eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: ajax, Mravojad (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 533.8 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

Ранг: 34.1 (посетитель)
Статус: Участник

Создано: 13 августа 2009 15:07 New!
Цитата · Личное сообщение · #2

Никакой там фишки нету. Распаковывается любым вьюером памяти, т.к.полностью валидный образ висит именно там. Вся суть процедуры регистрации находится в трёх функциях.
ElapsedTime - проверка даты окончания ключа.
LoadProgress- генерация ID'а компа по данным из HKLM:
Hardware\Description\System\SystemBiosDate
Hardware\Description\System\SystemBiosVersion
PerfomanceProgress - а вот тут ксенокод поставил вилы из вермишели goto переходов. В принципе если отрефакторить, то можно разобрать, что именно он делает и обернуть часть алгоритма.


Ранг: 1997.4 (!!!!)
Статус: Модератор
retired

Создано: 13 августа 2009 17:37 New!
Цитата · Личное сообщение · #3

Вы шапку читали? Запрещены обсуждения любого рода. А вы что развели? Раз топик мало юзается, попервой ладно ещё, но вообще заканчивайте.

Ранг: 299.5 (наставник)
Статус: Модератор
CrackLab

Создано: 16 августа 2009 19:40 · Поправил: SReg New!
Цитата · Личное сообщение · #4

1. GSA AutoSoft Submit (6.35)
2. только .exe или прога с оф.сайта
3. 3,8мб
4. PEID---hardcore scan---LHA Archive *
5. DIE---(Borland Delphi 6-7)
6. .text .rsrc .idata .data

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 16 августа 2009 20:52 New!
Цитата · Личное сообщение · #5

SReg пишет:
GSA AutoSoft Submit (6.35)


PEiD
Themida/WinLicense V2.0.1.0 + [Hide from PE scanners Type2] -> Oreans Technologies * Sign.By.fly * 20080721 *

ProtectionID
Themida v2.0.1.0 - v2.0.6.5 (or newer) detected !

Ранг: 510.2 (!)
Статус: Модератор

Создано: 25 сентября 2009 00:43 · Поправил: sendersu New!
Цитата · Личное сообщение · #6

1. ADInstall 1.0
2. multi-up.com/145949
3. Размер 4.5 Мб
4. PEiD 0.95
Normal: Nothing found *
Hardcore: FSG v1.10 (Eng) -> dulek/xt -> (Microsoft Visual C# / Basic .NET) *
5. DiE 0.64
Borland Delphi [ver: x] | Object Pascal
Nothing found
6. Имена секций .text, .itext, .data, .bss, .idata, .tls, .rdata, .rsrc, .UPX0, .UPX1, .reloc
7. Entropy: 7.88 (Packed)

Upd: перезалил сюда - multi-up.com/147151 (уменьшено размер до 1.8 МБ)


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 25 сентября 2009 01:10 New!
Цитата · Личное сообщение · #7

sendersu пишет:
ADInstall 1.0

Зто Sentinel Keys

Ранг: 510.2 (!)
Статус: Модератор

Создано: 25 сентября 2009 08:15 New!
Цитата · Личное сообщение · #8

ClockMan
согласен
извините за нарушение пункта о дискусии, но я подразумевал .exe только (там не сент. конверт)

Ранг: 1.2 (гость)
Статус: Участник

Создано: 26 сентября 2009 14:57 New!
Цитата · Личное сообщение · #9

1. Чья-то программа mf100ks.exe
2. rapidshare.com/files/285205964/prg.zip.html
3. 1.2 Мб
4. PEiD 0.95
Nothing found *
5. DiE 0.64
Borland Delphi | Object Pascal
Nothing found
6. Имена секций (взято из DiE): .oouccu, .wrbphw, .idata, .rsrc
7. Entropy of file (DiE): 99.019 (packed)


Статус: Пришелец

Создано: 26 сентября 2009 16:08 New!
Цитата #10

zeffer
Будь добр, зазеркаль куда-нибудь. Депозит, ifolder.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 26 сентября 2009 16:39 New!
Цитата · Личное сообщение · #11

zeffer пишет:
. Чья-то программа mf100ks.exe 2. rapidshare.com/files/285205964/prg.zip.html3. 1.2 Мб4. PEiD 0.95Nothing found *5. DiE 0.64Borland Delphi | Object PascalNothing found6. Имена секций (взято из DiE): .oouccu, .wrbphw, .idata, .rsrc7. Entropy of file (DiE): 99.019 (packed)

Похоже на пеп и там борландС

Ранг: 1.2 (гость)
Статус: Участник

Создано: 26 сентября 2009 19:45 New!
Цитата · Личное сообщение · #12

progopis пишет:
zefferБудь добр, зазеркаль куда-нибудь. Депозит, ifolder.

с удовольствием - link_deleted_by_forum_engine/files/4rfbh86n2
ifolder.ru/14193766


Статус: Пришелец

Создано: 30 сентября 2009 23:48 · Поправил: Модератор New!
Цитата #13

zeffer пишет:
1. Чья-то программа mf100ks.exe

Private exe Protector. Хотя ответ уже дал pavka

Ранг: 0.4 (гость)
Статус: Участник

Создано: 25 ноября 2009 20:16 · Поправил: waza123 New!
Цитата · Личное сообщение · #14

1. atsurround v1.00 (only dll file: foo_dsp_atsurround.dll )
2. http://ifolder.ru/15157173
3. 889kb
4. Unknown
5. Unknown
6. wtf?
7. wtf?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 25 ноября 2009 20:31 New!
Цитата · Личное сообщение · #15

waza123
По ходу ни чем

Ранг: 134.8 (ветеран)
Статус: Участник

Создано: 11 декабря 2009 14:50 New!
Цитата · Личное сообщение · #16

1 Самодел форма, кнопка
2 rapidshare.com/files/319358595/Subzh.rar.html
3 10Кб
4 Nothing found *
5 Nothing found
6 .code.text.rdata.data.rsrc


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 11 декабря 2009 15:08 New!
Цитата · Личное сообщение · #17

ничем не запаковано, это троян

Ранг: 134.8 (ветеран)
Статус: Участник

Создано: 11 декабря 2009 16:42 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #18

BoRoV пишет:
ничем не запаковано, это троян

Это 100% не троян, паковки походу и правда нет, но код как-то запутан (из самой проги скорее)

Не могу удалить этот пост...

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 11 декабря 2009 18:05 New!
Цитата · Личное сообщение · #19

VOLKOFF пишет:
Это 100% не троян

И что же это, если не троян?
www.virustotal.com/ru/analisis/96ab491c8fc454f8aa8304b30aef7eb38b32b23c15485781827a0b474445fd05-1260543861

Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 11 декабря 2009 18:26 New!
Цитата · Личное сообщение · #20

VOLKOFF пишет:
паковки походу и правда нет, но код как-то запутан (из самой проги скорее)

Ну на самом деле по таким признакам можно характиризовать наверное большинство троянов.

Ранг: 134.8 (ветеран)
Статус: Участник

Создано: 11 декабря 2009 18:39 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #21

Раз уж пошло немного не по правилам топика, я все же отвечу.
Это есть то, чем кажется - простое окно с простой кнопкой и еще одно окно с кнопкой.
Болше ничего.
Предыстория:
Volkoff писал(а):
Конечно и это не представляет никакой сложности для ручной распаковки


Оппонент пишет:
Ага, ну да!
Тогда попробуй получи оригинальный файл проги из вложения.

Вредоносного кода 101% нет. Написана на пурике.

Ранг: 6.4 (гость)
Статус: Участник

Создано: 29 декабря 2009 08:15 New!
Цитата · Личное сообщение · #22

1. l2serverx64-dll.dll (что-то из серверного софта для Lineage)
2. rghost.ru/768022
3. 1.7 МБ
4. Not a valid PE file
5. Not a valid PE file
6. .koyvjm .qyjsr .cubqm .zdjqn .kzfa .jvhtq .bnwf .zfpxjw .ulfc .wsbtl .ntxlzg .dkehb
7. Not a valid PE file
ProtectionID говорит [!] Armadillo *Unknown Version* detected !

Ранг: 617.3 (!)
Статус: Участник

Создано: 29 декабря 2009 12:40 · Поправил: Vovan666 New!
Цитата · Личное сообщение · #23

Jim DiGriz пишет:
ProtectionID говорит [!] Armadillo *Unknown Version* detected !

Так и есть армадила 6.x-7.x.


Статус: Пришелец

Создано: 29 декабря 2009 15:01 New!
Цитата #24

Jim DiGriz
64 битная армадила.

Ранг: 0.5 (гость)
Статус: Участник

Создано: 29 декабря 2009 22:19 New!
Цитата · Личное сообщение · #25

1. WordPress Blog Installer 21.01
2. slil.ru/28422606
3. 6,30 МБ
4. Nothing found [Overlay] *
5. Nothing found | Microsoft Visual C++
6. .text .rdata .data .rsrc
7. Bytes: 6609219 ; Entropy: 78,286


Ранг: 147.7 (ветеран)
Статус: Участник
sv_cheats 1

Создано: 29 декабря 2009 22:43 New!
Цитата · Личное сообщение · #26

MO0 пишет:
1. WordPress Blog Installer 21.01

ничем


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 30 декабря 2009 14:21 New!
Цитата · Личное сообщение · #27

1.ex4_to_mq4_decompiler
2.ex4_to_mq4_demo.exe
3.5397kb
4.UPolyX v0.5 *
5.Borland C++/C++. Nothing found
6..text.data.tls.rdata.idata.edata.muma1.muma0.muma2.muma3.rsrc
7. Энтропия - 98,095

В Ольку не загружается, сразу убивает ее, даже крипторовскую сборку. Других инструментов сейчас нет. Хотелось бы получить распакованный рабочий экзешник.

Ранг: 617.3 (!)
Статус: Участник

Создано: 30 декабря 2009 14:38 New!
Цитата · Личное сообщение · #28

stahh пишет:
1.ex4_to_mq4_decompiler

похоже что-то из семейства фимидовских (хотя могу и ошибаться).
чтоб запускалась нужно обновить DBGHELP.DLL (в папке олькой) на последнюю версию.


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 30 декабря 2009 15:05 New!
Цитата · Личное сообщение · #29

stahh пишет:
ex4_to_mq4

на неё всегда vm прот вешали


Ранг: 1997.4 (!!!!)
Статус: Модератор
retired

Создано: 30 декабря 2009 19:37 New!
Цитата · Личное сообщение · #30

И сейчас вмпрот, судя по секциям. Я где-то выкладывал анпаканый в какой-то теме.


Ранг: 76.9 (постоянный)
Статус: Участник

Создано: 25 января 2010 20:28 New!
Цитата · Личное сообщение · #31

1. ASI Pro - 1.60
программа (многооконка l2.ru), позволяющая запустить N+ окон с опциями.
2. www.multiupload.com/L3CMZBTOPL
3. 3.13 MB
4. UPolyX v0.5 *
5. Borland Delphi | Object Pascal; Nothing found
6. CODE; DATA; BSS; .idata; .tls; .rdata; .vmp0; .rsrc; .vmp1; .vmp2; .reloc
7. 7.88 (Packed)

P.S.
Все анализаторы молчат, как партизаны. Это VMProtect, но хотелось бы узнать поточнее, какой версии?
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS