Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

1: ShardSecurity
2: www.warcraftworld.ru/files/wow_tot.rar
3: 2M
4,5: peid: armadillo v4.x (неверно) die: microsoft visual basic (неверно)
6: .loader .text .text2 .rdata .data
7. bytes: 83148 entropy index: 98

| Сообщение посчитали полезным:

vasya_pupkin Microsoft Visual C++ | C/C++

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

vasya_pupkin
Microsoft Visual C++ 8.0

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Microsoft Visual C++ 8.0

я имел в виду не wow_tot.exe (это патченый клиент world of warcraft) а ss_launcher.dll

| Сообщение посчитали полезным:

vasya_pupkin
интересная либа...
Собственно либо она не накрыта ничем (т.к. энтропия в норме), либо накрыта самопальным криптером с shardsecurity.com. Напоминает экзешник от радмина...
Судя по линкеру и по импорту, написанна на Microsoft Visual C++ 6.0.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

1: K-Client
2: rapidshare.com/files/98377349/client.rar
3: 249 KB
4: Borland Delphi 6.0 - 7.0 [Overlay]
5: Borland Deplhi | Object Pascal
6: CODE DATA BSS .idata .tls .rdata .reloc .rsrc
7: bytes: 335752 entropy index: 92,839

| Сообщение посчитали полезным:

zimmwarrior
Это чистый Borland Delphi, файл не чем не упакован.

| Сообщение посчитали полезным:

Не может быть...
Прога на C# написана это я точно от авторов знаю...

| Сообщение посчитали полезным:

zimmwarrior
Borland Delphi >=10 .Net application
Ничем не пакован.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

1.ruffroseN.bin - файл
2. http://webfile.ru/1906466 http://webfile.ru/1906466 файл не либа и не исполняемый
3.508 байт
4.-
5.-
6.-
7.-

| Сообщение посчитали полезным:

stlay
С чего ты взял что он запакован =\
Загляни внутрь файла с помощью любого хэкс редактора и увидишь слудущие строки:
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000090 00 52 6F 73 65 4F 6E 6C 69 6E 65 .RoseOnline
000000A0 2E 65 78 65 04 18 1C 9A 08 00 4C 6F 67 6F 2E 64 .exe...љ..Logo.d
000000B0 64 73 45 20 22 A3 0B 00 6C 69 62 63 75 72 6C 2E dsE "Ј..libcurl.
000000C0 64 6C 6C 9E 3E 3D B2 09 00 7A 6C 69 62 31 2E 64 dllћ>=І..zlib1.d
000000D0 6C 6C 86 75 E5 45 09 00 54 52 6F 73 65 2E 65 78 ll†uеE..TRose.ex
000000E0 65 F5 92 F1 73 15 00 53 43 52 49 50 54 53 2F 47 eх’сs..SCRIPTS/G
000000F0 4C 4F 42 41 4C 53 43 52 2E 4C 55 41 4B C8 EF 95 LOBALSCR.LUAKИп•
00000100 1C 00 53 4F 55 4E 44 2F 42 47 4D 2F 68 61 6C 6C ..SOUND/BGM/hall
00000110 6F 77 65 65 6E 74 68 65 6D 65 2E 6F 67 67 C7 7B oweentheme.oggЗ{
00000120 07 4B 1D 00 53 4F 55 4E 44 2F 42 47 4D 2F 6A 75 .K..SOUND/BGM/ju
00000130 6E 6F 6E 5F 61 64 76 70 6C 61 69 6E 73 2E 6F 67 non_advplains.og
00000140 67 B6 67 EB B3 1A 00 53 4F 55 4E 44 2F 42 47 4D g¶gлі..SOUND/BGM
00000150 2F 54 6F 77 6E 30 32 5F 6A 75 6E 6F 6E 2E 6F 67 /Town02_junon.og
00000160 67 20 D8 F0 16 0F 00 52 75 66 66 50 72 6F 74 65 g Шр...RuffProte
00000170 63 74 2E 65 78 65 9C F6 C3 D9 14 00 53 43 52 49 ct.exeњцГЩ..SCRI
00000180 50 54 53 2F 54 55 54 4F 52 49 41 4C 2E 4C 55 41 PTS/TUTORIAL.LUA
00000190 42 60 B4 4C 1D 00 53 4F 55 4E 44 2F 42 47 4D 2F B`ґL..SOUND/BGM/
000001A0 50 79 72 61 6D 69 64 30 31 5F 4A 75 6E 6F 6E 2E Pyramid01_Junon.
000001B0 6F 67 67 40 61 81 E5 18 00 53 4F 55 4E 44 2F 42 ogg@aЃе..SOUND/B
000001C0 47 4D 2F 54 6F 77 6E 30 31 5F 4F 72 6F 2E 6F 67 GM/Town01_Oro.og
000001D0 67 4E E4 49 84 0F 00 52 75 66 66 50 72 6F 74 65 gNдI„..RuffProte
000001E0 63 74 2E 64 6C 6C B4 3B 50 18 ct.dllґ;P.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

stlay пишет:
1.ruffroseN.bin - файл
Ничем. Это скорее всего файл конфигурации

| Сообщение посчитали полезным:

Конвектор base64
Peid Not Found
PiD тоже самое
DiE Not Found
Какой то прот точно не упаковщик.
ifolder.ru/6497983

| Сообщение посчитали полезным:

UzVeR очередной криптор/пакер которым паковали какие-то malware

| Сообщение посчитали полезным:

UzVeR, вроде QuickPack NT

| Сообщение посчитали полезным:

VAD87 пишет:
UzVeR, вроде QuickPack NT угу, он самый.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

у меня Peid говорит - PE Win32 DLL (0 EntryPoint)

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA, так этот пакер на взгляд легко определить (он сливает всё в одну секцию + использует старый trick с 0 EntryPoint) в принципе клон кучи других.
PS и распаковывается за 10 сек.

| Сообщение посчитали полезным:

Уважаемые ну я ж сам её паковал, там точно qpack, секция переименована с помошью CFF Expl.
Там ещё и исходник прилагался...

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

1. VCM Editor (HP Tuners) v2.1.6.0
2. Выслать могу по запросу (похоже, custom-билды под каждого покупателя)
3. 5.5 Mb
4. Nothing found
5. Compiler: Visual C/C++ | C/C++ | Heuristic: Nothing found (в том числе и все остальные методы)
6. Все слито в одну кучу - ".text 00001000 0041F000 00000200 00003B80 E0000020 c/b/i/r"
7. PEID: 3.20 (Not Packed) / DiE: Index 99.930 --> Packed
Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.

-----
старый пень

| Сообщение посчитали полезным:

1.VirusHunter_utilities (regpatch.dat и любой экзешник)
2.daxa.com.ua/rar/VirusHunter_utilities.rar
3.100кб
4.Not a valid PE file
5.Not a valid PE file
6.-
7.-
regpatch.dat написан скорее всего на Borland C++,а остальные возможно это какой-то bat2exe,возможно 16битные проги?.
Вроде утилиты для борьбы с вирусами,и все сделано цивильно(сайт,описание)

| Сообщение посчитали полезным:

serkuz, не запакованы. 16-битные компилированные bat-ники

| Сообщение посчитали полезным:

mozaxaka спасибо.А regpatch.dat? Если посмотреть блокнотом-можно увидеть Borland C.Или это просто 16битный экзешник?

| Сообщение посчитали полезным:

1. Win32.Trojan.Radi / Win32:Dialer-1222, MD5=a8c7bbaaed29718c3c143e9f2ef21fbc
2. Google://dm_0233.exe ("не по форме", по понятным причинам)
3. 8kb
4. nothing
5. nothing
6. .flat
7. 7.08 (Packed) - потому что под криптором находится файл сжатый UPX-ом.

Это какой-то говно-криптор, видел несколько несколько разновидностей троянов и прочей гадости, а также несколько разных вариантов stub'а. Секция всегда только одна, и всегда ".flat", import table отсутствует.

Для этого stub'a сигнатура на entrypoint: 9031C391E8000000005883E809BAC804000001C289C352E8C10300006A03FF93DC0400 008D93CD02000052FF93CC040000CD03

| Сообщение посчитали полезным:

1. IE Screenshot Pro
2.http://rapidshare.de/files/39563879/iescreenshotpro.dll.html
3.~600kb
4.Aspack 2.12

| Сообщение посчитали полезным:

А вот это: XXMA д › @F ) A Џ p‹
 xњЭUПk\U>o’Ж±ЌљґҐE;

запаковано в AMXX_Studio можно получить оригенал скрипта

| Сообщение посчитали полезным:

1. Juva1d2d
2. dump.ru/file_catalog/423419
3. 632 KB
4. ASPack 2.12 -> Alexey Solodovnikov
5. Heuristic: Nothing found, External Singn : ASPack 2.12
6. .ASPack .ASPack
7. Bytes: 652434 Entropy Index: 99.853

При ручной распаковки у меня складывается впечатление что это не совсем аспак 2.12 ...

| Сообщение посчитали полезным:

BadM00nz
Там не ASPack. Похоже на RLPack с подменной сигнатурой ASPack.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
Похоже на RLPack
RLPack и похоже свежая версия ;) Вот анпакнутый , наскоряк .
rapidshare.com/files/120204896/Juva1D2DU_.rar

| Сообщение посчитали полезным: