Минимальный набор для запуска (разм. 1.0 Мб, ехе+dll) --> здесь <--. Полностью инсталлятор (5,68 Мб) --> тут <--
3. Размер архива 1.0 Мб
4. PEiD 0.95
Microsoft Visual C++ v6.0 DLL [Overlay] *
5. DiE 0.64
Microsoft Visual C++ | C/C++
Nothing found
6. Имена секций .text, .data, .xcpad, .idata, .reloc, rsrc.

Name Virt.Size Virt.Address RawSize RawAddress Characteristics

.text 00003С1Аh 00401000h 00003Е00h 00000400h 60000020h
.data 00000428h 00405000h 00000000h 00004200h С0000040h
.xcpad 0014А000h 00406000h 00000000h 00004200h 00000000h
.idata 00000272h 00550000h 00000400h 00004200h 40000040h
.reloc 000001A4h 00551000h 00000200h 00004600h 42000040h
.rsrc 0000645Аh 00552000h 00006600h 00004800h 40000040h

Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 12 августа 2009 18:01 New!
Цитата · Личное сообщение · #25

По моему ничего необычного - обычный Microsoft Visual C++.

Ранг: 80.4 (постоянный)
Статус: Участник

Создано: 12 августа 2009 18:15 · Поправил: uncleua New!
Цитата · Личное сообщение · #26

wasmkv пишет:
1. Алгоpитм 2.1


http://link_deleted_by_forum_engine/files/mjnv09s0x

Прога, вроде как, и зарегисттрировалась, но при создании .exe ругается на недорегистрированность... Т.ч. надо смотреть еще где-то...

P.S. Что-то непонятное, одним словом...

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 12 августа 2009 19:06 New!
Цитата · Личное сообщение · #27

wasmkv пишет:
Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка


Сверху может быть загрузчик на C++. Обрати внимание на секцию .xcpad, возможно оттуда работает NET после того как секция заполнится.

Ранг: 34.1 (посетитель)
Статус: Участник

Создано: 12 августа 2009 21:18 · Поправил: Shad0vv New!
Цитата · Личное сообщение · #28

там xenocod'ом покрыто
rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.

Ранг: 24.2 (новичок)
Статус: Участник

Создано: 12 августа 2009 23:23 New!
Цитата · Личное сообщение · #29

Shad0vv пишет:
там xenocod'ом покрыто
rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.


Уже и сам заметил, что там xenocod'ом покрыто, точнее каспер подсказал. Чем распаковывали интересно? Пишет что зарегана, но нормальный .ехе не создает и требует ключик при выходе.
uncleua, Shad0vv спасибо за оперативность.


Ранг: 81.5 (постоянный)
Статус: Участник

Создано: 13 августа 2009 00:05 New!
Цитата · Личное сообщение · #30

Да, точно Xenocode. Я что-то ступил. Версия 7.0.162.

Ранг: 80.4 (постоянный)
Статус: Участник

Создано: 13 августа 2009 12:12 · Поправил: uncleua New!
Цитата · Личное сообщение · #31

wasmkv пишет:
Чем распаковывали интересно?


Напишу здесь - может еще кому будет интересно...
Я пошел, как оказалось, не самым сложным путем... Запустил после установки прогу и обратил внимание
на то, что в процессах два экземпляра АЛГОРИТМ 2.exe - один поменьше и другой побольше...
Сдампил\распаковал тот который побольше с помощью NETUnpack - получилось то что получилось - прога запускается, в рефлектор грузится,
видно что там что-то делал или еще делает Xenocode.

Регистрацию обошел в функции peremens2.PerfomanceProgress - она вызывается при обработке
события нажатия на кнопку регистрации Demo.Button1_Click и при правильном серийном номере
должна возвращать True... Но вся фишка, видимо, заключается в ключе реестра который создается
в строчке Registry.CurrentUser.CreateSubKey()
Code:
  1. private void Button1_Click(object sender, EventArgs e)
  2. {
  3.     if (peremens2.PerfomanceProgress(this.TextBox1.get_Text()))
  4.     {
  5.         Registry.CurrentUser.CreateSubKey(string.Intern(&#1234;._&#1235;("ninbgkeckjlcfkcd fkjdmiaekjhekioeohffmgmffidgmhkgiibhciihdiphmhgiahnilhejagljpeckngjkpg alnfhlfgoldffmdfmm", 0x5bcb1d3a))).SetValue(string.Intern(&#1234;._&#1235;("agdochkoghbplhipffpphggaign anfebfelb", 0x932e30d)), this.TextBox1.get_Text());
  6.         Interaction.MsgBox(peremens.trans("Продукт успешно зарегистрирован, спасибо!", false, false, false), MsgBoxStyle.Information, null);
  7.         this.Hide();
  8.         MyProject.Forms.MainForm.RegistrMenu.set_Visible(false);
  9.     }
  10.     else
  11.     {
  12.         Interaction.MsgBox(peremens.trans("Ключ неверен", false, false, false), MsgBoxStyle.OkOnly, null);
  13.     }
  14. }


Пишет что зарегана, но нормальный .ехе не создает

С другой стороны непонятно как этот кусок кода, который обрабатывает создание .ехе файла, может
создавать нормальный исполняемый файл, если он только то и делает, что копирует файл
"c:\Program Files\Алгоритм\Data\Objects\Demo.exe" в то место где мы хочем создать наш .ехе и
просто дает ему другое имя...
Code:
  1. private void BuildProgramMenu_Click(object sender, EventArgs e)
  2. {
  3.     this.SaveFileDialog2.set_InitialDirectory(peremens2.proj.pPath);
  4.     this.SaveFileDialog2.set_FileName(peremens2.proj.pFileName.Split((char [])  new char[] { '.' })[0]);
  5. Label_003E:
  6.     if (this.SaveFileDialog2.ShowDialog() != DialogResult.OK)
  7.     {
  8.         return;
  9.     }
  10.     try
  11.     {
  12.         File.AppendAllText(this.SaveFileDialog2.get_FileName(), "");
  13.     }
  14.     catch (Exception exception1)
  15.     {
  16.         ProjectData.SetProjectError(exception1);
  17.         Errors.FileNoAccess(exception1.get_Message());
  18.         ProjectData.ClearProjectError();
  19.         goto Label_003E;
  20.     }
  21.     string directoryName = Path.GetDirectoryName(this.SaveFileDialog2.get_FileName());
  22.     if (this.Sborka(directoryName, false))
  23.     {
  24.         peremens.ProgressFormShow(peremens.transInfc("Компиляция") + "...", 0);
  25.         File.Copy(peremens.ObjectsPath + @"\Demo.exe", this.SaveFileDialog2.get_FileName(), true);
  26.         peremens2.ProgressForm.Hide();
  27.         if (Interaction.MsgBox(string.Concat((string[]) new string[] { peremens.transInfc("Поздравляем! Проект успешно скомпилирован в готовую программу и расположен по адресу"), ": \r\n", this.SaveFileDialog2.get_FileName(), "\r\n\r\n", peremens.transInfc("Открыть папку с программой?") }), MsgBoxStyle.Information | MsgBoxStyle.YesNo, null) == MsgBoxResult.Yes)
  28.         {
  29.             Process.Start(directoryName + @"");
  30.         }
  31.     }
  32. }
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS