Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

pavka
Bad_guy пишет:
Что здесь категорически не допускается?
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
эм...)

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

подскажите чем упакована прога ?

Линк убит ввиду подозрения на сайт со сплоитами. Выкладывай на обменники, если надо. И предупреждай, что там малвара!

если кто распакует вознагражу $$$
сделка строго через администрацию форума

| Сообщение посчитали полезным:

sawers

Прошу прощения у модеров за оффтоп, но

"Имеется информация о том, что сайт ХХХ используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован." (С) Firefox 3.0
А судя по поведению проги, она представляет собой фэйковый антивирь.

Еще раз, уважаемые модеры, сорри за офф, не мог не сказать.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Ну а вот это к запросу sawers почитать на досуге
www.pcthreat.com/parasitebyid-6848en.html

| Сообщение посчитали полезным:

ОСТОРОЖНО!!! Вредоносное ПО!!!
1. Троянская прогамма (возможно семейство OnlineGame или AutoRun)
2. http://rapidshare.com/files/120770813/pack.rar.html http://rapidshare.com/files/120770813/pack.rar.html (содержит файлы и описание)
3. Размер архива: 220 KB
4. Информация из PEiD: Nothing found [Overlay] *
5. Информация из DiE: Nothin found
6. Имена секций модуля: 3 безымянные секции.
7. Энтропия: 99,551

В архиве две троянские программы. Распаковка не занимает много времени, но ОЧЕНЬ интересно, что это за такой хитрый прот, и как он называется.

Особенности протектора:
В начале идёт несколько несложных полиморфных декодеров. Дальнейший код "разбавлен" инструкциями вида "call xxx", где xxx - адрес пустой функции ("push reg32, pop reg32, ret"). Протектор расшифровывает содержащуюся в нём DLL (trojan01_dll01._) и самостоятельно, прямо из памяти, имитируя действия Windows-лоадера, загружает её. Библиотека выполняет ряд проверок направленных видимо на противодействие эмуляторам антивирусов. Далее таким же образом извлекается ещё одна библиотека (trojan01_dll02._), которая получив управление извлекает и загружает в систему драйвер (trojan01_dll02_drv01._). Драйвер проверяет и восстанавливает SSDT. Если все проверки пройдены, управление передаётся на оригинальную программу (троянец).

P.S. Key: cracklab.ru

| Сообщение посчитали полезным:

1. SETOOL2 Unlock
2. Тыкать http://dl01.seliweb.com/files/se/soft/setool_unlock.rar (если будет перекидовать, то по ней не надо жать, а сразу качать)
3. PEiD говорит Nothing found *
4. DiE говорит Nothing found
5. 8 секций
CODE32
CONST32
npkf28ve
wk2ujvn7
5t4czua1
.rsrc
tylyl473
brzn27ud
6. Энтропия 99,288, хард скан показывает --> Packed --> Nothing found
разработчики этой проги достали меня, первую версию Темидой защитили, а эту хрен знает какой

| Сообщение посчитали полезным:

По секциям напоминает ExeCryptor

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

mozaxaka там EXECryptor последний, если интересует защита то там SmartCard, если не имеешь ключа то даже и не суйся ;).

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

1. HTML Executable 3.3.1
2. rapidshare.com/files/122346683/HEBuild.rar.html
3. 1,75 MB, сама прога 11,4 MB
4. Nothing found [Overlay] *
5. Borland Delphi [ver: x] | Object Pascal
6. Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.codex 00001000 005B5000 00000200 00000200 E0000020 code
.codex 005B6000 00207CAA 00000400 00204225 E0000020 d/t/e/i/r
7. 8.00 (Packed)

Видимо какой-то самопальный пакер, нехило палит олли, у меня запустилость только под фантомом, детектит обычные бряки, так что лучше хардварными пользоваться, но найти оеп просто:
00BB783A -E9 C589BDFF JMP HEBuild.00790204 ; jump to oep

Одно хорошо - импорт девственно чист

Также есть что-то вроде кодсплайсинга, например тут

004054B6 . 57 PUSH EDI
004054B7 .- E9 94AFE300 JMP dumped__.01240450
004054BC . 85C0 TEST EAX,EAX

Можно сдампить эту секцию и прилепить к дампу, но еще останутся места где
01241C98 8B0D 140A3F00 MOV ECX,DWORD PTR DS:[3F0A14]

вот с этим хз как бороться

| Сообщение посчитали полезным:

АСПР там старый, вроде, с ОЕП спёрты стандартные 3 байта. Указанное место-просто защита от дампа, походу. Если реально аспр-можешь попробовать прогнать через стриппер или восстановить, по сути это просто спёртые инструкции, вынесенные в аллоканную память, заметаморфленные и соединённые джампами с кодом.

| Сообщение посчитали полезным:

1. NFOviewer v2.1
2. _http://shup.com/Shup/46548/4.rar
3. 78.5 кб
4. 5. Ничего
6. Насколько я понимаю, имена "мусорные"
7. Паковано, однозначно

| Сообщение посчитали полезным:

Gideon Vi пишет:
NFOviewer v2.1
farbrauschPE by werkkzeug толи поляки то ли чехи делают типа kkrunchy

004013BD 68 A0714000 PUSH NFOviewe.004071A0 ; ASCII "THETA NFO Viewer v2.1" OEP
004013C2 6A 00 PUSH 0
004013C4 6A 00 PUSH 0
004013C6 E8 E5090000 CALL NFOviewe.00401DB0 ; JMP to kernel32.CreateMutexA
004013CB E8 0A0A0000 CALL NFOviewe.00401DDA ; JMP to ntdll.RtlGetLastWin32Error
004013D0 3D B7000000 CMP EAX,0B7
004013D5 75 1D JNZ SHORT NFOviewe.004013F4
004013D7 68 10100000 PUSH 1010

| Сообщение посчитали полезным:

1. myac client v1.5.0
2. www.cyberplay.ru/files/myAc_1.5.0_pro.rar
3. 1.65 MB
4. PEiD - Nothing found *
5. DiE - Nothing found
6. CODE, DATA, BSS, .idata, .tls, .rdata, .myac0, .rsrc, .myac1, .myac2
7. entro: 92 020

не поверю чтобы автор написал свой прот

| Сообщение посчитали полезным:

1. PSD Delphi String Protect v2.1
2. www.petrosod.com/fclick/fclick.php?ad=3
3. 342
4. PEiD: Nothing found *
5. DiE: ASPack 2.12
6. НЕт
7. Возможно сама собой упакована.

| Сообщение посчитали полезным:

trouble пишет:
5. DiE: ASPack 2.12
Он и есть, только вроде версия другая или слегка модифицирован.

0048FD64 55 PUSH EBP ; OEP
0048FD65 8BEC MOV EBP,ESP
0048FD67 83C4 F0 ADD ESP,-10
0048FD6A B8 FCFA4800 MOV EAX,dsp.0048FAFC

| Сообщение посчитали полезным:

trouble
100% ASPack 2.12 -> Alexey Solodovnikov

add: oep тупо модифицировано

| Сообщение посчитали полезным:

v0id2k
Я не спорю что это ASPack 2.12, но что не слегка модифицирован
так это точно. Запускал DeFixed'om, так там строки все спрятаны,
возможно пер ASPack 2.12 сделали защиту строк.

| Сообщение посчитали полезным:

trouble
итить. ты описание программы прочитал бы для начала, для чего она предназначена =
ЗЫ: про детект крэк утилит только не спрашивай следущим постом, он там есть.
ЗЗЫ: 004813B4 - вот адрес процедуры детекта, чтобы не плодородил запросов больше =\

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
описание программы прочитал бы для начала
....или бы просто название программы внимательно прочитал
Delphi String Protect

| Сообщение посчитали полезным:

Вы правила читали? Всех троих сейчас могу отправить в баню. Поскольку топик не слишком ходовой, пока не буду. Но варнинг всем троим постерам выше меня. Особенно траблу, во многих топиках не очень осмысленные посты.

| Сообщение посчитали полезным:

2 trouble..
Про PSD Delphi String Protect v2.1...
Думаю что это был PECompact... В аттаче распакованый файл

97a4_17.07.2008_CRACKLAB.rU.tgz - dsp_unpack.zip

| Сообщение посчитали полезным:

1. Karaoke
2. караоке player
3. Программа Автор неизвестен
4. размер в архиве - 6117 KB
5. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
6. ssv1@hotmail.com

rapidshare.com/files/132404825/KaraokeBar.rar

rapidshare.com/files/132448755/Sentinel_Keys_Driver.rar

| Сообщение посчитали полезным:

видать самопальный упаковщик.даже стринги открыты.может я ошибаюсь...

| Сообщение посчитали полезным:

sergvia пишет:
Karaoke
Там накрыто ключиком Sentinel. Фиг знает какая версия у ключа. И неплохо было бы иметь оригинальный донгл к проге.

Добавлено
По-моему тебе в запросах лучше добавить примечание "за слом заплачу БАБЛО" ;)
Или обратиться к BfoX или Larry

| Сообщение посчитали полезным:

1 vag-rus 7
2 4.131mb
3 PEiD: Nothing found *
4 DiE: Nothing found *
5 .text .rdata .data .reng .rrus .rsrc .VAGRUS0 .VAGRUS1
6 Паковано, однозначно
rapidshare.com/files/132685973/Vag-Rus_7.0.exe.html

| Сообщение посчитали полезным:

www23 пишет:
Паковано, однозначно
PcGuard всегда был навешан
Хотя судя по секциям это репак Выложи отдельно екзешник

| Сообщение посчитали полезным:

rapidshare.com/files/132782144/1.rar.html

2290mb exe +dll
vag-rus 7


00AD42C5 /. 68 D8BFDCCE PUSH CEDCBFD8 -ep
00AD42CA |. E8 D4DB0400 CALL 00B21EA3
00AD42CF |. 68 D63F0EB3 PUSH B30E3FD6
00AD42D4 |. E8 69D90400 CALL 00B21C42
00AD42D9 |. A6 CMPS BYTE PTR DS:[ESI],BYTE PTR ES:[EDI]
00AD42DA |. 0C 46 OR AL,46
00AD42DC |. 15 710DF1D1 ADC EAX,D1F10D71
00AD42E1 |. BE 4B98A571 MOV ESI,71A5984B
00AD42E6 |. 306E 9E XOR BYTE PTR DS:[ESI-62],CH
00AD42E9 |. A9 9FD37862 TEST EAX,6278D39F
00AD42EE |. 2167 55 AND DWORD PTR DS:[EDI+55],ESP
00AD42F1 \. C2 9004 RETN 490
был навешан

| Сообщение посчитали полезным:

www23
Мне длл не надо у меня их навалом ;) сам екзешник он примерно под 900кб должен весить

| Сообщение посчитали полезным:

rapidshare.com/files/132811466/VagRus.rar.html
pavka
вот

| Сообщение посчитали полезным:

www23
Это репак каким то самопалом ;) Сложного ни чего нет .Шибко мусорный прот как помойное ведро
0045F25B 55 PUSH EBP <-----OEP
0045F25C 8BEC MOV EBP,ESP
0045F25E 6A FF PUSH -1
0045F260 68 08454800 PUSH VagRus.00484508
0045F265 68 8CDA4500 PUSH VagRus.0045DA8C
0045F26A 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0045F270 50 PUSH EAX
0045F271 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0045F278 83EC 58 SUB ESP,58
0045F27B 53 PUSH EBX
0045F27C 56 PUSH ESI
0045F27D 57 PUSH EDI
0045F27E 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0045F281 E8 88115800 CALL VagRus.009E040E
Таблика востанавливается скриптом
var i_st
var i_end
var k
var u
var fn
var chk
var chku
mov k,7c800000
mov u,77d30000

mov i_st,47D000
mov i_end,47D598

loop:

cmp i_st,i_end
ja quit
cmp [i_st],0
je n
mov fn,[i_st]
mov chk,fn
and chk,FFF00000
cmp chk,k
je n
mov chku,fn
and chku,FFFF0000
cmp chku,u
je n
impproc:
mov fn,[i_st]
mov eax,fn
exec
ROR EAX,0A
BSWAP EAX
ROR EAX,19
NOT EAX
BSWAP EAX
NEG EAX
ende
mov fn,eax
mov [i_st],fn
add i_st,4
jmp loop

n:
add i_st,4
jmp loop

quit:
ret
Остается только перебить ссылки типа call XXXXXXXX и Jmp XXXXXXXX
на сответственые для компилера
что то же без особого труда можно сделать так как адресация типа
009E0413 A1 30D24700 MOV EAX,DWORD PTR DS:[47D230]
009E0418 E9 012A0100 JMP VagRus.009F2E1E
без особых проблем можно накатать скрипт

| Сообщение посчитали полезным: