Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

1. BomberPhones 4.0 (Registrator)
2. http://nekaka.com/d/5JTtL5KiIm
3. 914.2KB
4. Nothing found *
5. Nothing found
6. http://desmond.imageshack.us/Himg818/scaled.php?server=818&filename=sections.png&res=landing
7. http://desmond.imageshack.us/Himg52/scaled.php?server=52&filename=entropy.png&res=landing

| Сообщение посчитали полезным:

es_di пишет:
1. BomberPhones 4.0 (Registrator)
Themida.

Добавил:
УДалил:
Эта рега для спам софта

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: es_di

es_di
антивирус ESET показал что это Themida

| Сообщение посчитали полезным: SaLvaTruCha

Archivarius 3000 4.52
http://rghost.ru/39775047

DiE UPX <Modified>
PEiD UPX -> www.upx.sourceforge.net *

Можно как либо выяснить что за модификация и как ее снять?
При попытке ручного анпака не доходя до установленного бряка на переход на предполагаемый OEP прога падает

| Сообщение посчитали полезным:

evggrig пишет:
DiE UPX <Modified>PEiD UPX -> www.upx.sourceforge.net *

UPX и есть... Только секции переименованы. Распаковывается также, как обычный.

"При попытке ручного анпака не доходя до установленного бряка на переход на предполагаемый OEP прога падает"

У меня не упала...

UPD: погорячился я. Под семеркой код превратился в кашу, под XP все нормально. Правда распакованный файл ругается на некую ошибку по адресу... +проверка CRC

UPD2: В общем так. Используйте XP. UPX, вроде как обычный. По адресу 00E5B522 валяется переход на OEP. Остальное в ЛС

| Сообщение посчитали полезным:

nick8606
Можно всеже увидеть ваш вариант анпака?

| Сообщение посчитали полезным:

Можно узнать чем запакована эта программа?
Вот ссылка на установщик:
http://www.sytexis.com/bin/playclaw.exe
Если нужен только упакованный ехе, то вот:
http://rghost.ru/39893405

Перепробовал с Peid, die и все пишут, что не знают.

| Сообщение посчитали полезным:

airatos
VMProtect

| Сообщение посчитали полезным:

А как узнали?

| Сообщение посчитали полезным:

airatos
http://www.exelab.ru/f/action=vthread&forum=13&topic=11325&page=22#26

| Сообщение посчитали полезным:

airatos пишет:
А как узнали?
анализаторы Exeinfope 0.0.3.1 или RDG Packer Detector показывают что запаковано VMProtect

| Сообщение посчитали полезным: CTPaHHuk

pm-ak.exe
https://rapidshare.com/files/3538505222/ak.exe
Размер: 6.8Mb
PEid: UPX 1.24
Die: UPX 1.24 Compiler Borland Delphi | Object Pascal
6: ?
7: ?
Чем можно снять?

| Сообщение посчитали полезным:

kodoi пишет:
pm-ak.exe
Действительно UPX, распаковать можно этим или руками
Это гайд по устройству автомата?
Формула кода активации: (персональный код * 3 + 54612245) * 2

| Сообщение посчитали полезным: kodoi

hlmadip
огромное спасибо.
сам хотел, распаковать удалось, а вот дальше олька ругаться начала.. (антиотладка какая нить стояла)?

| Сообщение посчитали полезным:

Интересует чем запаковано. Или мои определители пакеров устарели или...

1. Длл от AION. protect.bin(только защита. установщик весит 17 гигов.)
2. http://www.fayloobmennik.net/2145360
3. 684кб. Без архивации.
4. Nothing found *
5. Nothing found
6.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 000079F4 00000000 00000000 60000020 none -
.rdata 00009000 00001FD1 00000000 00000000 40000040 none -
.data 0000B000 00002B5C 00000000 00000000 C0000040 none -
.v-lize0 0000E000 0009242D 00000000 00000000 E0000060 none -
.v-lize1 000A1000 000A8480 00001000 000A9000 E0000060 e/i X
.reloc 0014A000 000000D8 000AA000 00001000 42000040 breloc -

7. Entropy: 7.89 (Packed)

Сразу говорю это не темида. Это либо что то ручное либо что-то новое. Секции странные первый раз с таким столкнулся.
p.s. посоветуйте свеженький аналог peid.

| Сообщение посчитали полезным:

Wiwian
VMProtect v.2.07 - X.X

| Сообщение посчитали полезным: Wiwian

1. PRCR-Bot v1.7
2. http://zalil.ru/33728277
3. 655 КБ (670 720 байт)
4. Nothing found *
5. Enigma protector 1.xx
6. ?? [.rscr], [.prcr]
7. Packed

| Сообщение посчитали полезным:

_or_75 пишет:
5. Enigma protector 1.xx
3.60

| Сообщение посчитали полезным: _or_75

1. TxtLock
2. http://txtlock.ru/txtlock.exe
3. 2.96 Мб
4. Microsoft Visual C# / Basic .NET [Overlay]
5. Microsoft Visual C# / Basic .NET [Overlay]
6. .text .rsrc .reloc
7. Какой то zip архив разархивируется в %Temp% там создаётся файл TXTLock.exe (непонятно на чем написал и чем упакован)
Написан на .NET с обфускацией или на С++ и упакован Obsidium 1.3.x - 1.x.x?

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
упакован Obsidium 1.3.x - 1.x.x?
Net программа накрытыя Obsidium.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: schokk_m4ks1k

1.СHGBIОS
2.http://zalil.ru/33779235
3. 29кил
4. no PE
5. no PE
Ничего из известных анализаторов незнают этот пакер. Это не похоже на UPX. Подскажите что это за сабж такой-;)

| Сообщение посчитали полезным:

evserv
Detected file format: MS-DOS executable (EXE)
Ничем не паковано

ajax
Ida выдала, а код не смотрел, а HIEW один раз за все время юзал.

-----
ds

| Сообщение посчитали полезным:

evserv
DOS EXE. пакер какой-то самопальный
DimitarSerg
глазками в hiew глядеть надо, автоанализаторы дос-файлы уже давно не курят

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

1. rift-borntro.
2. http://narod.ru/disk/61717493001.47a01e0a1fa88020759201fb9a0f30f2/RiFT-borntro-1366x768.exe.html
3. 3,98 Кб.
4. Nothing found [Overlay] * (ну, да оно и понятно, стал бы я сюда постить, если б было по-другому).
5. Nothing found
6. Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
)Б’)РCГ 00010000 0C810000 00000001 00000200 E00000E0 b/i
7. Да упакован он по энтропии. То, что упакован, это я вам гарантирую.

Короче, какой-то ролик хотел подизасмить и поизучать, как оно там всё прорисовано. Хрен там - какая-то херня сверху навешана - я такой ещё не видел. Фишка в создании бегемотных секций ака РЕР так, что под дебаггером виснет.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Фишка в создании бегемотных секций ака РЕР так, что под дебаггером виснет.
Самопальный
В эту секцию пишутся нужные данные для работы программы,вот типа расспакованный ругается антивирус на него --> password:12345 <--
Вообще это называется демо-сцена пару сайтов для тебя
--> scene.org <--
--> demoscene.ru <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: ARCHANGEL

Подскажите что это за средство лицензирования ?


9589_29.09.2012_EXELAB.rU.tgz - registered1.jpg

| Сообщение посчитали полезным:

BarsMinsk пишет:
Подскажите что это за средство лицензирования ?
Похоже на Enigma Protector
BarsMinsk пишет:
Вы это подразумеваете ? http://enigmaprotector.com/ru/home.html
Да, именно это.

-----
We do what we want because we can.

| Сообщение посчитали полезным:

verdizela Спасибо за ответ. МНе очень важно знать что именно. Вы это подразумеваете ?
http://enigmaprotector.com/ru/home.html

| Сообщение посчитали полезным:

BarsMinsk, правила в шапке для кого Bad_guy пишет:
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!).
а так по скрину, да, похоже на энигму.

| Сообщение посчитали полезным:

1. VServer 6
2. --> КлиК <--
3. 2.50 мб
4. Nothing found
5. Nothing found
6. секции без названий абсолютно все (первый раз такое вижу, вот поэтому и решил запостить)



желательно и инфу по распаковке) оеп вроде нашел, но с имортом (как всегда) траблыыыы (про PE читаю по возможности )
OEP - 0086D688
импорт (начало 01CCA2A4 и конец 01CCAF08)! поправте если не так!

| Сообщение посчитали полезным: