Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

1. MultiPing 2.10.2.19
2. MultiPing.rar
3. 2 Мб
4. Nothing found [Overlay] *
5. Nothing found
6.
7. Энтропия 99.304

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
1. MultiPing 2.10.2.19
Themida WL

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: [0utC4St]

1. Flash Capcha
2. Флешка которая расшифровывает капчу.
3. l2top.ru/StrongCaptcha.swf (Полный функц l2top.ru/vote/1/ )
4. 102 кб
5. -
6. -
7. -
8. -

Господа подскажите чем забручено, и если есть возможность избавте от брута.

| Сообщение посчитали полезным:

1. ExeOutput for PHP 1.2
2. www.multiupload.com/1UKIBJL132
3. 3,98 МБ (4 178 080 байт)
4. PEiD: Nothing found [Overlay] *
5. DiE: Borland Delphi [ver: x] | Object Pascal; Nothing found
6.
7. Энтропия: 99, 151

| Сообщение посчитали полезным:

soho прикольно какая то хрень неизвестная, еще и дебагер палит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill, OEP нашли?

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

Это же не запрос на распаковку, я даже не пытался.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
soho прикольно какая то хрень неизвестная, еще и дебагер палит.
проверяет на хук GetTickCount

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: soho

Имя процесса проверяется и окно, проверка на сайс итд.

Оля2 Вин7 х64:

i.imgur.com/k8ZoW.jpg

| Сообщение посчитали полезным:

soho пишет:
1. ExeOutput for PHP 1.2
Похоже на Obsidium

| Сообщение посчитали полезным: soho

huckfuck пишет:
Похоже на Obsidium
Чем похоже? Забавно а в чем там антиотладка что библ нет для запуска

| Сообщение посчитали полезным:

1. ChangeID 1.0
2. realfile.ru/810502
3. 0.5
4. Nothing found
5. Nothing found
6.
7. 98.546
з.ы. Насколько я чего вообще понимаю, самописка. Интересная в плане топорности антиотладка (фантик в зубы и всё путём). Запрос сделан на случай если я не в теме(то есть не увидел что это банальный и известный всем хомячкам прот).

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

pavka пишет:
huckfuck пишет:
Похоже на Obsidium
Чем похоже?
Это обсид последних версий.

pavka пишет:
Забавно а в чем там антиотладка что библ нет для запуска
Он дал только сам ехе не инсталяху.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

pavka пишет:
Чем похоже?
первое открытое алго криптования ТЕА декрипт в котором константа sum=0xC6EF3720 получается на основе 0x267A79A^0x0C48890BA
DATA:00F5D5F7 mov edi, 267A79Ah
DATA:00F5D610 xor edi, 0C48890BAh
встречал только в Обсиде

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: mak

BoRoV пишет:
Это обсид последних версий.
Обсид что на хомяке там обычный движок

| Сообщение посчитали полезным:

Шансы распаковать есть? В смысле, ставить в запросы на распаковку?

| Сообщение посчитали полезным:

Шансы есть всегда. Но это не значит, что это будет кому-то интересно и кто-то будет возиться.

| Сообщение посчитали полезным:

Что за протектор, свои части раскидывает по всему коду и экранирует с помощью
$$protect_start$$
$$protect_end$$
PEiD и DiE показывают не паковано и Delphi
распаковывается по мере выполнения, поблочно.

Нашёл, это DotFix NiceProtect... Для него есть какие-нибудь анпакеры?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Нашёл, это DotFix NiceProtect... Для него есть какие-нибудь анпакеры?
Он раньше руками быстро снимался, как щас хз. В инете есть пару мувиков и туторов.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

1. Pikkubot
2. http://www.multiupload.com/PX705AMSV4
3. 4.7mb
4. PEiD : dotNet Reactor v3.x5. Nothing found
5.
6.

File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 2030080 (01EFA00h) Byte(s)
[File Heuristics] -> Flag : 00000000000001001100000000110000 (0x0004C030)
[!] dotNet Reactor v3.x detected !
[i] Setting: Library Mode
[i] Necrobits: disabled
[CompilerDetect] -> .NET

i try to decompil it but do not find how to do clean unpack/decrypt
Many Thanks
Я стараюсь decompil, но не нашли, как сделать чистым распаковки / расшифровки
Многие Спасибо

| Сообщение посчитали полезным:

1. video4CarPC v-0.001
2. http://www.rapidshare.ru/1748657
3. 1,15 мб
4. PECompact 2.x -> Jeremy Collake
5. Borland Delphi | Object Pascal

| Сообщение посчитали полезным:

Здравствуйте люди добрые!
Хочу изложить свою проблему и просьбу о помощи.
Приобрел я видео курс, куча файлов и т.д. Но...
Видео упаковано в sfw файлы, а потом ещё всё запихнуто в exe' шники.
Так вот проблема в чём заключается: выслали мне вместе с архивом и лицензионный ключик, который я ввёл при первом запуске ехешника, всё заработало но проблема в том что качал на чужом ноуте, а эта зараза привязалась к его железу и теперь не хочет открываться на моей машине
Сижу уже 4 день лапачу весь интернет, и Ваш форум в том числе, перепробовал кучу декомпиляторов, "извлекаторов" из электронных книг, ни один не понимает что это такое.
Прошу о помощи знающих людей, помогите флэшки выдернуть из ехешников.
По ссылке приклеен один из файлов видео курса.
http://www.multiupload.com/MCYEVU3RL0
Что ещё нашёл: нашёл в реестре данные в аттаче

Просьба не судить строго, я новичок и может что-то не так написал или чего-то упустил.
Вину свою полностью признаю, что не прочитал о том что активация книги привязывается к железу компа.
Заранее всем спасибо кто откликнется на мою просьбу.

406c_13.03.2011_CRACKLAB.rU.tgz - reg.reg

| Сообщение посчитали полезным:

RCIUC
VMProtect

| Сообщение посчитали полезным:

Vovan666
Спасибо большое за ответ.
А кто сможет помочь извлечь всё это чудо? Я никогда этим не занимался.

| Сообщение посчитали полезным:

Никогда не занимался-в запросы на взлом тогда.

| Сообщение посчитали полезным:

RCIUC
Сейчас это поскипают за оффтоп )

Вариант: запустить exe, сканером (типа Artmoney) пройтись по все памяти процесса в поисках строк (CWS, либо FWS). Это начало файла флэша, если такое будет найдено можно сдампить. Для неупакованных размер файла - второй dword от начала файла.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

1. Daqarta v6.00.1 (daqarta.com)
2. Ссылка на файл: http://rapidshare.com/files/452610223/Daqarta.rar (пароль: daq)
3. Размер архива: 320Кб.
4. Информация из PEiD v0.94: Nothing found
5. Информация из DiE v0.64: Nothing found
6. Имена секций модуля:
.text
.rdata
.data
.rsrc
7. Энтропия: bytes: 383744 entropy index: 91,817 status: packed

| Сообщение посчитали полезным:

golgo13, ничем

| Сообщение посчитали полезным:

s0l пишет:
golgo13, ничем
т.е. что-то самопальное от авторов?

| Сообщение посчитали полезным:

golgo13
Cамопальный криптор,обфускатор какойто
Добави:
Cама прога написана была до изминнений на MASM,e.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: