PeID v0.94 говорит Microsoft Visual C++ v6.0 DLL *
TUHEA говорит Borland Delphi

Но прога явно чем-то защищена.
Помогите плиз опознать чем, и дайте совет как распаковать.


--> вот прога <-- http://rapidshare.com/files/45175760/Motronic.zip.html 300Kb

| Сообщение посчитали полезным:

Сверху аспак чуток попорченный, потом еще один пакер. Снимается без проблемм - после аспака идет распаковка секции кода и построение импорта. Чуток потрейси - и ты на ОЕР.

| Сообщение посчитали полезным:

Походит на какую - то древнюю версию ExeCryptorа, зачуханную под обгаженным ASРackом.

| Сообщение посчитали полезным:

Там ASPack, просто покрыт шелухой какой-то.

поспешил однако, там и дальше аспака ересь идет....

OEP: 401000
Borland C++

| Сообщение посчитали полезным:

oep - 401000, как и положено для всех прог на C+ Builder
как уже грили под аспаком какое то дерьмо еще, ничего не портит, это даже не прот, импорт чистый, правда размеры надо указывать вручную, кроме того еще требуется пофиксить дамп (сравнять физ. и вирт. размеры), распаковывается элементарно

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
Там ASPack, просто покрыт шелухой какой-то.
+1
Можно и не трейсить,а тупо приатачиться,и поскролить секцию кода.Понятно что это борланд.Загрузи заново в Ольгу,поставь нардваре на адрес 00401000,перезагрузи,и два раза ф9.Дальше по классической схеме...)))))
размер иат 000009C4
Дамп где-то вышел 600kb
Ну там ещё с регом надо ковырять(я сначала не вкурил,подумал ключеген какой-то)

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Sey пишет:
Походит на какую - то древнюю версию ExeCryptorа
В самом деле, окно очень похоже.
BoOMBoX/TSRh пишет:
OEP: 401000
Borland C++
Bronco пишет:
размер иат 000009C4
Кстати, вот таблица импорта - дерево для ImpREC rapidshare.com/files/45222429/Motronic_1-5-4_ECU_Programmer_IAT_Tree.rar.html

-----
Программист SkyNet

| Сообщение посчитали полезным:

SergX
Вот, чего уж там. Распакованный файл - rapidshare.com/files/45237680/Motronic_1-5-4_ECU_dumped_.rar.html
Bronco пишет:
Дамп где-то вышел 600kb
У меня получился в два с лишним раза больше = 1,35 Мб. Это у тебя после обрезания?

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
У меня получился в два с лишним раза больше = 1,35 Мб. Это у тебя после обрезания?
Ну да..))))Если точнее 620kb,срезал последнюю секцию( я иат в родное место тыкал,поэтому её секция не последняя),и ребюлдПЕ плагином к PEiD(без галок в чекбоксах)
Ну это всё херня,с регистрацией пока вкурить не могу....)))))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Регистрацию в запакованном вроде снял.
Поставил нардваре на адрес 00401000 как говорил Smon
и по адресу 00497F34 ставим RETN

| Сообщение посчитали полезным:

SergX пишет:
и по адресу 00497F34 ставим RETN

С адресочком косячок у тя вышел, там нули.

Bronco пишет:
Ну это всё херня,с регистрацией пока вкурить не могу....)))))

Мне так кажется, что Bronco имел в виду генерацию валидного ключа, т.к. проблемы регистрации патчиногом -там нет.

P.S.
На всякий случай:
0040813F 66:81FA D0A9 CMP DX,0A9D0
00408144 EB 05 JMP SHORT minunpac.0040814B
---------------------------------------------------------------------- -----------
00406EB0 0F94C0 SETE AL
00406EB3 B0 01 MOV AL,1
00406EB5 90 NOP

И введите любой серийник

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
проблемы регистрации патчиногом -там нет
Теперь уже нет....))))))
Но самое интересное наверно впереди.
А для чего хоть утиля?
В гагуле глянул,какой-то ВАЗ или АвтоВАз

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
В гагуле глянул,какой-то ВАЗ или АвтоВАз

походу мозги электроники для ВАЗов заливать можно через эту тулзень.

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
С адресочком косячок у тя вышел, там нули.
это не косячок, а очепятка.
хотел написать 00407F34

Bronco пишет:
А для чего хоть утиля
Честно говоря, сам не знаю. Она мне не нужна, чисто спортивный интерес.

| Сообщение посчитали полезным:

SergX пишет:
это не косячок, а очепятка.
хотел написать 00407F34

ага, похоже

но забанивание рег диалога, не лучший подход, лучше процедуры реги патчить, так надежнее

| Сообщение посчитали полезным:

Кто в курсе чем Неро сейчас пакует свои продукты ?

Секции .nepku и .nepack о чем-нибудь говорят ??

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
Кто в курсе чем Неро сейчас пакует свои продукты ?

Секции .nepku и .nepack о чем-нибудь говорят ??

в 7 версии таких секций я не нашел, но могу предположить, что это пакер Neolite

| Сообщение посчитали полезным:

bloom пишет:
Кто в курсе чем Неро сейчас пакует свои продукты ?
у меня версия NERO 7.7.5.1 ничем не пакована:
Packer/Compiler: Microsoft Visual C++ v7.0

BoOMBoX/TSRh пишет:
bloom пишет:
Кто в курсе чем Неро сейчас пакует свои продукты ?

Секции .nepku и .nepack о чем-нибудь говорят ??

в 7 версии таких секций я не нашел, но могу предположить, что это пакер Neolite
не, это вроде не NeoLite, еслм найду у себя на винте инстал нерки 6,6 то поставлю, гляну и отпишусь о результатах

| Сообщение посчитали полезным:

Nero.exe v6.6.0.12 - ничем не пакован....

bloom, о какой версии идет речь?

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:

Nero.exe v6.6.0.12 - ничем не пакован....

bloom, о какой версии идет речь?

Сорри,
пакован Неровский просмотрщик защищенных дисков SecurDisk
ftp://ftp6.securdisc.net/SecurDiscViewer-1.0.2.1.exe

там и содержатся эти секции

-----
in search of sunrise

| Сообщение посчитали полезным:

ну так что - опознает кто-нить ?
залил отдельно exe
rapidshare.com/files/45963154/SecurDisc.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
ну так что - опознает кто-нить ?

Я не познал может это самописный неровский пакер какой-то

| Сообщение посчитали полезным:

Очень простой какой то
ОЕП
004E3DDE 6A 60 PUSH 60
004E3DE0 68 88BB5400 PUSH SecurDis.0054BB88
004E3DE5 E8 0E510000 CALL SecurDis.004E8EF8
004E3DEA BF 94000000 MOV EDI,94
004E3DEF 8BC7 MOV EAX,EDI
004E3DF1 E8 7A260000 CALL SecurDis.004E6470
004E3DF6 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
делаем дамп и выставляем IAT-- 00162088
bloom
выложи длл к ней

| Сообщение посчитали полезным:

pavka
пожалуйста
sharebee.com/e87c1673

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
Хм спасибо конечно ...Не пойму почему все ругают рапиду С таких гавенных обменников у меня не качается

| Сообщение посчитали полезным:

pavka пишет:
Очень простой какой то

эт точно, только вопрос был в идентификации...

| Сообщение посчитали полезным:

pavka пишет:
Не пойму почему все ругают рапиду С таких гавенных обменников у меня не качается
c каких ?
этот обменник sharebee просто сам заливает на другие и предосталяет ссылки.
там есть и на рапиду в том числе.
рапида конечно рулит, особенно когда ip динамический

-----
in search of sunrise

| Сообщение посчитали полезным:

Компресии нет защиты никакой не понятно вобще зачем навешивали ..

| Сообщение посчитали полезным:

bloom пишет:
этот обменник sharebee просто сам заливает на другие и предосталяет ссылки.
там есть и на рапиду в том числе.
Может и предоставляет Мне не предоставил

| Сообщение посчитали полезным:

bloom пишет:
рапида конечно рулит
Не знаю, меня уже давно раздражает рапида:
1.качаешь две ссылки;
2.джава скрипты;если активиксе откажешь,не получишь доступ;
3.докачки нет,и ограничений ща до фига придумали.В топку её.
СендСпейс - спокойный и без гимора.
Шлёт линки(оба) на мыло.Вводить при закачке ничего не надо.Докачка есть.
IP не важен.
_http://www.sendspace.com/

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: