Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

1. AdVis 2.0
2. http://www.mediafire.com/?w7y9k4wp8o6b2ot
3. 0,9 Mb
4. PC-Guard 5.0 -> Blagoje Ceklic
5. Microsoft Visual C++ | C/C++
6.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00002000 00089BE4 00000200 00089C00 E0000020 code
.rsrc 0008C000 00002FC8 00089E00 00003000 C0000040 d/r
.reloc 00090000 0001D600 0008CE00 0001D600 E0000040 b/i

7. --> Packed - 99,702

Если таки PC-Guard 5.0 - то есть ли там навесная защита по ключу или просто упаковка? Нужен ли ключ для распаковки?

Спасибо.

| Сообщение посчитали полезным:

1. ПДД 2011 (Выпуск 13)

2. http://www1.zippyshare.com/v/37273588/file.html

3. 3,5 Мб

4. Nothing found *

5. Nothing found

6.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00236000 00001000 000F9200 E0000040 code
.rsrc 00237000 000D2400 000FA200 0009B400 C0000040 res
.idata 0030A000 00001000 00195600 00000200 C0000040 imp
.data 0030B000 00228000 00195800 00000200 E0000040 none
.data 00533000 001F5000 00195A00 001F4200 E0000040 tls
.data 00728000 00001000 00389C00 00000400 E0000040 none


7. 7.82 (Packed)


ЗЫ на предыдущей версии ПДД висела Themida,
эту кардинально переделали и тут что-то новое!

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
Глянул в хиеве - либо самопал какой-то сверху, либо фимка прогрессирует, имхо

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
фимка
+1 оно самое.

| Сообщение посчитали полезным:

1. Dxtory 2.0.101
2. http://grind.mass.hc.ru/dxtorycore.rar
3. 381кб
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Nothing Found
6. .text .rdata .data .rsrc .reloc
7. 6.73 (Maybe Packed)

По поведению отладчика похоже на Themida, но боюсь, ошибаюсь. Знатоки, помогите, пожалуйста.

| Сообщение посчитали полезным:

Zanzi пишет:
По поведению отладчика похоже на Themida, но боюсь, ошибаюсь. Знатоки, помогите, пожалуйста.
да ничем по ходу оно не упакованно. ну aplib там вроде юзается.

| Сообщение посчитали полезным:

1.Без названия.
Кухня из нескольких либ, сорцов для начала элементарной работы
карты захвата с камерой высокого разрешения. Для любительской астрономии.

2.http://ifolder.ru/23882514

3. Вес -2,7 Мб

4. Microsoft Visual C++[Overlay] (PEiD)
KANAL говорит о трех криптосигнатурах.

5.Microsoft Visual C++[ver:6.0] C/С++ (DiE)
Entropy Index 99.740

6. .text , .rdata , .data , .rsrc

7. Возможно EXEcrypt ?



Хочет ключ.
Инсталл по алгоритму похож на SFX-архив.
Непонятно, куда рыть и что сделать.
Уже неделю в Олли ковыряю и до сих пор нет идеи.

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

sabakingОбычный инстолятор расспаковывающий свой архив по ключу,проверка ключа идёт с этого адресса
/*406420*/ SUB ESP,0C

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: sabaking

1. СУИС Мосвар "Понаехали тут!" 1.63
2. https://rapidshare.com/files/2951754412/MoswarAssist.exe
3. Вес 4.32 МБ
4. Microsoft Visual C++ v6.0 DLL *
5. Borland Delphi 2.0 [Overlay]
6. .text , ini , .data .exe
7. 8.00 (Packed)
Похоже на VMProtect , может, ошибаюсь. подскажите, пожалуйста

| Сообщение посчитали полезным:

uzgate пишет:
1. СУИС Мосвар "Понаехали тут!" 1.63
2. https://rapidshare.com/files/2951754412/MoswarAssist.exe
Похоже на VMProtect , может, ошибаюсь. подскажите, пожалуйста
он самый

-----
SaNX

| Сообщение посчитали полезным: uzgate

TERA.exe
1. TERA online
2. http://zalil.ru/31084779
3. 14 mb
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ l C/C++
6. Имена секций модуля (незнаю)
7. Энтропия(незнаю)
Запускаеться при помощи startera_v1f.exe

| Сообщение посчитали полезным:

1. GIS 6 Prof v.6.1.3.5
2. http://rghost.ru/11304621
3. 8 МБ
4. Microsoft Visual C++ 8.0 *
5. Borland Delphi | Object Pascal
6. CODE DATA BSS .idata .tls .rdata .reloc .text .adata .reloc1 .pdata .rsrc
7. --> Packed - 91,569

Программа запускается только с ключом (любой из списка: Hasp HL, Hardlock, Guardant Stealth II), самого ключа нет в наличии, предыдущие версии не были запакованы и "лечились" элементарно.
Вопрос решен. Спасибо Vovan666.

| Сообщение посчитали полезным:

Vnv пишет:
1. GIS 6 Prof v.6.1.3.5
Ни чем не паковано. OEP стандартное для C++

| Сообщение посчитали полезным:

Vnv пишет:
1. GIS 6 Prof v.6.1.3.5
<Protection Options>
Debug-Blocker
Nanomites Processing
Armadillo v8.40 14-04-2011

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: Valemox, Vnv

От модератора: ты шапку видел, как оформлять надо? вот и оформи

| Сообщение посчитали полезным:

1 .Haddan Bot
2. http://narod.ru/disk/4710882001/Haddan.zip.html
3. 594.65 кБ
4. BobSoft Mini Delphi -> BoB / BobSoft
5. Borland Delphi 3.0 (???)
6. .text .itext .data .bss .idata .didata .tls .rdata .reloc .rsrc
7. 82,429

| Сообщение посчитали полезным:

Belko пишет:
1 .Haddan Bot
Чистое, не пакованное. Написано на Delphi 2010.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

1. Cowberry v1.8
2. http://rghost.ru/12260271
3. ~4мб
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Nothing found
6.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00370170 00000000 00000000 60000020 none
.itext 00372000 00002820 00000000 00000000 60000020 none
.data 00375000 0000E748 00000000 00000000 C0000040 none
.bss 00384000 00005F28 00000000 00000000 C0000000 none
.idata 0038A000 000042DA 00000000 00000000 C0000040 none
.didata 0038F000 000003A6 00000000 00000000 C0000040 none
.tls 00390000 00000048 00000000 00000000 C0000000 none
.rdata 00391000 00000018 00000000 00000000 40000040 none
.ASPack0 00392000 002B2E67 00000000 00000000 E0000060 none
.ASPack1 00645000 003EB16C 00000400 003EB200 E0000060 t/e/i
.rsrc 00A31000 00010FB2 003EB600 00011000 40000040 res
7. 8.00 (Packed)

буду благодарен, если скинете мне распакованную программу в пм

| Сообщение посчитали полезным:

FanRa3 пишет:
1. Cowberry v1.8
VMProtect

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

1. Antistealth 2.5.5
2. http://rghost.ru/12532381
3. ~1.8мб
4. Microsoft Visual C++ 8 *
5. Microsoft Visual C++ | C/C++
6.
.text 00001000 003063E5 00000400 00306400 60000020 code
.rdata 00308000 000FC800 00306800 000FC800 40000040 d/i
.data 00405000 0000C0C8 00403000 00006A00 C0000040 none
.rsrc 00412000 0005ADBC 00409A00 0005AE00 40000040 res

7. 6.59 (Maybe Packed)

| Сообщение посчитали полезным:

97Power97 пишет:
1. Antistealth 2.5.5
Ничем не паковано - Написано в Visual C++ 9.0

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

97Power97 пишет:
1. Antistealth 2.5.5
ничем

new: пора спать xDDD

| Сообщение посчитали полезным:

1. Antistealth 2.5.5
2. http://rghost.ru/12540341
3. ~2мб
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Nothing found
6.
.text 00001000 0003F1EB 00000000 00000000 60000020 none
.rdata 00041000 00026E88 00000000 00000000 40000040 none
.data 00068000 000037F8 00000000 00000000 C0000040 none
.UPX0 0006C000 001BDF8C 00000000 00000000 E0000060 none
.UPX1 0022A000 001FDFF0 00000400 001FE000 E0000060 imp
.reloc 00428000 0000007C 001FE400 00000200 40000040 breloc
.rsrc 00429000 000005DC 001FE600 00000600 40000040 res

7. 7.95 (Packed)

P.S. извините, не знал, что проверка ключа лежит в другом файле)

| Сообщение посчитали полезным:

97Power97 пишет:
P.S. извините, не знал, что проверка ключа лежит в другом файле)
VMProtect

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

1. IBot 3.01
2. http://rghost.ru/12563291
3. ~255кб
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Nothing found
6.
.text 00001000 00064000 00000400 00063400 60000020 code -
.data 00065000 0003E000 00063800 0003E000 C0000040 data -
.bss 000A3000 00002000 00000000 00000000 C0000080 none -
.rdata 000A5000 00024000 000A1800 00023800 50000040 none -
.jidata 000C9000 00008000 000C5000 00008000 C0000040 none -
.idata 000D1000 00001000 000CD000 00000400 C0000040 imp -
.jedata 000D2000 00004000 000CD400 00003600 40000040 none -
.reloc 000D6000 00007000 000D0A00 00006200 42000040 breloc -
.rsrc 000DD000 00006000 000D6C00 00005E00 40000040 res -
.config 000E3000 00001000 000DCA00 00000600 50000040 none -

7. 5.28 (Not Packed)

| Сообщение посчитали полезным:

1.wm_retr
2.http://rghost.ru/13180121 пасс 123
3.1.6 мб
4. Nothing found *
5. Nothing found
6.
.MPRESS1 00001000 001CC000 00000200 00081600 E00000E0 code
.MPRESS2 001CD000 00000E98 00081800 00001000 E00000E0 t/i
.rsrc 001CE000 000595E4 00082800 00059600 C0000040 res


ЗЫ
Подскажите чем можно распаковать.

| Сообщение посчитали полезным:

Старенький простенький пакер MPRESS, типа упыха. Под ним Delphi.

| Сообщение посчитали полезным:

1. neoSigma.dll
2. http://rghost.ru/13435191
3. 2.19 мб
4. Microsoft Visual C++ 8.0 DLL Method2
5. Microsoft Visual C++ ver. 8.0 DLL (83)
6.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 0020A482 00001000 0020B000 60000020 code
.rdata 0020C000 000048F1 0020C000 00005000 40000040 d/e/i
.data 00211000 00007D4C 00211000 00007000 C0000040 none
.rsrc 00219000 0000BA98 00218000 0000C000 40000040 res
.reloc 00225000 0000DEF4 00224000 0000E000 42000040 breloc

mysterio пишет:
Ничем не паковано. Dll как dll.
да ну?

| Сообщение посчитали полезным:

SReg
Ничем не паковано. Dll как dll.

UPD: Sorry, все-таки ошибся. Сбило с толку то что PEiD и DiE показывали что не паковано. Но насторожило то что в длл-ке нету ничего такого что могло бы дать ее размер - 2 Mb.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: