| Сейчас на форуме: (+8 невидимых) |
 |
eXeL@B —› Протекторы —› "Чем упаковано" |
| << 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 36 . 37 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 23 февраля 2008 22:26 · Поправил: Модератор · Личное сообщение · #1 Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь. Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (, ...). Что здесь допускается? Вопросы по форме: 1. Точное название программы с указанием версии 2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру). 3. Размер архива 4. Информация из PEiD ( ) 5. Информация из DiE ( ) 6. Информация из DiE v2 ( ) 7. Имена секций модуля 8. Энтропия Ответы по форме: 1. Протектор/пакер 2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее. 3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно). Что здесь категорически не допускается? - Ссылки на крякми и другие поделки авторов поста. - Готовые решения (распакованные файлы, пароли, патчи, кейгены...). - Благодарности. - Повторы вопросов или ответов. - Обсуждения любого рода!!! Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения. Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик. Пожелания по топику - через личные сообщения модераторам. Будут удаляться все посты, отступающие от форм. За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP. С уважением, модераторы форума CRACKL@B ----- Всем не угодишь  |
|
|
Создано: 05 июля 2011 05:27 · Личное сообщение · #2 SReg пишет: neoSigma.dll Похоже на vm vmprot's mysterio пишет: Ничем не паковано. Dll как dll. /*1018C857*/ AND ECX,1 /*1018C85D*/ PUSHFD /*1018C85E*/ PUSH A974F869 /*1018C863*/ PUSH EDX /*1018C864*/ MOV EDX,BE826ED8 /*1018C869*/ ADD DWORD PTR [ESP+4],251ED388 /*1018C871*/ SUB [ESP+4],EDX /*1018C875*/ POP EDX /*1018C876*/ RETN ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 27 июля 2011 11:10 · Личное сообщение · #3 1. vcds 10.6 rus.exe 2. http://zalil.ru/31473532 3. 1.73mb 4. UPolyX v0.5 * 5. Microsoft Visual C++ | C/C++ 6. .text;.bss;.rnojlt;.idata;.rsrc;.kita;.kita2 7. Bytes: 1924608, Entropy Index: 99,602 |
|
|
Создано: 27 июля 2011 15:10 · Личное сообщение · #4 sierra пишет: 6. .text;.bss;.rnojlt;.idata;.rsrc;.kita;.kita2 ЛОЛ, там была и есть пепка + я сделал инлайн о чём собственно информируют секции kita и kita2 
|
|
|
Создано: 28 июля 2011 15:13 · Личное сообщение · #5 1. Aml Maple 2.5.8.489 2. Ссылка на защищённый исполняемый файл в архиве - http://rghost.ru/16060961 3. 1,04 Мб 4. Информация из PEiD - Nothing found * 5. Информация из DiE - Microsoft Visual C++ [ver: x.x] | C/C++ 6. Имена секций модуля - .text 00001000 00032AB9 00000400 00032C00 60000020 code .rdata 00034000 00007034 00033000 00007200 40000040 data .data 0003C000 000067A8 0003A200 00004800 C0000040 none .VMP0 00043000 000FAD53 0003EA00 000FAE00 60000060 exp .tls 0013E000 00000018 00139800 00000200 C0000040 none .VMP1 0013F000 0000E616 00139A00 0000E800 E0000060 t/i .rsrc 0014E000 00017228 00148200 00017400 40000040 res 7. Энтропия - 7.34 (Packed) |
|
|
Создано: 28 июля 2011 15:25 · Личное сообщение · #6 solderr63 vmprotect? ----- старый пень |
|
|
Создано: 05 августа 2011 17:51 · Личное сообщение · #7 1. SeismoSignal 2. Ссылка на защищённый исполняемый файл в архиве - http://rghost.ru/16941021 3. 3518 K 4. Информация из PEiD - Nothing found * 5. Информация из DiE - Compiler: Borland Delphi | Object Pascal Heuristic: Nothing found 6. Имена секций модуля: .rsrc, .idata, nsismaec, nzoygcxg,nzoygcxg, .data 7. Entropy Index: 99.498, Status: ---> Packed Предполагаю Themida/Winlicense (но, например, RDG Themida-Winlicense Version Finder v0.1.exe не определяет) |
|
|
Создано: 05 августа 2011 18:42 · Поправил: OKOB · Личное сообщение · #8 blacksea пишет: Предполагаю Themida/Winlicense Версию не скажу, но они родимые 009246ED push 45h 009246EF call sub_924797 009246F4 push 783749Ah 009246F9 call sub_9247DD 009246FE push 0A894B25h 00924703 call sub_9247DD да и в сдампленом образе полно строк WinLicense ----- 127.0.0.1, sweet 127.0.0.1 |
|
|
Создано: 06 августа 2011 04:00 · Личное сообщение · #9 OKOB пишет: Версию не скажу 2.1.2.0-2.1.6.0 |
|
|
Создано: 17 августа 2011 12:16 · Личное сообщение · #10 Подскажите пожалуйста... http://rghost.ru/private/18250481/6d528c6a146e04df7cde87aded521110 9,9 Мб Die: Nothing found ExeInfo: Unknown Packer-Protector , 13 sections ( more than necessary ), maybe new Borland compiler Sections: Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed: Gui>COfb 00001000 007D33F8 00000400 007D3400 60000020 code ,_BkkUw' 007D5000 000036B4 007D3800 00003800 60000020 none D&(/8cMH 007D9000 0007CF24 007D7000 0007D000 C0000040 data oye[YF+0 00856000 000A3660 00000000 00000000 C0000000 none o5`Z&8.Q 008FA000 000052A4 00854000 00005400 C0000040 none JRy(jsSY 00900000 00000450 00859400 00000600 C0000040 none lYO5TG^9 00901000 0000004B 00859A00 00000200 40000040 none v@*9!'j% 00902000 000000C0 00000000 00000000 C0000000 none Tj+2\v`? 00903000 00000018 00859C00 00000200 40000040 none Oo&W3t]I 00904000 00BE8D84 00859E00 00BE8E00 E0000060 exp =-$Ut<bg 014ED000 0002A92A 01442C00 0002AA00 E0000060 t/i ,\jaS C- 01518000 000ABA20 0146D600 000ABC00 40000040 breloc v-w)H1<v 015C4000 0000418F 01519200 00004200 40000040 res Неужели VMProtect ? 
----- ds |
|
|
Создано: 17 августа 2011 16:40 · Личное сообщение · #11 DimitarSerg пишет: Неужели VMProtect ? Он родимый 
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 19 августа 2011 20:19 · Личное сообщение · #12 1. dSQP 1.2 2. http://www.mediafire.com/?3y8m3bi52k6iden 3. 2.7MB 4. PEiD - Nothing found * 5. DiE - Nothing found 6. Sections: Code:
|
|
|
Создано: 19 августа 2011 20:27 · Личное сообщение · #13 Qbik похоже на EXECryptor
----- [nice coder and reverser] |
|
|
Создано: 19 августа 2011 21:11 · Личное сообщение · #14 Hellspawn пишет: похоже на EXECryptor Фимка или что-то из той серии. |
|
|
Создано: 21 августа 2011 18:43 · Поправил: Модератор · Личное сообщение · #15 Здравствуйте! Я ламер... От модератора: здравствуй, ламер. ты настолько ламер, что не можешь прочитать шапку и оформить, как там написано? |
|
|
Создано: 21 августа 2011 20:15 · Личное сообщение · #16 Хорошо попробую сделать как написано в шапке. Название программы: Darky Arma2 Multi-Hack 2011 http://www.multiupload.com/T6LFSTUMN2 Размер - 819 килобайт. Peid - Nothing found DiE - Nothing Found Остальные параметры даже не знаю где посмотреть. |
|
|
Создано: 21 августа 2011 22:35 · Личное сообщение · #17 |
|
|
Создано: 26 августа 2011 22:28 · Личное сообщение · #18 1. SpirITix Key Checker 3.2 2. http://ifolder.ru/25406757 ссылка на программу 3. 5 мб 4. http://floomby.ru/content/vLYRYVzYcU скрины результатов программ Peid, Die, к сожалению ни 1 программа не помогла Пожалуйста, помогите, если что не пинайте.) |
|
|
Создано: 26 августа 2011 23:06 · Личное сообщение · #19 kola1357, VMProtect |
|
|
Создано: 26 августа 2011 23:31 · Личное сообщение · #20 Спасибо, а вы не подскажите программу, с помощью которой вы определили, а то Peid меня подводит, не всегда определяет. С уважением. |
|
|
Создано: 26 августа 2011 23:49 · Личное сообщение · #21 Exe Info
|
|
|
Создано: 29 августа 2011 19:04 · Личное сообщение · #22 А у меня то чем? peID 0.95 выдает вроде acprotect 1.3 -1.4 x. как эту хрень снять? Стрипперы только с exe работают/ |
|
|
Создано: 02 сентября 2011 18:54 · Поправил: Breetonia · Личное сообщение · #23 Вопросы по форме: 1. PEID 0.95 2. http://rghost.ru/20228441 4. Microsoft Visual C++ 6.0 - 8.0 [Overlay] ,Linker info: 6.0,но,судя по кривым именам секций,скорее всего это упаковщик.Entrypoint: 327000 5. heuristic: nothing found ,compiler: visual c++ 6. Имена секций модуля 7. хз что такое Энтропия )))) Об упаковке подсказала оля = )(наверное,потому,что точка входа расположена за пределами секции кода,как указано в секции пе  ,вот только разве это запрещено ? Любой может изменить её в .pe)После раза 1 нажатия ф9,программа вырубается,Аттач тоже не помогает,плагин детача в оле тоже падает - так и не понял,что всё ЭТО значит. Кстати,LastErr содержит ERROR_SXS_KEY_NOT_FOUND = ).Тоже непонятно... |
|
|
Создано: 02 сентября 2011 19:20 · Личное сообщение · #24 Так,с последней ошибкой разобрался,я просто в exception options все галки выставил(наверное,отладчик попытался сам обойти эти иксепшны...и обломался,что странно) |
|
|
Создано: 02 сентября 2011 20:29 · Личное сообщение · #25 Breetonia [!] X-Trap Online Game Security Solution Module ! [!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected ! [i] Hide PE Scanner Option used |
|
|
Создано: 05 сентября 2011 11:22 · Поправил: DimitarSerg · Личное сообщение · #26 Подскажите, чем упаковано вот это FlashDiggerPlus 4.1.5.199 http://www.mediafire.com/?hfi0nyaodpl4yea ProtectionID Scanning -> C:\Documents and Settings\mASteR\Desktop\FlashDiggerPlus 4.1.5.199\FlashDigger.exe File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 2098688 (0200600h) Byte(s) [File Heuristics] -> Flag : 00000000000001101100000000000001 (0x0006C001) [!] File appears to have no protection or is using an unknown protection - Scan Took : 0.813 Second(s) ExeInfo : Unknown Packer-Protector , 12 sections ( more than necessary ) -> PE Header manipulated/tampered <- RDG вообще PESpin находит... p.s. Помнится статья (вроде бы vnekrilov'a), в которой говорится о Enigma + ASPR AKAB Да я вроде и не просил анпакать (мне эта программа и в помине не нужна). Я лишь спросил, чем она упакована. ----- ds |
|
|
Создано: 05 сентября 2011 13:13 · Личное сообщение · #27 DimitarSerg пишет: Подскажите, чем упаковано вот это FlashDiggerPlus 4.1.5.199 один смог unpacked http://www.mediafire.com/?aua50j3l08anx3t or http://www.megaupload.com/?d=TIQX8002 |
|
|
Создано: 05 сентября 2011 18:48 · Личное сообщение · #28 Есть китайское видео по распаковке от некого Sacrifice в котором утверждается, что это ExeCryptor 2.2.4 xDDD но там же yoda cryptor или я не прав? Есть тутор от haggar, но там версия diProtector 1.0 на которой действительно ExeCryptor xDDD Ловкий и хитрый китаец ))) |
|
|
Создано: 06 сентября 2011 01:07 · Личное сообщение · #29 DimitarSerg 1. прот Х.З 2. прот 100% ASPR ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 08 сентября 2011 05:11 · Личное сообщение · #30 NikolayD, там не криптор. |
|
|
Создано: 08 сентября 2011 15:25 · Личное сообщение · #31 1.Fishing Bot v5.1.8fm 2.http://www.multiupload.com/0NKW91HZ63 3.203 KB 4.Microsoft Visual C# / Basic .NET 5.Nothing found 6. .text .data .reloc 7.Bytes: 303104, Entropy Index:89,697 P.S. В exe-шнике стояла защита от Рефлектора. Убрал по Рефлектор говорил "Invalid number of data directories in NT header" и потом "Module contains zero or multiple module definitions". Сейчас рефлектор ее кушает. |
| << 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 36 . 37 . >> |
|
eXeL@B —› Протекторы —› "Чем упаковано" |
Для печати