http://cracklab.ru/f -> Протекторы -> "Чем упаковано"

Bad_guy	23.02.2008 22:26:00
Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь. Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...). Что здесь допускается? Вопросы по форме: 1. Точное название программы с указанием версии 2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру). 3. Размер архива 4. Информация из PEiD ( http://cracklab.ru/PEiD-0.94.rar ) 5. Информация из DiE ( http://cracklab.ru/DiE-0.64.rar ) 6. Имена секций модуля 7. Энтропия Ответы по форме: 1. Протектор/пакер 2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее. 3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно). Что здесь категорически не допускается? - Ссылки на крякми и другие поделки авторов поста. - Готовые решения (распакованные файлы, пароли, патчи, кейгены...). - Благодарности. - Повторы вопросов или ответов. - Обсуждения любого рода!!! Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения. Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик. Пожелания по топику - через личные сообщения модераторам. Будут удаляться все посты, отступающие от форм. За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP. С уважением, модераторы форума CRACKL@B
vasya_pupkin	04.03.2008 01:38:24
1: ShardSecurity 2: http://www.warcraftworld.ru/files/wow_tot.rar 3: 2M 4,5: peid: armadillo v4.x (неверно) die: microsoft visual basic (неверно) 6: .loader .text .text2 .rdata .data 7. bytes: 83148 entropy index: 98
Isaev	06.03.2008 09:11:57
vasya_pupkin Microsoft Visual C++ | C/C++
Spirit	06.03.2008 11:34:01
vasya_pupkin Microsoft Visual C++ 8.0
vasya_pupkin	08.03.2008 04:05:21
Spirit пишет: Microsoft Visual C++ 8.0 я имел в виду не wow_tot.exe (это патченый клиент world of warcraft) а ss_launcher.dll
Spirit	10.03.2008 10:20:48
vasya_pupkin интересная либа... Собственно либо она не накрыта ничем (т.к. энтропия в норме), либо накрыта самопальным криптером с shardsecurity.com. Напоминает экзешник от радмина... Судя по линкеру и по импорту, написанна на Microsoft Visual C++ 6.0.
zimmwarrior	10.03.2008 12:42:28
1: K-Client 2: http://rapidshare.com/files/98377349/client.rar 3: 249 KB 4: Borland Delphi 6.0 - 7.0 [Overlay] 5: Borland Deplhi | Object Pascal 6: CODE DATA BSS .idata .tls .rdata .reloc .rsrc 7: bytes: 335752 entropy index: 92,839
VaZeR	10.03.2008 12:46:29
zimmwarrior Это чистый Borland Delphi, файл не чем не упакован.
zimmwarrior	10.03.2008 12:57:09
Не может быть... Прога на C# написана это я точно от авторов знаю...
Spirit	10.03.2008 13:06:17
zimmwarrior Borland Delphi >=10 .Net application Ничем не пакован.
stlay	27.04.2008 18:10:57
1.ruffroseN.bin - файл 2. http://webfile.ru/1906466 файл не либа и не исполняемый 3.508 байт 4.- 5.- 6.- 7.-
v0id2k	27.04.2008 18:17:21
stlay С чего ты взял что он запакован =\ Загляни внутрь файла с помощью любого хэкс редактора и увидишь слудущие строки: Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00000090 00 52 6F 73 65 4F 6E 6C 69 6E 65 .RoseOnline 000000A0 2E 65 78 65 04 18 1C 9A 08 00 4C 6F 67 6F 2E 64 .exe...љ..Logo.d 000000B0 64 73 45 20 22 A3 0B 00 6C 69 62 63 75 72 6C 2E dsE "Ј..libcurl. 000000C0 64 6C 6C 9E 3E 3D B2 09 00 7A 6C 69 62 31 2E 64 dllћ>=І..zlib1.d 000000D0 6C 6C 86 75 E5 45 09 00 54 52 6F 73 65 2E 65 78 ll†uеE..TRose.ex 000000E0 65 F5 92 F1 73 15 00 53 43 52 49 50 54 53 2F 47 eх’сs..SCRIPTS/G 000000F0 4C 4F 42 41 4C 53 43 52 2E 4C 55 41 4B C8 EF 95 LOBALSCR.LUAKИп• 00000100 1C 00 53 4F 55 4E 44 2F 42 47 4D 2F 68 61 6C 6C ..SOUND/BGM/hall 00000110 6F 77 65 65 6E 74 68 65 6D 65 2E 6F 67 67 C7 7B oweentheme.oggЗ{ 00000120 07 4B 1D 00 53 4F 55 4E 44 2F 42 47 4D 2F 6A 75 .K..SOUND/BGM/ju 00000130 6E 6F 6E 5F 61 64 76 70 6C 61 69 6E 73 2E 6F 67 non_advplains.og 00000140 67 B6 67 EB B3 1A 00 53 4F 55 4E 44 2F 42 47 4D g¶gлі..SOUND/BGM 00000150 2F 54 6F 77 6E 30 32 5F 6A 75 6E 6F 6E 2E 6F 67 /Town02_junon.og 00000160 67 20 D8 F0 16 0F 00 52 75 66 66 50 72 6F 74 65 g Шр...RuffProte 00000170 63 74 2E 65 78 65 9C F6 C3 D9 14 00 53 43 52 49 ct.exeњцГЩ..SCRI 00000180 50 54 53 2F 54 55 54 4F 52 49 41 4C 2E 4C 55 41 PTS/TUTORIAL.LUA 00000190 42 60 B4 4C 1D 00 53 4F 55 4E 44 2F 42 47 4D 2F B`ґL..SOUND/BGM/ 000001A0 50 79 72 61 6D 69 64 30 31 5F 4A 75 6E 6F 6E 2E Pyramid01_Junon. 000001B0 6F 67 67 40 61 81 E5 18 00 53 4F 55 4E 44 2F 42 ogg@aЃе..SOUND/B 000001C0 47 4D 2F 54 6F 77 6E 30 31 5F 4F 72 6F 2E 6F 67 GM/Town01_Oro.og 000001D0 67 4E E4 49 84 0F 00 52 75 66 66 50 72 6F 74 65 gNдI„..RuffProte 000001E0 63 74 2E 64 6C 6C B4 3B 50 18 ct.dllґ;P.
tihiy_grom	27.04.2008 18:20:14
stlay пишет: 1.ruffroseN.bin - файл Ничем. Это скорее всего файл конфигурации
UzVeR	10.05.2008 11:33:18
Конвектор base64 Peid Not Found PiD тоже самое DiE Not Found Какой то прот точно не упаковщик. http://ifolder.ru/6497983
sER	10.05.2008 12:07:37
UzVeR очередной криптор/пакер которым паковали какие-то malware
VAD87	10.05.2008 12:19:51
UzVeR, вроде QuickPack NT
Assass1n	10.05.2008 13:34:47
VAD87 пишет: UzVeR, вроде QuickPack NT угу, он самый.
MACKLIA	10.05.2008 19:29:32
у меня Peid говорит - PE Win32 DLL (0 EntryPoint)
sER	10.05.2008 21:11:01
MACKLIA, так этот пакер на взгляд легко определить (он сливает всё в одну секцию + использует старый trick с 0 EntryPoint) в принципе клон кучи других. PS и распаковывается за 10 сек.
Assass1n	10.05.2008 21:26:17
Уважаемые ну я ж сам её паковал, там точно qpack, секция переименована с помошью CFF Expl. Там ещё и исходник прилагался...
r_e	21.05.2008 03:02:16
1. VCM Editor (HP Tuners) v2.1.6.0 2. Выслать могу по запросу (похоже, custom-билды под каждого покупателя) 3. 5.5 Mb 4. Nothing found 5. Compiler: Visual C/C++ | C/C++ | Heuristic: Nothing found (в том числе и все остальные методы) 6. Все слито в одну кучу - ".text 00001000 0041F000 00000200 00003B80 E0000020 c/b/i/r" 7. PEID: 3.20 (Not Packed) / DiE: Index 99.930 --> Packed Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.
serkuz	21.05.2008 05:55:42
1.VirusHunter_utilities (regpatch.dat и любой экзешник) 2.daxa.com.ua/rar/VirusHunter_utilities.rar 3.100кб 4.Not a valid PE file 5.Not a valid PE file 6.- 7.- regpatch.dat написан скорее всего на Borland C++,а остальные возможно это какой-то bat2exe,возможно 16битные проги?. Вроде утилиты для борьбы с вирусами,и все сделано цивильно(сайт,описание)
mozaxaka	23.05.2008 17:27:04
serkuz, не запакованы. 16-битные компилированные bat-ники
serkuz	23.05.2008 22:38:58
mozaxaka спасибо.А regpatch.dat? Если посмотреть блокнотом-можно увидеть Borland C.Или это просто 16битный экзешник?
DarkWolf	02.06.2008 20:29:38
1. Win32.Trojan.Radi / Win32:Dialer-1222, MD5=a8c7bbaaed29718c3c143e9f2ef21fbc 2. Google://dm_0233.exe ("не по форме", по понятным причинам) 3. 8kb 4. nothing 5. nothing 6. .flat 7. 7.08 (Packed) - потому что под криптором находится файл сжатый UPX-ом. Это какой-то говно-криптор, видел несколько несколько разновидностей троянов и прочей гадости, а также несколько разных вариантов stub'а. Секция всегда только одна, и всегда ".flat", import table отсутствует. Для этого stub'a сигнатура на entrypoint: 9031C391E8000000005883E809BAC804000001C289C352E8C10300006A03FF93DC0400 008D93CD02000052FF93CC040000CD03
Medsft	03.06.2008 16:41:53
1. IE Screenshot Pro 2.http://rapidshare.de/files/39563879/iescreenshotpro.dll.html 3.~600kb 4.Aspack 2.12
123456789	03.06.2008 17:41:25
А вот это: XXMA д › @F ) A Џ p‹  xњЭUПk\U>o’Ж±ЌљґҐE; запаковано в AMXX_Studio можно получить оригенал скрипта
BadM00nz	04.06.2008 22:54:18
1. Juva1d2d 2. --> Link <-- 3. 632 KB 4. ASPack 2.12 -> Alexey Solodovnikov 5. Heuristic: Nothing found, External Singn : ASPack 2.12 6. .ASPack .ASPack 7. Bytes: 652434 Entropy Index: 99.853 При ручной распаковки у меня складывается впечатление что это не совсем аспак 2.12 ...
v0id2k	05.06.2008 00:00:57
BadM00nz Там не ASPack. Похоже на RLPack с подменной сигнатурой ASPack.
pavka	05.06.2008 10:19:22
v0id2k пишет: Похоже на RLPack RLPack и похоже свежая версия ;) Вот анпакнутый , наскоряк . http://rapidshare.com/files/120204896/Juva1D2DU_.rar
v0id2k	05.06.2008 10:38:34
pavka Bad_guy пишет: Что здесь категорически не допускается? - Готовые решения (распакованные файлы, пароли, патчи, кейгены...). эм...)
sawers	06.06.2008 15:08:33
подскажите чем упакована прога ? Линк убит ввиду подозрения на сайт со сплоитами. Выкладывай на обменники, если надо. И предупреждай, что там малвара! если кто распакует вознагражу $$$ сделка строго через администрацию форума
4kusNick	06.06.2008 19:15:53
sawers Прошу прощения у модеров за оффтоп, но "Имеется информация о том, что сайт ХХХ используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован." (С) Firefox 3.0 А судя по поведению проги, она представляет собой фэйковый антивирь. Еще раз, уважаемые модеры, сорри за офф, не мог не сказать.
Medsft	07.06.2008 12:29:17
Ну а вот это к запросу sawers почитать на досуге http://www.pcthreat.com/parasitebyid-6848en.html
Sagart	07.06.2008 18:45:34
ОСТОРОЖНО!!! Вредоносное ПО!!! 1. Троянская прогамма (возможно семейство OnlineGame или AutoRun) 2. http://rapidshare.com/files/120770813/pack.rar.html (содержит файлы и описание) 3. Размер архива: 220 KB 4. Информация из PEiD: Nothing found [Overlay] * 5. Информация из DiE: Nothin found 6. Имена секций модуля: 3 безымянные секции. 7. Энтропия: 99,551 В архиве две троянские программы. Распаковка не занимает много времени, но ОЧЕНЬ интересно, что это за такой хитрый прот, и как он называется. Особенности протектора: В начале идёт несколько несложных полиморфных декодеров. Дальнейший код "разбавлен" инструкциями вида "call xxx", где xxx - адрес пустой функции ("push reg32, pop reg32, ret"). Протектор расшифровывает содержащуюся в нём DLL (trojan01_dll01._) и самостоятельно, прямо из памяти, имитируя действия Windows-лоадера, загружает её. Библиотека выполняет ряд проверок направленных видимо на противодействие эмуляторам антивирусов. Далее таким же образом извлекается ещё одна библиотека (trojan01_dll02._), которая получив управление извлекает и загружает в систему драйвер (trojan01_dll02_drv01._). Драйвер проверяет и восстанавливает SSDT. Если все проверки пройдены, управление передаётся на оригинальную программу (троянец). P.S. Key: cracklab.ru
mozaxaka	11.06.2008 06:33:10
1. SETOOL2 Unlock 2. Тыкать (если будет перекидовать, то по ней не надо жать, а сразу качать) 3. PEiD говорит Nothing found * 4. DiE говорит Nothing found 5. 8 секций CODE32 CONST32 npkf28ve wk2ujvn7 5t4czua1 .rsrc tylyl473 brzn27ud 6. Энтропия 99,288, хард скан показывает --> Packed --> Nothing found разработчики этой проги достали меня, первую версию Темидой защитили, а эту хрен знает какой
4kusNick	11.06.2008 11:18:17
По секциям напоминает ExeCryptor
PE_Kill	11.06.2008 14:14:04
mozaxaka там EXECryptor последний, если интересует защита то там SmartCard, если не имеешь ключа то даже и не суйся ;).
SYNAPSiS	14.06.2008 13:38:58
1. HTML Executable 3.3.1 2. --> Link <-- 3. 1,75 MB, сама прога 11,4 MB 4. Nothing found [Overlay] * 5. Borland Delphi [ver: x] | Object Pascal 6. Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed: .codex 00001000 005B5000 00000200 00000200 E0000020 code .codex 005B6000 00207CAA 00000400 00204225 E0000020 d/t/e/i/r 7. 8.00 (Packed) Видимо какой-то самопальный пакер, нехило палит олли, у меня запустилость только под фантомом, детектит обычные бряки, так что лучше хардварными пользоваться, но найти оеп просто: 00BB783A -E9 C589BDFF JMP HEBuild.00790204 ; jump to oep Одно хорошо - импорт девственно чист Также есть что-то вроде кодсплайсинга, например тут 004054B6 . 57 PUSH EDI 004054B7 .- E9 94AFE300 JMP dumped__.01240450 004054BC . 85C0 TEST EAX,EAX Можно сдампить эту секцию и прилепить к дампу, но еще останутся места где 01241C98 8B0D 140A3F00 MOV ECX,DWORD PTR DS:[3F0A14] вот с этим хз как бороться
Archer	14.06.2008 15:25:25
АСПР там старый, вроде, с ОЕП спёрты стандартные 3 байта. Указанное место-просто защита от дампа, походу. Если реально аспр-можешь попробовать прогнать через стриппер или восстановить, по сути это просто спёртые инструкции, вынесенные в аллоканную память, заметаморфленные и соединённые джампами с кодом.
Gideon Vi	19.06.2008 05:58:46
1. NFOviewer v2.1 2. _http://shup.com/Shup/46548/4.rar 3. 78.5 кб 4. 5. Ничего 6. Насколько я понимаю, имена "мусорные" 7. Паковано, однозначно
pavka	19.06.2008 08:43:57
Gideon Vi пишет: NFOviewer v2.1 farbrauschPE by werkkzeug толи поляки то ли чехи делают типа kkrunchy 004013BD 68 A0714000 PUSH NFOviewe.004071A0 ; ASCII "THETA NFO Viewer v2.1" OEP 004013C2 6A 00 PUSH 0 004013C4 6A 00 PUSH 0 004013C6 E8 E5090000 CALL NFOviewe.00401DB0 ; JMP to kernel32.CreateMutexA 004013CB E8 0A0A0000 CALL NFOviewe.00401DDA ; JMP to ntdll.RtlGetLastWin32Error 004013D0 3D B7000000 CMP EAX,0B7 004013D5 75 1D JNZ SHORT NFOviewe.004013F4 004013D7 68 10100000 PUSH 1010
Av0id	24.06.2008 17:45:05
1. myac client v1.5.0 2. http://www.cyberplay.ru/files/myAc_1.5.0_pro.rar 3. 1.65 MB 4. PEiD - Nothing found * 5. DiE - Nothing found 6. CODE, DATA, BSS, .idata, .tls, .rdata, .myac0, .rsrc, .myac1, .myac2 7. entro: 92 020 не поверю чтобы автор написал свой прот
trouble	27.06.2008 09:43:33
1. PSD Delphi String Protect v2.1 2. http://www.petrosod.com/fclick/fclick.php?ad=3 3. 342 4. PEiD: Nothing found * 5. DiE: ASPack 2.12 6. НЕт 7. Возможно сама собой упакована.
Vovan666	27.06.2008 10:49:02
trouble пишет: 5. DiE: ASPack 2.12 Он и есть, только вроде версия другая или слегка модифицирован. 0048FD64 55 PUSH EBP ; OEP 0048FD65 8BEC MOV EBP,ESP 0048FD67 83C4 F0 ADD ESP,-10 0048FD6A B8 FCFA4800 MOV EAX,dsp.0048FAFC
gegter	27.06.2008 11:53:53
trouble 100% ASPack 2.12 -> Alexey Solodovnikov add: oep тупо модифицировано
trouble	27.06.2008 12:01:54
v0id2k Я не спорю что это ASPack 2.12, но что не слегка модифицирован так это точно. Запускал DeFixed'om, так там строки все спрятаны, возможно пер ASPack 2.12 сделали защиту строк.
v0id2k	27.06.2008 12:05:54
trouble итить. ты описание программы прочитал бы для начала, для чего она предназначена = ЗЫ: про детект крэк утилит только не спрашивай следущим постом, он там есть. ЗЗЫ: 004813B4 - вот адрес процедуры детекта, чтобы не плодородил запросов больше =\
Djeck	27.06.2008 14:26:00
v0id2k пишет: описание программы прочитал бы для начала ....или бы просто название программы внимательно прочитал Delphi String Protect
Archer	27.06.2008 16:57:06
Вы правила читали? Всех троих сейчас могу отправить в баню. Поскольку топик не слишком ходовой, пока не буду. Но варнинг всем троим постерам выше меня. Особенно траблу, во многих топиках не очень осмысленные посты.
Thrasher	17.07.2008 10:47:01
2 trouble.. Про PSD Delphi String Protect v2.1... Думаю что это был PECompact... В аттаче распакованый файл - dsp_unpack.zip
sergvia	25.07.2008 21:10:00
1. Karaoke 2. караоке player 3. Программа Автор неизвестен 4. размер в архиве - 6117 KB 5. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) 6. ssv1@hotmail.com http://rapidshare.com/files/132404825/KaraokeBar.rar http://rapidshare.com/files/132448755/Sentinel_Keys_Driver.rar
zxcZXC	25.07.2008 21:24:06
видать самопальный упаковщик.даже стринги открыты.может я ошибаюсь...
tihiy_grom	26.07.2008 00:02:36
sergvia пишет: Karaoke Там накрыто ключиком Sentinel. Фиг знает какая версия у ключа. И неплохо было бы иметь оригинальный донгл к проге. Добавлено По-моему тебе в запросах лучше добавить примечание "за слом заплачу БАБЛО" ;) Или обратиться к BfoX или Larry
www23	27.07.2008 00:24:13
1 vag-rus 7 2 4.131mb 3 PEiD: Nothing found * 4 DiE: Nothing found * 5 .text .rdata .data .reng .rrus .rsrc .VAGRUS0 .VAGRUS1 6 Паковано, однозначно http://rapidshare.com/files/132685973/Vag-Rus_7.0.exe.html
pavka	27.07.2008 03:44:57
www23 пишет: Паковано, однозначно PcGuard всегда был навешан Хотя судя по секциям это репак Выложи отдельно екзешник
www23	27.07.2008 11:33:14
http://rapidshare.com/files/132782144/1.rar.html 2290mb exe +dll vag-rus 7 00AD42C5 /. 68 D8BFDCCE PUSH CEDCBFD8 -ep 00AD42CA |. E8 D4DB0400 CALL 00B21EA3 00AD42CF |. 68 D63F0EB3 PUSH B30E3FD6 00AD42D4 |. E8 69D90400 CALL 00B21C42 00AD42D9 |. A6 CMPS BYTE PTR DS:[ESI],BYTE PTR ES:[EDI] 00AD42DA |. 0C 46 OR AL,46 00AD42DC |. 15 710DF1D1 ADC EAX,D1F10D71 00AD42E1 |. BE 4B98A571 MOV ESI,71A5984B 00AD42E6 |. 306E 9E XOR BYTE PTR DS:[ESI-62],CH 00AD42E9 |. A9 9FD37862 TEST EAX,6278D39F 00AD42EE |. 2167 55 AND DWORD PTR DS:[EDI+55],ESP 00AD42F1 \. C2 9004 RETN 490 был навешан
pavka	27.07.2008 13:25:51
www23 Мне длл не надо у меня их навалом ;) сам екзешник он примерно под 900кб должен весить
www23	27.07.2008 14:22:20
http://rapidshare.com/files/132811466/VagRus.rar.html pavka вот
pavka	28.07.2008 06:27:49
www23 Это репак каким то самопалом ;) Сложного ни чего нет .Шибко мусорный прот как помойное ведро 0045F25B 55 PUSH EBP <-----OEP 0045F25C 8BEC MOV EBP,ESP 0045F25E 6A FF PUSH -1 0045F260 68 08454800 PUSH VagRus.00484508 0045F265 68 8CDA4500 PUSH VagRus.0045DA8C 0045F26A 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0045F270 50 PUSH EAX 0045F271 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0045F278 83EC 58 SUB ESP,58 0045F27B 53 PUSH EBX 0045F27C 56 PUSH ESI 0045F27D 57 PUSH EDI 0045F27E 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0045F281 E8 88115800 CALL VagRus.009E040E Таблика востанавливается скриптом var i_st var i_end var k var u var fn var chk var chku mov k,7c800000 mov u,77d30000 mov i_st,47D000 mov i_end,47D598 loop: cmp i_st,i_end ja quit cmp [i_st],0 je n mov fn,[i_st] mov chk,fn and chk,FFF00000 cmp chk,k je n mov chku,fn and chku,FFFF0000 cmp chku,u je n impproc: mov fn,[i_st] mov eax,fn exec ROR EAX,0A BSWAP EAX ROR EAX,19 NOT EAX BSWAP EAX NEG EAX ende mov fn,eax mov [i_st],fn add i_st,4 jmp loop n: add i_st,4 jmp loop quit: ret Остается только перебить ссылки типа call XXXXXXXX и Jmp XXXXXXXX на сответственые для компилера что то же без особого труда можно сделать так как адресация типа 009E0413 A1 30D24700 MOV EAX,DWORD PTR DS:[47D230] 009E0418 E9 012A0100 JMP VagRus.009F2E1E без особых проблем можно накатать скрипт
www23	28.07.2008 10:27:08
pavka Понял спс буду учить матчасть а на сайте у производителя написано ну очень трудно снять зашиту у них там VM и RSA880
pavka	28.07.2008 13:49:21
www23 пишет: на сайте у производителя написано ну очень трудно снять зашиту у них там VM и RSA880 Защиту я не смотрел но прот убогий до предела сделан на коленке
DJ VK	29.07.2008 14:14:29
Файл дампирован avz4, 1. zdoSo7dP.sys 2. [url=http://ifolder.ru/7506650 ]http://ifolder.ru/7506650 [/url] 3. Размер архива 33,5 КБ (34 305 байт) 4. ничего, (может быть upolyx 0.5), оверлей 5. Информация из DiE - не опознан как PE 6. Имена секций модуля 01 .text 02 .rdata 03 .data 04 PAGECODE 05 INIT 06 .rsrc 07 .reloc 7. не знаю чем считать энтропию, не нашел еще прогу.
4kusNick	29.07.2008 17:03:25
DJ VK Хм, интересный файлик... Энтропию можно в PEiD посомтреть: Entropy: 6.20 (Not Packed) EP Check: Packed Fast Check: Not packed Сигнатурный сканер грит: Nothing found [Overlay] * Скомпилино в визуал студии, линкер версии 7.10 Среди строк есть весьма интересные: .text:00012ED8 00000013 C ObOpenObjectByName .text:00012EEC 00000016 C ObOpenObjectByPointer .rdata:000173E0 0000001D C RtlPrefetchMemoryNonTemporal .rdata:00017CD8 00000023 C c:\slite\bin\fre\i386\dwshield.pdb PAGECODE:00019F46 00000007 C System PAGECODE:0001BEE8 00000005 C INIT PAGECODE:0001C546 00000010 C ClassInitialize PAGECODE:0001C99C 00000017 C KiSystemService(INT2E) PAGECODE:0001C9B4 0000001A C KiFastCallEntry(SYSENTER) PAGECODE:0001D392 00000016 C \SystemRoot\System32\ PAGECODE:0001D3AA 0000000A C ntdll.dll PAGECODE:0001D3B6 00000016 C \SystemRoot\System32\ PAGECODE:0001D3E6 00000006 C ServiceDescriptorTiptorTable PAGECODE:0001D3FE 00000017 C ZwProtectVirtualMemory PAGECODE:0001D416 00000013 C ZwTerminateProcess PAGECODE:0001D42A 0000000B C ZwFlushKey PAGECODE:0001F092 0000000E C IofCallDriver PAGECODE:0001F0A2 00000013 C IofCompleteRequest PAGECODE:0001F0B6 00000005 C INIT PAGECODE:0001F32C 00000005 C INIT PAGECODE:0001F59A 00000005 C INIT В экспорте функция start: INIT:000233A2 public start INIT:000233A2 start dw 0 INIT:000233A4 dd 317h dup(0) INIT:00024000 dd 20h dup(?) INIT:00024000 INIT ends =) мож пригодится инфа...
pavka	31.07.2008 11:17:58
www23 пишет: ну очень трудно снять зашиту у них там VM и RSA880 Хм.. чет посмотрел а какая защита там? чего? Защита от лохов, что бы не поняли что их надувают. Этот файл что у тебя полная липа Ломаный переведеный репак и к стати это не прот а криптор какой то видимо приватный. Как снимать я уже сказал Bерсия файла 607.2.0.0 подается как семерка . Один из последних что я снимал с PCgurda 805.0.0.0
www23	04.08.2008 14:57:18
pavka да это я понял ресурсы руские можно воткуть в другой а с этим и не париться а с vagcom 805 снять то снял но не все там остаются секции шифрованые а запускаться запускаеться с оеп да кстати я эту типо VAGrus 7 до рабочего состояния не смог довести
pavka	04.08.2008 16:03:46
www23 пишет: 7 до рабочего состояния не смог довести Там в иат нужно добавить init exreme.dll С перебивкой прыжков можно не парится, достачно восстановить иат, тем скриптом что выкладывал и занопить обработку в процедуре переходников
www23	05.08.2008 11:42:57
pavka понял а 805 не подскажеш как её добить можно если можно конечно у меня шнур есть но от этой семерки если его воткнуть то скорей всего шнур сдохнет на 805 перепрошить можно конечно но у меня нет проггаматора под atmega 162 хотя странное дело прошивка его лежит в корне hcc178.bin и hc178.bin
pavka	05.08.2008 11:58:02
www23 пишет: 805 не подскажеш как её добить в каком смысле добить? распаковать?
www23	05.08.2008 18:58:51
pavka init exreme.dll добавил занопить обработку в процедуре переходников не понял где это
Vitus_2005	05.08.2008 20:02:42
1. Game.exe (+Game.ini), оба лежат в архиве 2. http://webfile.ru/2139872 3. 441 кБ 4. PEiD v0.94 Nothing found * 5. DiE 0.64 Borland Delphi | Object Pascal ORiEN 2.11 / 2.12 6. .bss .packed .rsrc .loader 7. Bytes=459264 Bits=3674112 Entro bits=3669683 Entropy Index=99,879 Дело в том что после распаковки UN'ORiEN 2.12 он все равно еще до фига декодирует, ставлю BP на CreateThread, а проге наплевать
pavka	06.08.2008 03:31:17
www23 пишет: добавил занопить обработку в процедуре переходников не понял где это зайди в переходник, любой кэлл или jmp и пробеги по ней можно в статике и найди команды ROR EAX,0A BSWAP EAX ROR EAX,19 NOT EAX BSWAP EAX NEG EAX они немного разбавлены мусором , их и убери нопами
Gideon Vi	06.08.2008 07:23:32
DJ VK пишет: Файл дампирован avz4, 1. zdoSo7dP.sys Не пойму, что ты ожидаешь увидеть на драйвере... VMProtect?
dermatolog	06.08.2008 07:54:25
DJ VK пишет: Файл дампирован avz4, 1. zdoSo7dP.sys Никто не будет разбираться в твоем огрызке, патамушта: 1. Если ты дампируешь дров после запуска, то из Image уже удалены все Discardable секции (в том числе и INIT в которой живет EntryPoint, импорт и релоки). Ресурсы кстати тоже ) 2. ImageBase в заголовке стоит оригинальная а не та, которая действительно была при дампе Image (аффтары avz4 еще до этого не додумались?). Соответственно все настраиваемые элементы кажут в адресное пространтсво дампа, а не Image.
www23	06.08.2008 13:43:45
pavka пишет: в каком смысле добить? распаковать? посмотри что получилось http://webfile.ru/2141555 0043C00B -E9 5903D800 jmp 11BC369h можно такое убрать ?
pavka	06.08.2008 16:06:52
www23 пишет: 0043C00B -E9 5903D800 jmp 11BC369h можно такое убрать ? побольше кода запости чет похоже ты напутал
www23	08.08.2008 13:28:27
pavka пишет: побольше кода запости чет похоже ты напутал вот 011E1027 68 6C191C01 PUSH 21_.011C196C 011E102C ^E9 D0B6FDFF JMP 21_.011BC701 011E1031 68 79331C01 PUSH 21_.011C3379 011E1036 ^E9 C6B6FDFF JMP 21_.011BC701 011E103B 68 CE3F1C01 PUSH 21_.011C3FCE 011E1040 ^E9 BCB6FDFF JMP 21_.011BC701 011E1045 68 B54B1C01 PUSH 21_.011C4BB5 011E104A ^E9 B2B6FDFF JMP 21_.011BC701 011E104F 68 38591C01 PUSH 21_.011C5938 011E1054 ^E9 A8B6FDFF JMP 21_.011BC701 011E1059 68 69681C01 PUSH 21_.011C6869 011E105E ^E9 9EB6FDFF JMP 21_.011BC701 011E1063 68 527A1C01 PUSH 21_.011C7A52 011E1068 ^E9 94B6FDFF JMP 21_.011BC701 011E106D 68 77811C01 PUSH 21_.011C8177 011E1072 ^E9 8AB6FDFF JMP 21_.011BC701 011E1077 68 17CF1C01 PUSH 21_.011CCF17 011E107C ^E9 80B6FDFF JMP 21_.011BC701 011E1081 68 49DA1C01 PUSH 21_.011CDA49 011E1086 ^E9 76B6FDFF JMP 21_.011BC701 011E108B 68 EDE01C01 PUSH 21_.011CE0ED 011E1090 ^E9 6CB6FDFF JMP 21_.011BC701 011E1095 68 99E91C01 PUSH 21_.011CE999 011E109A ^E9 62B6FDFF JMP 21_.011BC701 011E109F 68 78131D01 PUSH 21_.011D1378 ; Real entry point of SFX code 011E10A4 ^E9 58B6FDFF JMP 21_.011BC701 011E10A9 68 54311D01 PUSH 21_.011D3154 011E10AE ^E9 4EB6FDFF JMP 21_.011BC701 011E10B3 68 EA591D01 PUSH 21_.011D59EA 011E10B8 ^E9 44B6FDFF JMP 21_.011BC701 011E10BD 68 DB751D01 PUSH 21_.011D75DB 011E10C2 ^E9 3AB6FDFF JMP 21_.011BC701 011E10C7 68 807B1D01 PUSH 21_.011D7B80 011E10CC ^E9 30B6FDFF JMP 21_.011BC701 011E10D1 68 E6AB1D01 PUSH 21_.011DABE6 011E10D6 ^E9 26B6FDFF JMP 21_.011BC701 011E10DB 68 5FCE1D01 PUSH 21_.011DCE5F 011E10E0 ^E9 1CB6FDFF JMP 21_.011BC701 011E10E5 68 31F21D01 PUSH 21_.011DF231 011E10EA ^E9 12B6FDFF JMP 21_.011BC701 и вот 0043BFE8 E8 EAE60300 CALL 21_.0047A6D7 0043BFED 8BC8 MOV ECX,EAX 0043BFEF E8 BBE80300 CALL 21_.0047A8AF 0043BFF4 6A 00 PUSH 0 0043BFF6 68 F4010000 PUSH 1F4 0043BFFB 6A 01 PUSH 1 0043BFFD FF73 20 PUSH DWORD PTR DS:[EBX+20] 0043C000 FF15 C0A54A00 CALL DWORD PTR DS:[<&user32.SetTimer>] ; USER32.SetTimer 0043C006 E8 7B1A0000 CALL 21_.0043DA86 0043C00B -E9 5903D800 JMP 21_.011BC369 0043C010 5C POP ESP 0043C011 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command 0043C012 F5 CMC 0043C013 35 09D02520 XOR EAX,2025D009 0043C018 6D INS DWORD PTR ES:[EDI],DX ; I/O command 0043C019 8C0F MOV WORD PTR DS:[EDI],CS
www23	08.08.2008 13:38:46
pavka пишет: зайди в переходник, любой кэлл или jmp и пробеги по ней можно в статике и найди команды стормозил у тебя в скрипте это есть а с exreme.dll надо чтонибуть делать ? прога все равно падает правдо далеко уже таблика в порядке
pavka	08.08.2008 14:09:43
www23 пишет: а с exreme.dll надо чтонибуть делать ? прога все равно падает нет ничего не надо делать падает видимо потому что ты табличку не в родное место записал Я скриптом делал табличку без импрека www23 пишет: 011E1027 68 6C191C01 PUSH 21_.011C196C 011E102C ^E9 D0B6FDFF JMP 21_.011BC701 011E1031 68 79331C01 PUSH 21_.011C3379 011E1036 ^E9 C6B6FDFF JMP 21_.011BC701 011E103B 68 CE3F1C01 PUSH 21_.011C3FCE 011E1040 ^E9 BCB6FDFF JMP 21_.011BC701 011E1045 68 B54B1C01 PUSH 21_.011C4BB5 011E104A ^E9 B2B6FDFF JMP 21_.011BC701 011E104F 68 38591C01 PUSH 21_.011C5938 Это вм ;) хочешь разбирать , иду в руки и вперед
www23	08.08.2008 14:38:06
pavka пишет: нет ничего не надо делать падает видимо потому что ты табличку не в родное место записал Я скриптом делал табличку без импрека тем что выложил ? mov i_st,47D000 mov i_end,47D598 я его с оеп запускал он часть импорта на оборот зашифровывает
pavka	08.08.2008 14:46:34
www23 пишет: тем что выложил ? mov i_st,47D000 mov i_end,47D598 я его с оеп запускал он часть импорта на оборот зашифровывает нет конечно. Ты что не представляешь как выглядит сишная табличка?
www23	08.08.2008 23:03:57
pavka пишет: нет конечно. Ты что не представляешь как выглядит сишная табличка? нет
KocMoHaBT	10.08.2008 15:43:01
1 Radialix 2 версия 2.00 сборка 344 2 http://link_deleted_by_forum_engine/files/7127190 3 peid UPolyX v0.5 * 4 Die Armadillo x.xx 5 .text .itext .data .bss .idata .edata .tls .rdata .reloc .text1 .data1 .reloc1 .pdata .rsrc 6 Entropy 7.27 (Packed) EP Check Packed Fast Check Not Packed Вопрос: Если это Armadillo то какая версия? И с чего начать?
pavka	10.08.2008 17:22:21
KocMoHaBT по секциям вроде арма KocMoHaBT пишет: Если это Armadillo то какая версия? И с чего начать? проверь утилью вела
FrenFolio	10.08.2008 17:57:58
pavka пишет: проверь утилью вела KocMoHaBT !- Protected Armadillo Protection system (Professional) !- <Protection Options> Standard protection or Minimum protection !- <Backup Key Options> Fixed Backup Keys !- <Compression Options> Best/Slowest Compression !- <Other Options> !- Version 5.42 20-02-2008
tempread	10.08.2008 18:24:43
1. Зеленый путь 2006 2. Програvма из запросов на взлом. Предназначена для тестирования в автошколе. Подробное описание: [url=http://www.cracklab.ru/f/index.php?action=vthread&topic=10399&for um=2&page=49#16 ]http://www.cracklab.ru/f/index.php?action=vthread&topic=10399&forum=2 & page=49#16 [/url] 3. [url=http://upload.com.ua/get/900385384 ]http://upload.com.ua/get/900385384 [/url] 4. 4,04 MB 5. PEiD: Borland Delphi 6.0 - 7.0 6. При запуске сообщается об отсутствии лицензии и завершается. 7. ПМ или в этой теме Пару своих слов: в программе есть добавленные секции, есть VM,которая не обфусцирована, насчитал около 70 опкодов. Под VM очень большие куски кода. Первый вход в VM: 004AE44C . 68 96A65500 PUSH ClassWin.0055A696; First jump to VM 004AE451 .^ E9 BC93FDFF JMP ClassWin.00487812
Archer	10.08.2008 18:39:46
tempread Судя по входу, похоже на вмпрот. KocMoHaBT По арме туторов хватает, тем более для минимальной защиты, там не менялось ничего с 4 версии.
dermatolog	10.08.2008 19:59:33
tempread пишет: Пару своих слов: в программе есть добавленные секции, есть VM,которая не обфусцирована, насчитал около 70 опкодов. Под VM очень большие куски кода. Первый вход в VM: 004AE44C . 68 96A65500 PUSH ClassWin.0055A696; First jump to VM 004AE451 .^ E9 BC93FDFF JMP ClassWin.00487812 VMProtect 1.22
KocMoHaBT	10.08.2008 21:21:08
Спасибо всем, кто ответил. По арме действительно туторов хватает, но они все разные... А случайно анпакеров (хороших) нет? Мои что-то не справляются. Надеюсь на помощь.
inf1kek	10.08.2008 23:15:26
armageddon
asser	10.08.2008 23:25:51
Распакуйте пожалуйста программу. AT4RE Hasher 1.0 Весит 123 КБ MoleBox V2.X -> MoleStudio.com [Overlay] * Вот ссыль, пароль 123 http://rapidshare.com/files/136368427/AT4RE_Hasher_1.0.rar.html
tihiy_grom	10.08.2008 23:46:30
Bad_guy пишет: Что здесь категорически не допускается? - Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
pavka	11.08.2008 03:42:00
asser unpacked http://slil.ru/26048690
KocMoHaBT	11.08.2008 18:20:35
inf1kek пишет: armageddon Пробовал армагеддон - неплохая вещь, но выдает сообщение: Parent PID: 1124 OEP VA: 004017D4 OEP RVA: 000017D4 Warning: OEP call return VA: 008E4EED is not from Armadillo VM!! Что посоветуют специалисты?
Archer	11.08.2008 21:15:25
Ну погоняй под другими анпакерами, DilloDie тот же. Специалисты посоветуют почитать туторы и подёргаться самому, туторов навалов, а минимальная версия даже не требует 2 процессов, там делов то... А если самому лень-напиши в запросы на взлом с пометкой только на распаковку.
marokko	12.08.2008 02:08:03
1. GameCam v2.1 2. --> Link <-- 3. 1,27 МБ 4. Nothing found [Overlay] * 5. Nothing found 6. .text .data .xcpad .idata .reloc .rsrc 7. Entropy: 5.80 (Not Packed) EP Check: Not Packed Fast Check: Packed
tihiy_grom	12.08.2008 02:16:12
marokko Хрен знает что это такое там внутри я так и не понял В общем в оле ставь hardware-бряк на адрес 428238, после того как тормознешься, делай дамп в petools. Вроде нормальный файл получается
marokko	12.08.2008 02:38:45
DiE говорит, что Compiler C++|C/C++ Делал русификаторы для 4 предыдущих версий этой программы (ресурсы были доступны для изменения), а вот с этой ничего не получается. Программа свежая и платная.
pavka	12.08.2008 03:19:00
marokko выложи на нормальный обменник
marokko	12.08.2008 04:04:29
--> Link <-- на рапиде
pavka	12.08.2008 06:06:13
marokko чет у меня при запуске выдает месагу "Game Cam failed to initialize because another program or instance has corrupted its memory space. Reboot your computer and try again." ну в принципе все понятно 00401812 3BFB CMP EDI,EBX 00401814 59 POP ECX 00401815 75 1D JNZ SHORT GameCamV.00401834 00401817 BE 10204000 MOV ESI,GameCamV.00402010 0040181C 68 E0104000 PUSH GameCamV.004010E0 ; UNICODE "There has been an error starting this virtual appliance. Error code: " 00401821 8BC6 MOV EAX,ESI 00401823 E8 E5000000 CALL GameCamV.0040190D 00401828 68 E8114000 PUSH GameCamV.004011E8 ; UNICODE "0x0006" 0040182D E8 A2000000 CALL GameCamV.004018D4 00401832 EB 12 JMP SHORT GameCamV.00401846 00401834 53 PUSH EBX 00401835 FF15 04A05A00 CALL DWORD PTR DS:[<&KERNEL32.GetM>; kernel32.GetModuleHandleW 0040183B FF7424 10 PUSH DWORD PTR SS:[ESP+10] 0040183F 56 PUSH ESI 00401840 50 PUSH EAX 00401841 FFD7 CALL EDI <-----------вход в VM.dll 00401843 83C4 0C ADD ESP,0C 00401846 6A 10 PUSH 10 00401848 68 F8114000 PUSH GameCamV.004011F8 ; UNICODE "Xenocode Virtual Appliance Runtime" 0040184D 68 10204000 PUSH GameCamV.00402010 00401852 53 PUSH EBX 00401853 FF15 38A05A00 CALL DWORD PTR DS:[<&USER32.Messag>; USER32.MessageBoxW 00401859 5F POP EDI 0040185A 5E POP ESI 0040185B 5B POP EBX 0040185C 8BE5 MOV ESP,EBP 0040185E 5D POP EBP дампить лучше здесь пока импорт не заполнен 00C59331 3BF3 CMP ESI,EBX <---Dump it 00C59333 74 07 JE SHORT 00C5933C 00C59335 8B4D D8 MOV ECX,DWORD PTR SS:[EBP-28] 00C59338 03F1 ADD ESI,ECX 00C5933A EB 06 JMP SHORT 00C59342 00C5933C 8B70 10 MOV ESI,DWORD PTR DS:[EAX+10] 00C5933F 0375 D8 ADD ESI,DWORD PTR SS:[EBP-28] 00C59342 8B78 10 MOV EDI,DWORD PTR DS:[EAX+10] 00C59345 037D D8 ADD EDI,DWORD PTR SS:[EBP-28] 00C59348 EB 76 JMP SHORT 00C593C0 00C5934A 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00C5934D 50 PUSH EAX 00C5934E E8 F42AFDFF CALL 00C2BE47 00C59353 C645 FC 17 MOV BYTE PTR SS:[EBP-4],17 00C59357 8B06 MOV EAX,DWORD PTR DS:[ESI] 00C59359 B9 00000080 MOV ECX,80000000 00C5935E 8BD0 MOV EDX,EAX
Jshade	13.08.2008 10:00:25
Подсобите плиз. 1. Электронный каталог автозапчастей Mitsubishi ASA 2. http://rapidshare.de/files/40224191/asa_min.rar.html (запакована mmData.dll, в архиве минимальный набор файлов для запуска) 3. 1.4 Mb 4. Microsoft Visual C++ 6.0 - 8.0 * 5. Nothing found 6. UPX0, UPX1, rsrc,text,adata,data,reloc,pdata 7. 7.38 (Packed) Запакована mmData.dll. В теле встречается строка 3.03 UPX! но upx и PEiD говорят что это не upx В дополнение при отсутствии некоторых ключей в реестре при запуске прога говорит "key expired" выдает Hardware fingerprint и просит ввести серийник(активация). !Есть большая уверенность что длл пропатчена и перепакована потому как оригинальная длл использовала Hasp HL , требовала хардварный ключик и не просила никаких активаций. Очень нужно именно распаковать dll, нужен доступ к коду экспортируемых ф-ий.
tihiy_grom	13.08.2008 10:30:16
Jshade В библиотеке mmData.dll вроде ничего нет, и экспортируемые функции в ней видны нормально. А вот в Asa.exe сидит Armadillo, так что тебе нужно искать валидную пару под HWID
Jshade	13.08.2008 12:20:39
tihiy_grom пишет: Jshade В библиотеке mmData.dll вроде ничего нет, и экспортируемые функции в ней видны нормально. А вот в Asa.exe сидит Armadillo, так что тебе нужно искать валидную пару под HWID вроде - это не значит что там ничего нет... мне нужны не экспортируемые функции а именно их код раскопать... А в asa.exe где ты нашел armadillo я чет так и не понял... вообще никак не запакован
Klever	13.08.2008 16:38:18
киген что-то подозрителен, раньше вроде эта команда не пользовалась таким пакером... - keygen.exe
vel	13.08.2008 20:28:03
Надеюсь, что когда-нибуть, можно будет увидеть, более профессиональные ответы.... mmData.dll запакована UPX и сверху накрыта Armadillo. Кто-то пустил мульку, что такую связку нельзя распаковать, и теперь так многие пакуют. Весь прикол в том что, распаковывается намного легче. Сперва снимаем Armadillo а затем UPX. И получаем девственный исходный файл. Для этого не надо знать HWID, name, key.
Runtime_err0r	28.08.2008 20:56:49
1. IRoNDooM v2.5 (hxxp://www.irondoom.ru/) 2. http://rapidshare.com/files/140844864/IRoNDooM.rar.html 3. 3217874 байт 4. Nothing found * 5. yoda's Protector 1.02 - 1.03.2 6. названия секций затёрты 7. Энтропия 7.92 (Packed) QuickUnpack выдал такую информацию: Quick self analyze.... unknown PESniffer EP Scan: MEW 11 SE v1.2 PEiD scanning... tElock 0.99 - 1.0 private -> tE! *
DarkWolf	28.08.2008 22:55:54
Runtime_err0r : Да, очень похоже на Yoda Protector. Перед оригинальным yP кодом добавили 2 безусловных перехода (jmp). Klever : Пакер прикольный, но ничего подозрительного (троёв) там не нашёл. OEP - 40d7d0.
ClockMan	29.08.2008 12:24:39
DarkWolfНезнаю с чего та взял что OEP 0040d7d0 ? У меня OEP 0040243C и фай запускаеться после расспаковки.
DarkWolf	29.08.2008 14:22:43
ClockMan : А если внимательно почитать - кому адресована вторая строчка? Я про кейген писал, а ты OEP ИронДоома указываешь...
Lomik	31.08.2008 01:46:06
Оформи запрос правильно
r99	31.08.2008 20:34:05
del
nope	22.09.2008 22:01:23
del
r99	23.09.2008 00:35:26
nope vmprot видимо
Archer	23.09.2008 20:57:57
С вероятностью в 95% вмпрот.
DrGolova	08.10.2008 00:27:40
Ога, на IRoNDooM.exe банальный Yoda Protect слехка моджифицированный парой jump'ов от пионэров. Сниматься соответсно должен элементарно. В том числе и generic анпакереми.
DrGolova	08.10.2008 00:45:01
Если быть точнее, то это Yoda Protect v1.02c. Нашел багу в распаковщике - перекосило последнюю секцию. Небольшая доработка рашпилем и вуалябля: http://stream.ifolder.ru/8462984
Release	08.10.2008 10:40:13
1. DWar 2. http://rapidshare.com/files/151950847/DWar.7z.htm 3. 3,419,840 4. Nothing found * 5. Nothing found 6. мусор (вообще рациональность требования этого пункта меня "смущает", ну да ладно) 7. 7.89 (Packed) Интересно именно что за пакер(прот) - уж больно гадит своими переходниками в основном коде и в своих секциях. Хотя может кто еще подскажет решение по восстановлению импорта будет замечательно. Собственно, импорт можно восстановить через скрипт для олли, но возможно есть более лучшее/интересное решение...
r99	08.10.2008 18:23:51
Release 7z
Release	09.10.2008 08:26:06
r99 пишет: Release 7z Ну, спасибо за очень нужный пост. А я то думал, чем это я запаковал ехе-шник, перед тем как выложить на рапиду.
r99	09.10.2008 10:20:39
Release Archer пишет: С вероятностью в 95% вмпрот.
k3internal	13.10.2008 08:05:02
Release WM Protect 100% =)))
Minvik	29.10.2008 22:17:16
1. Extractor 2. http://rapidshare.com/files/158763143/Extractor.rar.html 3. 300kb 4. Nothing found 5. Nothing found 6. .text .rdata .data .rsrc .tvm0 .tls .tvm1 .reloc 7. PUSH 2EEBE65E CALL 0048DE21 PUSHFD PUSH ESP CMP EBX, 00000003 PUSHAD LEA ESP, [ESP+28] JZ 0048A865 PUSHFD PUSHFD LEA ESP, [ESP+08] JMP 004879A9 Olly ее не берет, если честно чую что боян но здесь я не нашел упоминания об этом проте.
Archer	29.10.2008 22:34:26
Опять же, 97%, что VMProtect.
pavka	30.10.2008 10:00:46
Minvik пишет: 1. Extractor чет он не запускается не хрена на двух осях попробовал , по виду вроде похож на VMProtect
sendersu	08.11.2008 00:15:19
1. DLL - sc32lds.DLL, идет вместе с одной exe-кой (kg) написанной на VB6 2. http://rapidshare.com/files/160803676/sc32lds.DLL.html 3. 60 KB 4. PEID 0.95: ASPack 2.12 -> Alexey Solodovnikov 5. Die 0.64: Microsoft Visual C++ [ver x.x] | c/C++, External Sign: ASPack v2.12 6. секции: .ASPack .ASPack 7. Энтропия PeID095 - 7.82 (Packed), Die 0.64 - Entropy Index 97.393 PUSS подсказал что >>Dll-ка запакована RLPack 1.20 с ложной сигнатурой Aspack'а. Информация от ExeInfo PE 0.0.1.9C - Generic check : RLPack 1.20 with fake signature (интересно почему другие ошибаются, а ExeInfo нет...? хинт от проги говорит - >>try RL!dePacker from http://ap0x.jezgra.net пробовал на RLdePacker1.41 - не взял, джентельмены, помогите с распаковкой пож-ста.
pavka	08.11.2008 11:29:22
pavka пишет: запакована RLPack 1.20 Там под РЛпаком еще какая то фигня 00381000 C8 000000 ENTER 0,0 <---ep 00381004 837D 0C 01 CMP DWORD PTR SS:[EBP+C],1 00381008 75 1B JNZ SHORT sc32lds.00381025 0038100A E8 CE000000 CALL sc32lds.003810DD 0038100F 72 09 JB SHORT sc32lds.0038101A 00381011 B8 01000000 MOV EAX,1 00381016 C9 LEAVE 00381017 C2 0C00 RETN 0C 0038304C 7C80AC28 kernel32.GetProcAddress <---import 00383050 7C801D77 kernel32.LoadLibraryA 00383054 7C903151 ntdll.RtlMoveMemory 00383058 7C90311B ntdll.RtlZeroMemory 0038305C 7C809A81 kernel32.VirtualAlloc 00383060 7C809B14 kernel32.VirtualFree 00383064 7C801AD0 kernel32.VirtualProtect 00383068 7C80AA66 kernel32.FreeLibrary
Archer	08.11.2008 19:29:51
Помогать с распаковкой-это в топике на взлом, здесь ТОЛЬКО опознавать защиту. Возможно, не совсем логично, но это так.
pavka	09.11.2008 09:07:17
Archer пишет: ТОЛЬКО опознавать защиту. Именно это я и пытался сделать , к сожалению неудачноpavka пишет: Там под РЛпаком еще какая то фигня Archer: да это я не тебе, а автору поста выше
St_George	27.11.2008 06:27:25
С некоторых пор прога Налогоплательщик 2008 ver.12.29 упакована другим упаковщиком Кто может подсказать - как и чем его распаковать ??? ...... Вот ссылка на ехешник http://superstar.ifolder.ru/9282796
N_E_O	27.11.2008 16:31:05
Задача такая, надо русифицировать прогу Catt2 (http://ifolder.ru/9285619) 800 kB, но при сканировании файла CATT2.exe в PEiD пишет что "Not a valid PE file" в OllyDbg такая же проблема. Подскажите чем упакован файл и как его можно русифицировать? Заранее огромное спасибо!
Flint	28.11.2008 00:11:58
Чем паковано? 1) EX4-TO-MQ4 2) http://www.purebeam.biz/ex4_to_mq4_demo.exe 3) 6198Kb 4) Nothing found * 5) Nothing found 6) .text .data .tls .rdata .idata .edata .rsrc .muma0 .muma1 .muma2 7) 7.83 (Packed) на EP 00A7C62B PUSH 5C8AE62E 00A7C630 CALL 01068188 00A7C635 PUSH 1C44ED2E 00A7C63A CALL 01066F68 00A7C63F DB 1A 00A7C640 DB 05 00A7C641 DB A4
ClockMan	28.11.2008 05:14:36
FlintЭто VMProt
SWR	05.12.2008 20:46:42
Чем паковано? Total Uninstall http://www.martau.com/archives/Total-Uninstall-Setup-5.0.2.exe Довольно экстримальный прот. В импорте тока lstrcpynA. секций много и все с мусорным именем. при аттаче ольги прога терминируется (с сусером неработал). PEiD - обычная тема с UPolyX (бредит) DiE - не разобрал.
myronik	05.12.2008 21:40:29
1. l2walker.dll 2.09 2. http://rapidshare.com/files/170571685/l2walker.dll_2.09.zip.html 3. 2333 KB 4. Nothing found 5. Nothing found 6. .text .rdata .data .shd .rsrc .idata0 .idata1 .tls .idata2 .reloc 7. 7.91 (Packed)
progopis	05.12.2008 22:26:51
SWR Чем упаковано пока сказать не могу, но вроде OEP=618CA8. Код на OEP очень душевно обфусцирован и перенесён в другую секцию (на родном месте мусор). ВМ? [ASM]yatslafc:00AC7CCD push 679D1A7h yatslafc:00AC7CD2 jmp loc_0_901160 yatslafc:00AC7CD7 ; ---------------------------------------------------------------------- ----- yatslafc:00AC7CD7 push 679D2FFh yatslafc:00AC7CDC jmp loc_0_901160 yatslafc:00AC7CE1 ; ---------------------------------------------------------------------- ----- yatslafc:00AC7CE1 push 679D3CFh yatslafc:00AC7CE6 jmp loc_0_901160 yatslafc:00AC7CEB ; ---------------------------------------------------------------------- ----- yatslafc:00AC7CEB push 679D44Dh yatslafc:00AC7CF0 jmp loc_0_901160 yatslafc:00AC7CF5 ; ---------------------------------------------------------------------- ----- yatslafc:00AC7CF5 push 679D620h yatslafc:00AC7CFA jmp loc_0_901160 [/ASM]
Archer	05.12.2008 23:00:44
SWR Если секции мусорные-возможно, говнопрот, он же ExeCryptor. Но могу и ошибаться, сам файл не смотрел. myronik Судя по секциям, VMProtect. Тем более, что релизнули его, а автор вечно своё барахло накрывает потыреным софтом.
progopis	06.12.2008 00:01:58
Archer пишет: он же ExeCryptor Да это он. Вот цитата из WorldWide: |– Unpack ExECryptor ... | | |– Manual Unpacking Total Uninstall 3.7 Тема июльская, вряд ли бы они протектор сменили. Нашёл в теме про ExeCryptor: Remember I inlined Uninstall Tool (same soft producer) Этим протом что, все юнистал тулы накрывают?
Dem0n1C	06.12.2008 13:25:30
SWR вот http://cracklab.ru/f/index.php?action=vthread&topic=6273&forum=1&page= -1#
pavka	06.12.2008 15:58:22
progopis пишет: на родном месте мусор). В BMпротекте не просто мусор
progopis	08.12.2008 16:59:46
pavka Дык я не про VMProtect, а про ExeCryptor, и там действительно мусор. Причём не сразу на OEP, а чуть дальше код просто выдран, разбавлен мусором и перенсён в другую секцию. На исходном месте jmp на этот выдранный код, а за ним мусор. Эй! SWR, ты куда пропал?
cyb_fh	18.12.2008 12:42:29
Копался с прогой написанно на Visual Foxpro ... но не понятно чем упакованно ... Depomir http://www.depomir.ru/ Вот сцыла на exe http://rapidshare.com/files/174490540/DepoMir1.exe.html
SemDJ	20.12.2008 20:43:28
Overloud TH1 1.0.1 вобщем вроде прога написана Visual C, но при запуске отладчика, и при аттаче выскакивает экран смерти и идет перезагрузка, олька чистая с последним фантомом. При установке прога устанавливает какой-то драйверок, наверное в нем вся мутка. Жду полезных советов ссылка на прогу http://www.overloud.com/media/common/TH1%201.0.1%20Standalone%20PC.exe ссылка на экзешник http://www.shareua.com/files/show/2089801/TH1.rar.html
Yotun	20.12.2008 20:53:12
SemDJ Там Pace Anti-Piracy. Глянь сюда: http://www.cracklab.ru/f/index.php?action=vthread&forum=2&topic=13332
progopis	01.01.2009 23:28:05
St_George Там какой-то самопальный протектор. Такое ощущение, что навешивали его прямо патчем исходного файла. Суть такая - OEP не тронут, но сделан отдельно код который вызывается до OEP. Он патчит программу в месте, где вызывается GetProcAddress для DllWinMain. В итоге запускается не GetProcAddress, а некая функция (довольно большая), которая восстанавливает работоспособность файла в памяти. P.S. Снять реально. Но у меня пока не рабочие дампы. Сложность в том, что в память не грузится весь файл. Нужно отдельно прикручивать к дампу сам код программы. Добавлено: Новые факты. Попытался сделать патч, который делал для версии NP2006W и выяснил что код пошифрован. Соответственно, выяснил что импорт vfp9r.dll патчится (CreateFileA, CloseHandle) на некие функции, которые расшифровывают код. Думаю дальше обсуждать в этой теме не стоит. Если не справлюсь сам, сделаю новый тред.
pirowan	14.01.2009 23:48:54
Чем упаковано? 1.Blink Personal 2.http://rapidshare.com/files/183298795/b_l_ink.rar.html 3.534 Kb 4. Nothing found * 5. Nothing found 6. noname,noname,noname,Sectio%n 7.Entropy 98,732(die), 7,94(Peid)Packed.
SER[G]ANT	15.01.2009 02:27:05
2 pirowan Вроде как upx, а сверху скрамблер от Guru.exe
svr4	19.01.2009 17:41:39
1. Sam Broadcaster 4.3.6 2. http://rapidshare.com/files/186007663/SAMBC.7z.html 3. 4.78Mb 4. PKLITE32 v1.1 * 5. Borland Delphi | Object Pascal 6. CODE, DATA, BSS, .idata, h9emq5so, .tls, .rdata, bmau68jo, .rsrc, bg984ylu, q5fkb1e0 7. Entropy PEiD: 6.61 (Maybe Packed) DiE: 83.634 (Not packed)
Archer	19.01.2009 17:58:21
svr4 Судя по секциям, ExeCryptor-ом там накрыто нечто борландовское.
snaiper_nokia	20.01.2009 01:56:08
Здравствуйте! А чем прогу для Windows mobile запаковали сможете сказать? 1. SoftMaker Office 2008 Rev.494 2. http://link_deleted_by_forum_engine/files/lcidhu8hk 3. Размер архива: 4.50 MB 4. Nothing found * 5. PlanMaker.exe - not valid PE file! 6. .text 7. -
pirowan	20.01.2009 20:28:06
SER[G]ANT пишет :Вроде как upx, а сверху скрамблер от Guru.exe Однако при проходе по F8 айсом встречается куча гадости:SEH антиотладка,RDTS,код из IsDebuggerPresent(FS[...),проверкаCRC;после распаковки иXOR расшифровки OEP не изменяется,код по этому адресу модифицируется.В коде до распаковки встречаются куски мешающие дизасму(в ИДЕ их вручную данными можно представить) короче гемморой и явно не UPX,но что имеенно мне знаний мало Кстати эта дрянь грузит DLL перед стартом без системного загрузчика. Может встречал кто эту хрень?
helg1978	11.02.2009 03:45:29
File Name: AlwaysHot.resource Size: 344KB | Peid Not Found PiD тоже самое DiE Not Found Паковано http://www.sendspace.com/file/uxlyzf - пакованная либа http://www.sendspace.com/file/x3v8n5 - сам ехе-шник на всякий
RUNaum	27.02.2009 09:40:26
1. - 2. Rapidshare.com / Slil.ru 3. 1.91 Mb (zip) 4. PEiD: "tElock 1.0 (private) -> tE!" 5. DiE: "tElock 0.99" 6. .aspr|.aspr|.aspr|.aspr|.aspr|.aspr|.rsrc|.aspr 7. Упаковано Надо полностью распаковать. QUnpack (только через аттач к процессу) генерит нерабочий дамп, судя по всему из-за кривого восстановления таблицы импорта, исправить ситуацию не смог. Доподлинно известно что: 1. Пару версий назад данный файл палился рядом аверов (на самом деле безопасен, ругались за пакер), сейчас он чист, скорее всего вносились незначительные "модификации". 2. Запакован дельфовый EXE - 100%. 3. UNtElock 0.99 его не снимает
SER[G]ANT	27.02.2009 10:24:41
RUNaum Держи http://dump.ru/file/1919763
ChVL	28.02.2009 17:15:24
1. Total Uninstall 5.0.1 2. http://rapidshare.com/files/202755035/Tu.rar.html 3. 3.3 MB 4. PEiD не определяет.
WiaRd	28.02.2009 17:38:55
ChVL пишет: 1. Total Uninstall 5.0.1 Там Themida 2.0.5.0
van_gog	19.03.2009 02:21:07
1. Sakray 2. --> http://rapidshare.com/files/210873133/unpack.rar.html <-- 3. 1495 KB 4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) * 5. Heuristic: Nothing found, External Singn : nothing detected 6. atmptiqm, .rsrc, mxvpfyqj, holapqdp, brfotxzc 7. EntryPoint: 00120000 Не получается распаковать. Запакованый файл - rcp.dll.
mak	19.03.2009 15:44:58
van_gog Themida/WinLicense V2.0.1.0 + [Hide from PE scanners Type2] -> Oreans Technologies * Sign.By.fly * 20080721 *
Jupiter	19.03.2009 19:24:52
Oreans ID 1.1 [golds7n!LAG] --------------------------- rcp.dll was protected with themida/winlicense 2.030 ---------------------------
n00byc0der	23.03.2009 14:08:03
1. l2.exe 2. --> http://rapidshare.com/files/212508321/19_03_09_l2.exe.html <-- 3. 2,15 МБ (2 258 432 байт) 4. UpolyX 0.5 5. Themida / Xprotecter 6. uacevvul, .rsrc, ekeydbij, koqvhekd, cqfzfyjo 7. packed
SER[G]ANT	23.03.2009 14:34:14
n00byc0der Themida 2.0.5.0
yuzik	24.03.2009 02:24:27
1. File Name: main.exe 2. http://www.sendspace.com/file/1k5lg6 3. Size: 3852 KB 4. Peid: Not Found 5. PiD: Not Found 6. DiE: Not Found Паковано 100% Палит отладчик, автоанпакеры естественно не берут.
DarkWolf	24.03.2009 10:21:58
yuzik: Themida 2.0.6.5
Dem0n1C	25.03.2009 22:23:16
1. Commfort 4.20 2. http://www.izone.ru/internet/relations/commfort-download.htm 3. 6794 кб 4. PeID: Themida 1.8.x.x -> Oreans Technologies * 5. DIE: Themida 6. .rsrc .idata CFCL Что фима в курсе, но вот версия хз. Скрипт Themida + WinLicense 1.9.1.0 - 2.0.5.0 Unpacker v0.2.txt не дает никаких результатов. Пните плз в направлении где можн почитать про распоковку данной версии фимы
K_O_T	25.03.2009 22:40:33
Dem0n1C пишет: Что фима в курсе, но вот версия хз Версия - 2.0.6.5
igrekster	27.04.2009 23:23:20
1. eCtune 0.0.2.2 r1 2. http://rapidshare.com/files/226475454/eCtune.zip 3. 1.1M 4. Microsoft Visual C# / Basic .NET [Overlay] 5. Heuristic: Nothing found, Compiler: Microsoft Visual C++ | C/C++ 6. .text .reloc .rsrc 7. Entropy Index: 76.123 Используется какой-то .net обфускатор. Какой - я пока не в силах понять.
DarkWolf	28.04.2009 01:04:27
igrekster: Eziriz .NET Reactor, легко определить по наличию строчек типа: [ASM] ldstr "Can't find native library! Please install the native library to your local directory or to your system(32) directory." ldstr "'eCtune_nat.dll' not found!" [/ASM]
SemDJ	30.04.2009 00:30:36
1. RadioClicker PRO 7.1.2.2 2. Http://radioclicker.com/radioclicker-pro/download/rclicker pro_setup.exe 3. 4,28 МБ 4. Peid и другие анлизаторы не определяют ничего, но ясно что там .Net только не понятно чем упакована. Lizard Спасибо, че-то забыл о PROTECTiON iD v0.6.2.3
LIZARD	30.04.2009 01:28:44
SemDJ PROTECTiON iD v0.6.2.3 определил как Themida v2.0.1.0 - v2.0.6.5 (or newer)
deepred	04.05.2009 14:32:40
Собственно сам архив: СКАЧАТЬ Не могу понять, что там конкретно PECompact или PEBundle? Пытался распаковать, начало похоже на вышеуказанные пакеры, но дальше что-то не то. ClockMan, ё-моё, спасибо друже. А я сижу уже 3 часа и думаю, что защиту в PECompacte поменяли.
ClockMan	04.05.2009 14:52:11
deepredЭто RLPack
NoFate	05.05.2009 15:23:30
1. l2Divine 8.4.1 2. http://rapidshare.com/files/229405673/L2Divine.rar.html 3. 1,47Mb 4. PEiD: Linker Info: 2.25 First Bytes: 55,8B,EC,B9 Borland Delphi 6.0 - 7.0 [Overlay] yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] * 5. Borland Delphi | Object Pascal Heuristic: Nothing found 6. Sections: CODE, DATA, BSS, .idata, .tls, .rdata, .reloc, .rsrc 7. Entro Index: 99,379 Status: packed Detected: Nothing found Спасибо)
BoRoV	05.05.2009 16:33:26
это какое-то делфи юзающие .NET?! что за чудо?
SemDJ	05.05.2009 16:38:30
NoFate Там чистий Borland Delphi ( 2.0 - 7.0 ) 1992, ничем не накрыт.
NoFate	05.05.2009 16:45:26
Странно.. По идее должно тогда работать в Dis# или в .NET Reflector. Или я что-то не так делаю?
BoRoV	05.05.2009 16:49:08
у меня при запуске вылетает .NET ошибка, и начало файла c EntryPoint какое-то не Делфовское, но это делфи
ClockMan	05.05.2009 16:50:29
NoFateЭто Borland Delphi 6.0 - 7.0 [Overlay]Просто скарей всего в Overlay содержится бибблиотеки написаные на Net
NoFate	05.05.2009 16:51:20
Работает только с 3.5 , если не ошибаюсь. При попытке подсунуть в .NET Reflector или любой аналог ничего не происходит, в Reflector'e ошибка "doesn't contain a CLI header" Спасибо за помощь! ;)
NoFate	05.05.2009 16:55:16
Overlay отцепил с помощью плагина для PEiD, получилось на 1,3Mb с учетом того, что сам exe-шник на 1,56..
SemDJ	05.05.2009 17:02:53
NoFate кстати "PROTECTiON iD" показал dotNet Reactor v3.3 - v3.9 (or newer) protected ! не понятно вроде чистый делфи..... Reflector'e ошибка "doesn't contain a CLI header" У меня такая ошибка выскакивала, когда прога на .Net была накрыта фимой, так что полюбому чем-то запакована.
NoFate	05.05.2009 17:12:30
Пока успехом попытки не увенчались. Попробовал разные средства, VMUnpacker, stripper, Quick Unpack.. пока ничего вразумительного не получилось. Разве что дизасм
Archer	05.05.2009 17:45:31
Да будет вам известно, дельфи (с 2007, вроде) умеет генерить .нет приложения. Скорее всего, он и есть, просто ничем не покрыт, судя по секциям. Сам файл не смотрел ещё. Если будет время, гляну, скажу поточнее.
AndreyMust19	05.05.2009 22:04:46
Themida, Themida, Themida не проще ли сигнатуры добавить в PEid и не мучаться?
progopis	05.05.2009 22:10:26
AndreyMust19 Есть вещи, которые сложно определять сигнатурно. Но вот отдельную прогу-анализатор сделать вполне реально. Только кому оно надо?
NoFate	06.05.2009 11:48:01
AndreyMust19 : т.е. в итоге накрыто Themid'ой , затем заменена сигнатура? Как определили, если не секрет? Ни PEiD, ни его аналоги, про Themida точно ничего не заметили))
progopis	06.05.2009 12:55:53
Ещё один... Сказано же - не всё можно определить сигнатурными методами! А PEiD ничем кроме сигнатур не славится, хотя плагины под него написаны.
shadow_user	27.05.2009 15:57:59
Вижу что обсуждения запрещены но я хочу спросить. Правила соблюдать никак не хочешь? Побаню пока на сутки тогда
Vovan666	27.05.2009 16:06:47
CFF explorer-ом удали секцию и всё. Либо сделай Rebuild PE любым PE редактором.
xdiablo	04.06.2009 12:08:22
В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита. Причем, ничем не опознаваемая (PEiD) Сам ехе-шник упакован, но не полностью. Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он). Кому не сложно, посмотрите что за пакер, а? http://ifolder.ru/12467032 размер 2.5мб
Sunzer	10.06.2009 12:15:54
xdiablo пишет: В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита. Причем, ничем не опознаваемая (PEiD) Сам ехе-шник упакован, но не полностью. Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он). Кому не сложно, посмотрите что за пакер, а? http://ifolder.ru/12467032 размер 2.5мб Во первых нужны либы для запуска. Во вторых раз она новая откуда в PEID должны сигнатуры быть?
Archer	10.06.2009 17:15:42
Не запускается ни разу. Судя по секциям, ничем там не накрыто. Какие там места по-твоему поскрамблены? Или все должны шариться и искать, где же оно. Ещё и апает. Учитывая, что запрос не по форме ни разу.
AlexKlm	15.06.2009 15:36:35
Файл TOPOR.EXE версия файла 4.3.89.7 (программа для разводки плат для электроники) Страница скачивания http://www.eurointechТОЧКАru/index.sema?a=demos&pid=33 (> 11 МБ) PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++ Размер файла 3220 кб После запуска идет более 1000 АПИ вызовов: выделение памяти размером 972 кб (VirtualAlloc) много GetProcAddress потом 5 раз VirtualProtect (секции фиксирует наверное) потом переход на начало выделенной памяти. Вобщем память сдампил, получился очень похожий на настоящий PE файл, но пока не запускается. Не вникал в проблемы пока. Наводит на грусть то, что размер был 3.2 мб, а рабочий сдампленый кусок всего 972 кб. Вопрос такой. Если кто такой опыт имел, скажите пожалуйста, сможет ли работать сдампленый код (экзешник) или без родной части он не жилец?
Jupiter	15.06.2009 16:02:05
AlexKlm судя по цитате с сайта: Версия TopoR Lite отличается от полнофункциональной только ограничением на число цепей (до 125) и слоев (до 8) и позволяет сохранять проекты. Версия TopoR Demo не имеет ограничение на число цепей, обрабатывает до 8 слоев, но не позволяет сохранять или экспортировать проекты. чтобы не региться на сайте, выложи дистриб (или дай прямой линк) AlexKlm пишет: сможет ли работать сдампленый код (экзешник) или без родной части он не жилец? очевидно, ты чем-то не тем дампил попытай счастья с автоматическими распаковщиками армадиллы
progopis	15.06.2009 16:22:22
AlexKlm пишет: Наводит на грусть то, что размер был 3.2 мб, а рабочий сдампленый кусок всего 972 кб. Это нормально. AlexKlm пишет: PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++ Ну всё определилось. А позвольте узнать, причём здесь ЭТА тема?
AlexKlm	15.06.2009 22:34:56
progopis: ЭТА тема? - Я подумал что лишние сведения не повредят. Спасибо за ответ. Jupiter: чтобы не региться на сайте, выложи дистриб (или дай прямой линк) http://www.alexklmТОЧКАru/ru/misc/Setup_TopoR_Lite_4_3_89_07_man.exe Дампил я сам исходя из размеров выделяемой до этого памяти, кроме того я проверял память на непрерывность при помощи VirtulQuery, поэтому ошибка врядли возможна. Но всякое бывает.
Jupiter	15.06.2009 23:49:27
AlexKlm \BIN\TOPOR.EXE Protected Armadillo Protection system (Professional) <Protection Options> Standard protection or Minimum protection <Backup Key Options> Fixed Backup Keys <Compression Options> Best/Slowest Compression <Other Options> Version 6.40 11-02-2009
Archer	16.06.2009 19:38:26
Почитайте правила топика ещё раз: вопрос-ответ. А вы что тут развели? Завязывайте.
parasss	24.06.2009 11:53:58
1. Google Earth 5.0.11733.9347 2. http://narod.ru/disk/10217252000/googleearth.rar.html 3. ~6Mb 4. "Nothing found, done" 5. "Nothing found" 6: Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed: .text 00001000 00C769E1 00000400 00C76A00 60000020 code .rdata 00C78000 003F3EE1 00C76E00 003F4000 40000040 d/e/i .data 0106C000 000D3014 0106AE00 000A5600 C0000040 none CONST 01140000 0000001F 01110400 00000200 C0000040 none .rsrc 01141000 0000F590 01110600 0000F600 40000040 res Начальный пост с дополнительными деталями по вопросу - тут: http://cracklab.ru/f/index.php?action=vthread&forum=1&topic=14620 Благодарю.
NeoTall	24.06.2009 20:34:31
Google Earth - не упакован
parasss	25.06.2009 10:40:38
NeoTall пишет: Google Earth - не упакован ...тем не менее, антивири при проверке этого файла пишут "Generic packer and/or user-defined container", чего не пишут про обычные экзешники (в т.ч. и про GoogleEarth более старых версий). И они скорее всего правы, так как в составе этого файла есть кучи кода и функции, которые в ранних версиях GoogleEarth были в отдельных ДЛЛках рядом с экзешником. Например, сделайте текстовый поиск по этому файлу на стринг "evllp.dll" - Вы его не раз найдете, но этой DLL ОТДЕЛЬНО в составе данной версии нет, как нет ее и вообще в системе. Но тем не менее, всё работает. В предыдущей версии evllp.dll - была, лежала рядом с экзешником и была для него жизненно необходимой (без нее не работало). То же самое и еще с несколькими десятками мелких ДЛЛок, ранее лежащих отдельно от. Такое ощущение, что программа и жизненно важные ДЛЛки как раз и были утоптаны в один большой экзешник, разворачиваемый в памяти при работе. Если это не пакер - то возможно ли, что это новомодный thin client (ака контейнер виртуального приложения) или еще какая-нибудь подобная слабодизассемблируемая классическими методами лабуда типа .NET приложения или чего-то в этом роде? Спасибо.
NIXON-RED	27.07.2009 12:57:01
1. Jv16 PowerTools 2009 (1.9.0.552) 2. http://www.macecraft.com/downloads/jv16pt_setup.exe 3. 4.64мб 4. PEID---(UPOLYX v0.5*) 5. DIE---(Borland Delphi) 6. CODE,DATA,BSS,idata,tls,rdata,pt0 7. 7.93(Packed)
ClockMan	27.07.2009 13:35:06
DotFixNiceProtect версия походу прота последния P.S. надоже додуматься программу для работы с реестром накрыть такым"нехорошее слово"
wasmkv	12.08.2009 17:30:11
1. Алгоpитм 2.1 2. Минимальный набор для запуска (разм. 1.0 Мб, ехе+dll) --> здесь <--. Полностью инсталлятор (5,68 Мб) --> тут <-- 3. Размер архива 1.0 Мб 4. PEiD 0.95 Microsoft Visual C++ v6.0 DLL [Overlay] * 5. DiE 0.64 Microsoft Visual C++ | C/C++ Nothing found 6. Имена секций .text, .data, .xcpad, .idata, .reloc, rsrc. Name Virt.Size Virt.Address RawSize RawAddress Characteristics .text 00003С1Аh 00401000h 00003Е00h 00000400h 60000020h .data 00000428h 00405000h 00000000h 00004200h С0000040h .xcpad 0014А000h 00406000h 00000000h 00004200h 00000000h .idata 00000272h 00550000h 00000400h 00004200h 40000040h .reloc 000001A4h 00551000h 00000200h 00004600h 42000040h .rsrc 0000645Аh 00552000h 00006600h 00004800h 40000040h Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.
deepred	12.08.2009 18:01:37
По моему ничего необычного - обычный Microsoft Visual C++.
uncleua	12.08.2009 18:15:11
wasmkv пишет: 1. Алгоpитм 2.1 http://link_deleted_by_forum_engine/files/mjnv09s0x Прога, вроде как, и зарегисттрировалась, но при создании .exe ругается на недорегистрированность... Т.ч. надо смотреть еще где-то... P.S. Что-то непонятное, одним словом...
SVLab	12.08.2009 19:06:45
wasmkv пишет: Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка Сверху может быть загрузчик на C++. Обрати внимание на секцию .xcpad, возможно оттуда работает NET после того как секция заполнится.
Shad0vv	12.08.2009 21:18:15
там xenocod'ом покрыто http://rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.
wasmkv	12.08.2009 23:23:07
Shad0vv пишет: там xenocod'ом покрыто http://rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает. Уже и сам заметил, что там xenocod'ом покрыто, точнее каспер подсказал. Чем распаковывали интересно? Пишет что зарегана, но нормальный .ехе не создает и требует ключик при выходе. uncleua, Shad0vv спасибо за оперативность.
deepred	13.08.2009 00:05:44
Да, точно Xenocode. Я что-то ступил. Версия 7.0.162.
uncleua	13.08.2009 12:12:46
wasmkv пишет: Чем распаковывали интересно? Напишу здесь - может еще кому будет интересно... Я пошел, как оказалось, не самым сложным путем... Запустил после установки прогу и обратил внимание на то, что в процессах два экземпляра АЛГОРИТМ 2.exe - один поменьше и другой побольше... Сдампил\распаковал тот который побольше с помощью NETUnpack - получилось то что получилось - прога запускается, в рефлектор грузится, видно что там что-то делал или еще делает Xenocode. Регистрацию обошел в функции peremens2.PerfomanceProgress - она вызывается при обработке события нажатия на кнопку регистрации Demo.Button1_Click и при правильном серийном номере должна возвращать True... Но вся фишка, видимо, заключается в ключе реестра который создается в строчке Registry.CurrentUser.CreateSubKey() [ASM]private void Button1_Click(object sender, EventArgs e) { if (peremens2.PerfomanceProgress(this.TextBox1.get_Text())) { Registry.CurrentUser.CreateSubKey(string.Intern(Ӓ._ӓ("ninbgkeckjlcfkcd fkjdmiaekjhekioeohffmgmffidgmhkgiibhciihdiphmhgiahnilhejagljpeckngjkpg alnfhlfgoldffmdfmm", 0x5bcb1d3a))).SetValue(string.Intern(Ӓ._ӓ("agdochkoghbplhipffpphggaign anfebfelb", 0x932e30d)), this.TextBox1.get_Text()); Interaction.MsgBox(peremens.trans("Продукт успешно зарегистрирован, спасибо!", false, false, false), MsgBoxStyle.Information, null); this.Hide(); MyProject.Forms.MainForm.RegistrMenu.set_Visible(false); } else { Interaction.MsgBox(peremens.trans("Ключ неверен", false, false, false), MsgBoxStyle.OkOnly, null); } }[/ASM] Пишет что зарегана, но нормальный .ехе не создает С другой стороны непонятно как этот кусок кода, который обрабатывает создание .ехе файла, может создавать нормальный исполняемый файл, если он только то и делает, что копирует файл "c:\Program Files\Алгоритм\Data\Objects\Demo.exe" в то место где мы хочем создать наш .ехе и просто дает ему другое имя...[ASM]private void BuildProgramMenu_Click(object sender, EventArgs e) { this.SaveFileDialog2.set_InitialDirectory(peremens2.proj.pPath); this.SaveFileDialog2.set_FileName(peremens2.proj.pFileName.Split((char []) new char[] { '.' })[0]); Label_003E: if (this.SaveFileDialog2.ShowDialog() != DialogResult.OK) { return; } try { File.AppendAllText(this.SaveFileDialog2.get_FileName(), ""); } catch (Exception exception1) { ProjectData.SetProjectError(exception1); Errors.FileNoAccess(exception1.get_Message()); ProjectData.ClearProjectError(); goto Label_003E; } string directoryName = Path.GetDirectoryName(this.SaveFileDialog2.get_FileName()); if (this.Sborka(directoryName, false)) { peremens.ProgressFormShow(peremens.transInfc("Компиляция") + "...", 0); File.Copy(peremens.ObjectsPath + @"\Demo.exe", this.SaveFileDialog2.get_FileName(), true); peremens2.ProgressForm.Hide(); if (Interaction.MsgBox(string.Concat((string[]) new string[] { peremens.transInfc("Поздравляем! Проект успешно скомпилирован в готовую программу и расположен по адресу"), ": \r\n", this.SaveFileDialog2.get_FileName(), "\r\n\r\n", peremens.transInfc("Открыть папку с программой?") }), MsgBoxStyle.Information | MsgBoxStyle.YesNo, null) == MsgBoxResult.Yes) { Process.Start(directoryName + @""); } } }[/ASM]
Shad0vv	13.08.2009 15:07:54
Никакой там фишки нету. Распаковывается любым вьюером памяти, т.к.полностью валидный образ висит именно там. Вся суть процедуры регистрации находится в трёх функциях. ElapsedTime - проверка даты окончания ключа. LoadProgress- генерация ID'а компа по данным из HKLM: Hardware\Description\System\SystemBiosDate Hardware\Description\System\SystemBiosVersion PerfomanceProgress - а вот тут ксенокод поставил вилы из вермишели goto переходов. В принципе если отрефакторить, то можно разобрать, что именно он делает и обернуть часть алгоритма.
Archer	13.08.2009 17:37:56
Вы шапку читали? Запрещены обсуждения любого рода. А вы что развели? Раз топик мало юзается, попервой ладно ещё, но вообще заканчивайте.
SReg	16.08.2009 19:40:23
1. GSA AutoSoft Submit (6.35) 2. только .exe или прога с оф.сайта 3. 3,8мб 4. PEID---hardcore scan---LHA Archive * 5. DIE---(Borland Delphi 6-7) 6. .text .rsrc .idata .data
tihiy_grom	16.08.2009 20:52:29
SReg пишет: GSA AutoSoft Submit (6.35) PEiD Themida/WinLicense V2.0.1.0 + [Hide from PE scanners Type2] -> Oreans Technologies * Sign.By.fly * 20080721 * ProtectionID Themida v2.0.1.0 - v2.0.6.5 (or newer) detected !
sendersu	25.09.2009 00:43:14
1. ADInstall 1.0 2. http://multi-up.com/145949 3. Размер 4.5 Мб 4. PEiD 0.95 Normal: Nothing found * Hardcore: FSG v1.10 (Eng) -> dulek/xt -> (Microsoft Visual C# / Basic .NET) * 5. DiE 0.64 Borland Delphi [ver: x] | Object Pascal Nothing found 6. Имена секций .text, .itext, .data, .bss, .idata, .tls, .rdata, .rsrc, .UPX0, .UPX1, .reloc 7. Entropy: 7.88 (Packed) Upd: перезалил сюда - http://multi-up.com/147151 (уменьшено размер до 1.8 МБ)
ClockMan	25.09.2009 01:10:52
sendersu пишет: ADInstall 1.0 Зто Sentinel Keys
sendersu	25.09.2009 08:15:46
ClockMan согласен извините за нарушение пункта о дискусии, но я подразумевал .exe только (там не сент. конверт)
zeffer	26.09.2009 14:57:15
1. Чья-то программа mf100ks.exe 2. http://rapidshare.com/files/285205964/prg.zip.html 3. 1.2 Мб 4. PEiD 0.95 Nothing found * 5. DiE 0.64 Borland Delphi | Object Pascal Nothing found 6. Имена секций (взято из DiE): .oouccu, .wrbphw, .idata, .rsrc 7. Entropy of file (DiE): 99.019 (packed)
progopis	26.09.2009 16:08:02
zeffer Будь добр, зазеркаль куда-нибудь. Депозит, ifolder.
pavka	26.09.2009 16:39:27
zeffer пишет: . Чья-то программа mf100ks.exe 2. http://rapidshare.com/files/285205964/prg.zip.html3. 1.2 Мб4. PEiD 0.95Nothing found *5. DiE 0.64Borland Delphi | Object PascalNothing found6. Имена секций (взято из DiE): .oouccu, .wrbphw, .idata, .rsrc7. Entropy of file (DiE): 99.019 (packed) Похоже на пеп и там борландС
zeffer	26.09.2009 19:45:01
progopis пишет: zefferБудь добр, зазеркаль куда-нибудь. Депозит, ifolder. с удовольствием - http://link_deleted_by_forum_engine/files/4rfbh86n2 http://ifolder.ru/14193766
progopis	30.09.2009 23:48:21
zeffer пишет: 1. Чья-то программа mf100ks.exe Private exe Protector. Хотя ответ уже дал pavka
waza123	25.11.2009 20:16:34
1. atsurround v1.00 (only dll file: foo_dsp_atsurround.dll ) 2. http://ifolder.ru/15157173 3. 889kb 4. Unknown 5. Unknown 6. wtf? 7. wtf?
pavka	25.11.2009 20:31:02
waza123 По ходу ни чем
VOLKOFF	11.12.2009 14:50:07
1 Самодел форма, кнопка 2 --> Link <-- 3 10Кб 4 Nothing found * 5 Nothing found 6 .code.text.rdata.data.rsrc
BoRoV	11.12.2009 15:08:54
ничем не запаковано, это троян
VOLKOFF	11.12.2009 16:42:30
BoRoV пишет: ничем не запаковано, это троян Это 100% не троян, паковки походу и правда нет, но код как-то запутан (из самой проги скорее) Не могу удалить этот пост...
tihiy_grom	11.12.2009 18:05:58
VOLKOFF пишет: Это 100% не троян И что же это, если не троян? http://www.virustotal.com/ru/analisis/96ab491c8fc454f8aa8304b30aef7eb3 8b32b23c15485781827a0b474445fd05-1260543861
MasterSoft	11.12.2009 18:26:31
VOLKOFF пишет: паковки походу и правда нет, но код как-то запутан (из самой проги скорее) Ну на самом деле по таким признакам можно характиризовать наверное большинство троянов.
VOLKOFF	11.12.2009 18:39:16
Раз уж пошло немного не по правилам топика, я все же отвечу. Это есть то, чем кажется - простое окно с простой кнопкой и еще одно окно с кнопкой. Болше ничего. Предыстория: Volkoff писал(а): Конечно и это не представляет никакой сложности для ручной распаковки Оппонент пишет: Ага, ну да! Тогда попробуй получи оригинальный файл проги из вложения. Вредоносного кода 101% нет. Написана на пурике.
Jim DiGriz	29.12.2009 08:15:13
1. l2serverx64-dll.dll (что-то из серверного софта для Lineage) 2. http://rghost.ru/768022 3. 1.7 МБ 4. Not a valid PE file 5. Not a valid PE file 6. .koyvjm .qyjsr .cubqm .zdjqn .kzfa .jvhtq .bnwf .zfpxjw .ulfc .wsbtl .ntxlzg .dkehb 7. Not a valid PE file ProtectionID говорит [!] Armadillo *Unknown Version* detected !
Vovan666	29.12.2009 12:40:27
Jim DiGriz пишет: ProtectionID говорит [!] Armadillo *Unknown Version* detected ! Так и есть армадила 6.x-7.x.
progopis	29.12.2009 15:01:55
Jim DiGriz 64 битная армадила.
MO0	29.12.2009 22:19:06
1. WordPress Blog Installer 21.01 2. http://slil.ru/28422606 3. 6,30 МБ 4. Nothing found [Overlay] * 5. Nothing found | Microsoft Visual C++ 6. .text .rdata .data .rsrc 7. Bytes: 6609219 ; Entropy: 78,286
SER[G]ANT	29.12.2009 22:43:34
MO0 пишет: 1. WordPress Blog Installer 21.01 ничем
stahh	30.12.2009 14:21:40
1.ex4_to_mq4_decompiler 2.ex4_to_mq4_demo.exe 3.5397kb 4.UPolyX v0.5 * 5.Borland C++/C++. Nothing found 6..text.data.tls.rdata.idata.edata.muma1.muma0.muma2.muma3.rsrc 7. Энтропия - 98,095 В Ольку не загружается, сразу убивает ее, даже крипторовскую сборку. Других инструментов сейчас нет. Хотелось бы получить распакованный рабочий экзешник.
Vovan666	30.12.2009 14:38:21
stahh пишет: 1.ex4_to_mq4_decompiler похоже что-то из семейства фимидовских (хотя могу и ошибаться). чтоб запускалась нужно обновить DBGHELP.DLL (в папке олькой) на последнюю версию.
ClockMan	30.12.2009 15:05:51
stahh пишет: ex4_to_mq4 на неё всегда vm прот вешали
Archer	30.12.2009 19:37:03
И сейчас вмпрот, судя по секциям. Я где-то выкладывал анпаканый в какой-то теме.
BAHEK	25.01.2010 20:28:55
1. ASI Pro - 1.60 программа (многооконка l2.ru), позволяющая запустить N+ окон с опциями. 2. http://www.multiupload.com/L3CMZBTOPL 3. 3.13 MB 4. UPolyX v0.5 * 5. Borland Delphi | Object Pascal; Nothing found 6. CODE; DATA; BSS; .idata; .tls; .rdata; .vmp0; .rsrc; .vmp1; .vmp2; .reloc 7. 7.88 (Packed) P.S. Все анализаторы молчат, как партизаны. Это VMProtect, но хотелось бы узнать поточнее, какой версии?
S_Starovoy	26.01.2010 22:31:04
Файл: http://slil.ru/28548047 размер: 371 kb PEiD: Microsoft Visual C++ v7.1 EXE DiE: Compiler: Microsoft Visual C++ | C/C++ EXE Heuristic: NsPack 3.x названия секций: .data .tls .rsrc .rdata .reloc .text entropy index: 99.941 Результаты собственных исследований: вначале прога раскриптовывает все секции (простым ксором), затем передает управление некоему подобию vm. Из этой vm вываливается только на вызовы api и некоторых библиотечных функций c++. Ссылка на "расксоренный" файл - http://slil.ru/28548869 , размер тот же.
Archer	27.01.2010 18:08:35
Сверху самодельный стаб, который косит под си по сигнатуре. Внутри вм, походу, вмпротовская, причём старая, которая не на стеке держит контекст. Т.е., видимо, 1.22, которая фриварная полная.
Bronco	07.02.2010 04:19:11
У кого что есть по VM_Solidshield? //1. 9. 27. 0 Завиртуалена всего одна процедура, правда по ходу не маленькая. С опкодами вызовов не сложно, по остальному пока не вкурился.
TOM_RUS	18.02.2010 05:17:18
1. StarCraft II Beta 0.3.0.14093 2. Battle.net.dll 1.0.0.17577 http://filebeam.com/eaafe16e0bbe4421d5a190908d994c12 3. 9,01 МБ (9 454 149 байт) 4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) * 5. Microsoft Visual C++ | C/C++ 6. .text, .rdata, .data, .rsrc, .reloc 7. Entropy index: 92,186
Nabu	27.02.2010 00:19:33
1. Direct MP3 Joiner 3.0 (3.0.1.5) 2. --> dmp3join.rar <-- 3. 1,16 МБ (1 222 604 байт) 4. Nothing found * 5. Nothing found 6.CODE,DATA,BSS, .idata, .edata, .tls, .rdata, .14nf05k, .rsrc, jl4kyy8p, fawxgsso 7. Entropy index: 86, 423
HiEndsoft	27.02.2010 00:27:28
Nabu PEtite 1.4 -> Ian Luck - PEiD
ClockMan	27.02.2010 02:16:43
Nabu пишет: Direct MP3 Joiner 3.0 (3.0.1.5) EXECryptor там,применена только вм криптора. OEP > 00565EE4 проверяй что выкладываешь пришлось искать делки для запуска файла
Vamit	02.03.2010 16:19:04
1. VWTester 2.5 2. http://rapidshare.com/files/357851780/VWTester.rar.html 3. 982K 4. Nothing found * 5. Nothing found 6. .text, .rdata, .data, BSS, .rsrc, .adata, .asd0, .asd1, .reloc 7. 7.95 Похоже на ExeCriptor, но под UnExeCriptor v1.0 RC2 приложение дает исключение, в логе - Set memory breakpoint for Extra code section... Error
Vovan666	02.03.2010 16:32:00
Vamit пишет: Похоже на ExeCriptor Интересно чем-же, ни одного показателя на это. Больше похоже на вмпрот или что-то типа того
Vamit	02.03.2010 16:42:51
Vovan666 пишет: Интересно чем-же, ни одного показателя на это В экспорте имеются функции EXECryptor_AntiDebug и другие.
Vovan666	02.03.2010 17:06:13
фигня этот экспорт (и нафига экспорт exe-шнику). после EXECryptor-а половина секций названо рандомными именами, а тут всего 2 секции переименованы.
BigJack	02.03.2010 18:44:09
Уже справились, спасибо за помощь Jupiter
SReg	04.03.2010 08:10:50
1. allradio 2. http://all-radio.net/download.php 3. 6.47 MB 4. borland delphi 5. .text .itext .data .bss .idata .didata .tls .rdata .rsrc alldata0 alldata1 з.ы. на программе мощная антиотладка з.з.ы. вот этот скрин никому ничего не говорит?
ClockMan	04.03.2010 09:46:45
SReg пишет: 1. allradio это вм прот..
tino	05.03.2010 19:15:33
1. f0recast-1.0.4 2. http://www.sendspace.com/file/tp96gp 3. 258KB 4. Microsoft Visual C++ 8.0 * 5. Microsoft Visual C++ | C/C++ 6. .text .rdata .data .rsrc 7. 89,064 --> Packed
Sunzer	05.03.2010 19:50:22
tino пишет: 1. f0recast-1.0.42. http://www.sendspace.com/file/tp96gp3. 258KB4. Microsoft Visual C++ 8.0 *5. Microsoft Visual C++ | C/C++6. .text .rdata .data .rsrc7. 89,064 --> Packed Ничем не паковано
Br0TaN	07.03.2010 19:11:02
1. iQ-VIEW PRO 2.10 2. http://uploading.com/files/34c2a479/iQ-VIEW.exe/ 3. 5,26 МБ (5 523 968 байт) 4. Borland Delphi 6.0 - 7.0 5. Borland Delphi[ver: 7] | Object Pascal 6. CODE, DATA, BSS, .idata, .tls, .rdata, .reloc, .rsrc 7. 82,104
noph	11.03.2010 14:00:01
Добрый день! Меня послали сюда из темы - http://cracklab.ru/f/index.php?action=vthread&forum=2&topic=15950 Помогите пожалуйста определить чем упакована DLL-ка и хотя бы приблизительно сказать как и чем её распаковать.. Заранее спасибо! 1. gameShieldDll.dll (1.2.1.8) 2. http://narod.ru/disk/18641748000/x.dll.html 3. 1.15mb 4. Nothing Found * 5. Microsoft Visual C++ | C/C++, Heuristic: nothing found. Entro->Hard Scan->Status-> PACKED 6. .text .rsrc .reloc . idata .data .data .data 7. byte 1207808, entropy index 98.667 Более подробно я писал --> Link <--.. повторяться не буду. Вероятно дллка не упакована, а просто прошла через мутацию или что-то подобное. Так или иначе, нужно как-то от этого избавиться.. Надеюсь на помощь!
ClockMan	11.03.2010 14:55:02
noph пишет: 1. gameShieldDll.dll (1.2.1.8) Themida OEP>(ImageBase+00030237)
eputsato1	17.03.2010 21:48:39
1)Meta Compiler 4.0.244 2)http://rapidshare.com/files/364655770/ML.zip.html 3)1.12 MB 4)Nothing found [Overlay] * 5)Heuristic: Themida (Но распаковщики TheMida не берут, а далее External Sign: Nothing detected) 6) Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed: 00001000 00044000 00001000 0001D000 E0000040 code .rsrc 00045000 000008F0 0001E000 00001000 C0000040 res .idata 00046000 00001000 0001F000 00001000 C0000040 imp .data 00047000 00234000 00020000 000FF000 E0000040 none .reloc 0027B000 00001000 0011F000 00001000 00000000 breloc 7)Entropy index: 98.634
AKAB	24.03.2010 10:15:21
1- Morpheus 2- http://www.4shared.com/file/247645877/70cf5fd1/Morpheus.html 3-779 KB 4. 5. Ничего
Vamit	24.03.2010 10:26:26
AKAB RLPack v.1.20.1 Full Edition (EXE- aPLib 0.43 / LZMA 4.3x ) http://ap0x.jezgra.net *ACM try RL!dePacker v1.5 from http://ap0x.jezgra.net
columbia100	25.03.2010 13:03:47
1: SurfCop 2: http://rapidshare.com/files/367919000/amManagementConsole.rar.html 3: 13M 4: peid: UPolyX v0.5 [Overlay] * 5: die: Borland C++ 6: - 7. -
gegter	25.03.2010 13:49:29
eputsato1 пишет: 1)Meta Compiler 4.0.244 2)http://rapidshare.com/files/364655770/ML.zip.html 3)1.12 MB 4)Nothing found [Overlay] * 5)Heuristic: Themida (Но распаковщики TheMida не берут, а далее External Sign: Nothing detected) Themida
ranger	07.04.2010 15:12:07
Всем привет. Извините, если что неверно. Сам файл залить не могу пока, но по тому, что есть, что подскажете. Локализации поддается (с помощью OgreGUI), но вот заменить картинки внутри файла не смог. Чем это может быть упаковано и что посоветуете для распаковки-запаковки обратно. Программа весит 4 мб, расширение *.exe, работает с внешними устройствами (программатором) на Windows x86. В файлмене на програмке отображается иконка с тремя разноцветными кубиками, при запуске самой программы в название добавляется wx (посмотрите скрины), также есть скрин, сделанный программой PE Explorer Dissasembler: http://vfl.ru/i/20100407/7aa063c1c525a22b466fc03eaedc64af_1.jpg.html http://vfl.ru/i/20100407/7aa063c1c525a22b466fc03eaedc64af_2.jpg.html Это не Питон, случаем?
Dem0n1C	07.04.2010 20:07:09
ranger, судя по скрину ни чем не пакован. А пеид что говорит по этому вопросу?
ranger	08.04.2010 21:45:53
Вот скрин с Peid и Die: http://vfl.ru/i/20100409/02cd4de8053337cc2cdba372fcbe759c_1.jpg.html
int	08.04.2010 23:27:36
gcc и, видимо, интерфейс на wxWidgets. Может сам файл выложишь?
Slavsen	16.04.2010 18:26:18
Здавствуйте. Программа OpenBox 3.15 http://rapidshare.com/files/376578029/OpenBox315.exe.html ~1Mb PEID: Normal : Nothing found * PEID: Deep & Hard : UPolyX v0.5 * DiE: Nothing Found Name: .text, .tls, .inhlpp, .idata, .rsrc Entropy: 99,334
noph	22.04.2010 19:26:22
Продолжаю свой же вопрос. http://cracklab.ru/f/index.php?action=vthread&forum=13&topic=11325&pag e=8#19 - тут запрос http://cracklab.ru/f/index.php?action=vthread&forum=13&topic=11325&pag e=8#20 - первый и единственный ответ http://narod.ru/disk/20006914000/gameShieldDll.dll.html - Последняя версия DLL-ки. Плачу 3к ЯДа за полную её распаковку. Господа модераторы, заранее прошу прощения, если не туда запостил это, от части, объявление. Подходящего раздела не нашёл.
Archer	22.04.2010 22:03:34
Подходящий раздел-запросы на взлом. Просто сделать пометку, что только распаковка.
Flashback/TMX	03.05.2010 11:03:08
Slavsen пишет: Здавствуйте.Программа OpenBox 3.15 http://rapidshare.com/files/376578029/OpenBox315.exe.html ~1MbPEID: Normal : Nothing found *PEID: Deep & Hard : UPolyX v0.5 *DiE: Nothing FoundName: .text, .tls, .inhlpp, .idata, .rsrcEntropy: 99,334 пепа
icerix	05.05.2010 19:26:57
1. Render widgets 2. http://ifolder.ru/17588017 3. 1.23 mb 4. Информация из PEiD: - aspack 2.12 5. Информация из DiE - aspack 2.12 6. Имена секций модуля -aaz, adata, text, rdata 7. Энтропия - 88.9
sendersu	12.05.2010 22:29:31
1. ECUSafe 1.8.1 2. http://www.multiupload.com/5M0OBMK3SW 3. 2 Мб 4. PeID - Nothing found * 5. DiE - Nothing found 6. Sections: .code, .tls, .pypgpu, .idata, .rsrc 7. Энтропия 7.95 (Packed) - peid
Vovan666	12.05.2010 22:57:40
sendersu пишет: 1. ECUSafe 1.8.1 хз что это, но что-то с мощной ВМ
pavka	13.05.2010 03:19:38
Vovan666 пишет: хз что это, pep
sendersu	13.05.2010 08:22:36
Vovan666 есть подозрение что там Marx Licensing System, как убедиться? с етим чудищем шансов 0 я так понял (если оно) pavka по чем видно что пеп?
Bronco	13.05.2010 08:39:28
sendersu пишет: по чем видно что пеп? бегемотный размер секций
sendersu	13.05.2010 10:36:28
Bronco Разве пеп обзавелся собственной ВМ?
int	13.05.2010 10:58:50
Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения!
Bronco	13.05.2010 23:48:28
sendersu пишет: Разве пеп обзавелся собственной ВМ? как сейчас не знаю, давно не ковырял пепку, раньше что-то примитивное было...
foxdump	18.05.2010 11:58:24
1. RCDPRO Tools v0.0.1.0 2. http://martech.pl/download/RCDPRO/rcdpro.zip 3. 2,25 MB 4. PEiD: Nothing found * 5. DiE: Nothing found 6. .rsrc, .idata, bgpekpsl, aqrvdaxl 7. Энтропия: 7.89 (Packed)
ClockMan	18.05.2010 12:04:02
foxdump пишет: RCDPRO Tools v0.0.1.0 Themida
nda24	19.05.2010 09:19:04
http://holdemindicator.com/downloadX.php Holdem Indicator\HoldemIndicator.exe Detected: MASM/TASM - sig4 (h) * Scan Mode: Deep Entropy: 7.84 (Packed) EP Check: Not Packed Fast Check: Packed
Vadymus	19.05.2010 14:54:21
1.J.A.F. Flesher для нокиа jaf1.98.66beta5 2.http://rapidshare.com/files/389125719/JAF.rar.html 3.4.9 MB 4.PEiD yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) * 5.DiE Noting found 6.Compiler VisualC++ 7.имена секций code , res, imp, остальные 3 none 8.99,379
ClockMan	21.05.2010 05:58:06
nda24 Themida+????? поверх тнемиды что-то ещё навешено. /*77A000*/ MOV EAX,0=====>ЕР Themida /*4FC880*/ PUSH EBP=====>OEP Vadymus Tоже Themida /*B8C000*/ MOV EAX,0=====>EP Themida
deepred	29.05.2010 23:53:11
1. Iris Professional v5.2.0.74 2. http://narod.ru/disk/21296767000/Iris.rar.html 3. 910.42 Кб 4. Информация из PEiD: Nothing found 5. Информация из DiE Nothing found 6. Имена секций: text, rdata, data, sectio%n 7. Энтропия - 7.99 (Packed) Думаю что это PC Guard, но что-то сомневаюсь.
ClockMan	30.05.2010 03:02:14
deepred пишет: Iris Professional v5.2.0.74 Бес полгного комлекта незапускалась пришлось искать нашёл тут--> Link <-- походу это протектор написан самой eEye Digital Security OEP>0048145C P.S. UNPACK --> Link <-- Pass: Iriska
progman	12.06.2010 17:16:14
Название: game.rar Размер: 2.46 Мб Ссылка для скачивания файла: http://ifolder.ru/18136326 Информация из PEiD: Nothing found Информация из DiE Nothing found Энтропия - 6.62 (Maybe Packed)
Flashback/TMX	12.06.2010 20:55:31
Файло использует GRDVKC32.DLL, а гугл сказал, что эта длл от Guardant. Кстати, есть бегемотовая секция, как у пепы
Talula	16.06.2010 20:04:47
1. Overtone Analyzer Premium v1.5.0.2827 2. --> Link <-- 3. 4,46 mb 4. Информация из PEiD: Nothing found 5. Информация из DiE Nothing found 6. text, rsrc, idata, data, data, data файл явно упакован. пытался искать оеп, трейсил - часть кода изменяется при трейсинге. принцип работы такой: при запуске программы, идёт вызов лоадера, который потом снова запускает файл. если понадобится - выложу и лоадер.
ClockMan	16.06.2010 23:24:11
Talula пишет: 1. Overtone Analyzer Premium v1.5.0.2827 Пакер Themida /*CF4000*/ MOV EAX,0 > EP Themida; Добавил: /*560AC6*/ CALL 0056D997 > OEP;
Talula	17.06.2010 03:22:54
ClockMan уже разобрались =) WinLicense
ToBad	24.06.2010 12:34:15
1. BOOT.EXE загрузчик под DOS 2. http://www.multiupload.com/EHTR1GM1GL 3. 80 Kb. 4. PeID - Not valid PE 5. DiE - Not valid PE 6. - 7. WinRar упаковал на 2%
shadow_user	26.07.2010 12:42:59
1.MuProxy проксификатор 2. http://www.muproxy.com/MuProxy3.1-28-05-2010.rar 3. 3,4 Мб 4. yoda packer 5. Delphi 6. http://img696.imageshack.us/img696/1817/222222t.jpg 7. Die 3631104, 29048832, 98.122
zeppe1in	26.07.2010 13:29:07
shadow_user Themida/WinLicense я не знаю чем они отличаются)
-serzh-	26.07.2010 18:33:24
От модератора: тебе уже ответили в твоей же теме, в чём может быть дело. и ты вообще читал шапку?
ALEKCEN	02.08.2010 14:58:54
1. Ексешники игры Mu Online 2. rghost.ru/2251216 3. 5.49 mb 4.PEiD - MASM32 / TASM32 5.Detect it Easy - MASM32 - TASM32 + Enigma protector 1.xx 6. Почти все секции - потёрты,остались только - .rsrc и .data 7. Что это такое и где это смотреть ? или вы про "энтри поинт" ? В архиве - три ексешника,аля лаунчеры для игры Mu Online.Требуется узнать - энигма-ли это.Кто не понял - все эксешники - упакованы\закриптованны - одинаково. От модератора: в данном топике только определение, распаковка в запросах на взлом
OnLyOnE	03.08.2010 22:08:06
1. Movavi Видео Конвертер 10 2. --> Link <-- 3. 53,1 Mb 4. PeID - UPolyX v0.5 [Overlay] * 5. VC++ 6. 7. в среднем кроме одной секции импорта - 7.68 (Packed) Собственно вопрос - чем это дерьмо накрыто? Скачал а запустить на компе у себя не судьба...
BAHEK	04.08.2010 00:30:57
OnLyOnE Themida/WinLicense
SReg	04.08.2010 00:56:25
BAHEK пишет: Themida/WinLicense WinLicense 100%
OnLyOnE	04.08.2010 01:46:28
BAHEK SReg Я так понял, что это дерьмо палит на моем компе дебагер и утилиты для взлома? И по этому не запускается? Эта сука даже под варю не запускается
Airenikus	04.08.2010 02:07:19
1. LiveStatParser_v1.4 2. --> Link <-- 3. 693.01 KB 4. ASPack 2.12 -> Alexey Solodovnikov 5. ASPack v2.12 6. 7. Bytes: 724501 Entropy Index: 99,096
BAHEK	05.08.2010 02:07:37
Airenikus RLPack 1.2x OEPRVA: 0024c20c IATRVA: 00860000 IATSIZE: 000006dc
31010	13.08.2010 17:06:31
1. Программа CAM2 2. http://slil.ru/29560174 <--" target="_blank">--> http://slil.ru/29560174 <-- 3. 195 kB 4 и 5. Пишут, что это не PE.
31010	13.08.2010 23:42:32
От модератора: Прочитай ещё разок правила темы.
inkoz	15.08.2010 19:35:24
1: Sense 2: http://slil.ru/29565454 3: 777K 4: Nothing 5: MS Visual C++ | Language C/C++ 6: .text .rdata .data .rsrc .vmp0 .vmp1 .tls . vmp2 .reloca 7: entropy index: 98.191 Интерес представляет dll. Нужно разобрать алгоритмы экспортируемых функций. При отладке, олли "вылетает" даже не войдя в DllEntryPoint. .TLS заполнен нулями. При отладке Olly в режиме "Break on new module", грузит системные dll, затем при попытке загрузить нужный dll доходим до sysenter и Olly "вылетает" без предупреждений. Как???
BAHEK	15.08.2010 21:23:56
inkoz VMProtect
diogen	26.08.2010 21:06:01
1. Power Mixer 3.5 2. http://rghost.ru/2451807 3. 377 kB 4. Nothing found * 5. UPX <Modified> 6. PWM0, PWM1, .rsrc, .data Интересует распаковка .exe файла (файл предназначен для работы только на Vista и Seven).
31010	27.08.2010 11:12:57
1. panelcam_2007_update v0.0.0.0 2. http://rghost.ru/2455978 3. 3999 kB. 4. Borland Delphi 2.0 [Overlay] 5. Borland Delphi | Object Pascal 6. Bytes: 5540617 Entropy Index: 99,446
SaNX	27.08.2010 11:18:43
31010 Inno Setup. Распакованный http://depositfiles.com/files/8htd31j22
ThugboyZ	27.08.2010 11:30:33
diogen у меня хп. посмотрел что за защита там мутатор UPX на хп работает неправильно да и дебажится тоже неправильно, поэтому сам распаковывай: возьми скрипты для UPX мутатор ищи оеп и дампь, потом импорт восстанавливай, если работает значит оеп правильное, если нет, то нет
Kindly	27.08.2010 12:24:01
diogen пишет: 1. Power Mixer 3.5 а с чего вы взяли, что это мутатор UPX? UPX импорт так не пакует и жмет в три секции вообще-то. Как по мне так это вообще другой пакер, типа NSPack, хз, если честно, но не UPX.
ThugboyZ	27.08.2010 15:02:01
Kindly у меня тоже два варианта было или это упх матотор или же совсем другой прот сделаный на вид как упх а на самом деле нет. то-то мои скрипты его не берут
sendersu	27.08.2010 16:03:51
1. dlwin32.dll 2. http://rghost.net/2458541 3. 12 KB 4. Nothing found * 5. Borland Delphi [ver: x] | Ojbect Pascal 6. .text .data .rsrc 7. 7.82 (Packed) интересно и чем упаковано и сам унпак файл, спс
diogen	27.08.2010 16:24:05
Kindly ThugboyZ Power Mixer 3.5 http://rghost.ru/2458842 Вот версия для XP. Может быть ее попробовать (пакер тот же).
Airenikus	27.08.2010 16:54:00
1. Zеbrоid 2 2. --> Link <-- 3. 10.5 Mb 4. tElock 1.0 (private) -> tE! * 5. Nothing detected! 6. 7. Bytes: 7870464, Entropy Index: 99,158
MasterSoft	27.08.2010 16:59:06
diogen держите: --> Link <-- Kindly Я хз сто это, но переход на оеп как у упх... sendersu упх анпакали когда нибудь?! значит оеп найдёте... diogen пишет: Версию бы для Висты и Семерки (ссылка выше)... ради маленькой программки ставить ни одно ни другое я не собираюсь. Added: diogen возьмите QUnpack - он должен с такой задачей справится.
diogen	27.08.2010 18:03:49
MasterSoft Для XP спасибо, но ее приводить в божеский вид я умею. Версию бы для Висты и Семерки (ссылка выше)...
ClockMan	28.08.2010 00:43:52
Airenikus VM прот