Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
1. VServer 6
PeX

| Сообщение посчитали полезным:

MD5: ED5AF0D6F3266DC4FAA8F3EBD30E04D8
pex V0.99 -> params
Notice:0x00000400 extra bytes found,starting at offset 0x0029A600.

| Сообщение посчитали полезным:

ADMIN-CRACK
NikolayD
пасибо ребят!!!
мой оеп и импорт правильный? подскажите по анпаку чего нибудь (инфу и т д)

| Сообщение посчитали полезным:

Правильные. По анпаку google.com -> "unpacking pex 0.99"

| Сообщение посчитали полезным:

Приветствую.

1. MMC ASA
2. http://files.mail.ru/DN3939
3. 1.8Mb
4. PEiD:
amData.dll - yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
hlkill.dll - yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
ASALTG.dll - ACProtect 1.3x - 1.4x DLL -> Risco Software Inc. *

5. DiE:
amData.dll - Nothing detected!
hlkill.dll - Nothing detected!
ASALTG.dll - ACProtect 1.3x - 1.4x DLL -> Risco Software Inc.

6.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00094573 00000000 00000000 60000020 none
CONST 00096000 00000050 00000000 00000000 60000020 none
.rdata 00097000 00006C0A 00000000 00000000 C0000040 none
.data 0009E000 000527CC 00000000 00000000 C0000040 none
UPX0 000F1000 0000F150 00000000 00000000 E0000020 none
UPX1 00101000 000688C7 00001000 00069000 E0000060 e/i
.reloc 0016A000 00000070 0006A000 00001000 C0000040 breloc
.rsrc 0016B000 000004EC 0006B000 00001000 40000040 res

7. 7.97 (Packed)

Софт было отучен от хаспа, перепакован и предлагается за денюжку предприимчивыми людьми с привязкой к некоему hwid =)
Все три либы из одного софта.
С первого взгляда моего не слишком наметанного глаза - упакованы вроде бы одинаково, по крайней мере похоже.
В ASALTG.dll PE Explorer спокойно опознал UPX и успешно его распаковал.
Но с двумя другими либами проблема.
amData.dll - изначально на ней был "HASP HL Protection 1.X -> Aladdin *",
сейчас нечто другое + код для инжекта hlkill.dll, который собственно обламывает запросы к HASP.
Т.е если грузить amData.dll без hlkill.dll рядом - видим стандартные сообщения HASP Error .
Если либа обнаруживается - получаем ругань о виртуалке либо отладчике от hlkill.dll

Помогите понять что за зверь такой...
В конечном мне необходимо будет добраться до внутренностей amData.dll, нужен определенный алгоритм оттуда.

Вот еще на всякий случай:
ExeinfoPE:
amData.dll - *** Unknown DLL Self Write code ! unknown protection
hlkill.dll - *** Unknown DLL Self Write code ! unknown protection
ASALTG.dll - UPX dll -> Markus & Laszlo - ver. [ ] <- info from file

RDG Packer Detector 0.6.9
amData.dll - VMProtect v1.6x - v2.x
hlkill.dll - VMProtect v1.6x - v2.x / Possible: VMProtect (Heuristic Detection)
ASALTG.dll - UPX v1.95 Beta - 3.x

| Сообщение посчитали полезным:

jtiny
да VMProtect тут

тебе сюда - exelab.ru/f/action=vthread&forum=13&topic=15982

| Сообщение посчитали полезным: jtiny

BAHEK пишет:
jtiny
да VMProtect тут

немногословно, но спасибо =)
а это нормально что одна либа ругается на запуск в ВМ и отладчик (и ольга падает) а второй поровну?

| Сообщение посчитали полезным:

С amData.dll, Олька пока только рычит на неполный дистрибутив библиотек из импорта.
По hlkill.dll:

Дальше свипер в зубы

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: jtiny

Привет всем.
какая-то ерунда, как понять,чем упакован файл или не упакован?

Peid показывает:
1. normal scan - не упакован
2. deep scan - UPolyX v0.5 *
3. hardcore scan - borland delphi

DIE показывает: - С++

Секции .text .data .bss .CRT .idata

Похоже на Си++ Билдер, но хз даже.

Quick unpack показывает что OEP is not correct

Сам файл вот http://zalil.ru/33919987
это малварь, на рабочем компе запускайте осторожно, если вдруг что.

| Сообщение посчитали полезным:

morgot
Ничем не пакован, но каким-то криптором похоже прошлись по файлу.

morgot пишет:
это малварь, на рабочем компе запускайте осторожно, если вдруг что.

Лучше на раб.компе вообще не запускать ;)


-----
ds

| Сообщение посчитали полезным: morgot

DimitarSerg пишет:
Ничем не пакован, но каким-то криптором похоже прошлись по файлу.
Нет так никокого криптора, в data секции в открытую лежит dll написанная на delphi , который тоже непакован инжектится в explorer.exe и там делает свои грязные дела.
p.s.
Есть специальная тема для вирусни...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Помогите понять, чем упаковано:
DiE:
PEID:
ProtectionID:

DiE показывает что yoda protector, но как то ему не верится. Помогите.

Файл: http://rghost.ru/private/41494616/eb44a530b7bf52fe3063c77d8b423d7e

Спасибо.

| Сообщение посчитали полезным:

Скорее всего это - http://netobf.com/

.NET cборку можно сдампить DotnetDumper'ом от CodeCracker'a

Unpacked

| Сообщение посчитали полезным:

Добрый вечер.
Подскажите, чем упакован.
1. this.dll
2. http://www.sendspace.com/file/rpxilp
3. 201.98kb
4. PEiD

5. DiE


Protection ID

6. Sections


| Сообщение посчитали полезным:

a2ee
Судя по секциям, похоже на обсидиум

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

Всем добрый вечер. Недавно снова увлекся вылечиванием различных онлайн-игр от анти-чит протекторов. В итоге натолкнулся на вот этот интересный файл и не могу определить пакер.
"Точного названия программы" нет, но это лаунчер для minecraft, при запуске подгружает необходимый контент с сайта (размер небольшой), проводит апдейт и позже похоже присоединяет GameGuard.

PEiD говорит "Not a valid PE file". DNiD просто вылетает с ошибкой.

Launcher.exe http://www.sendspace.com/file/ds2vw3

GameGuard.exe http://www.sendspace.com/file/t3zz6w

| Сообщение посчитали полезным:

evmy
ничем не упакован ни первый ни второй файл (x64) написан на Visual C++ 10.0 (Visual Studio 2010).
интересно с чего вы взяли что файлы упакованы чем то? могу предположить потому что в ольку не загружалось? ну так они и не будут загружаться, олька не поддерживается отладку x64 битных приложений, юзай IDA Pro и будет тебе счастье
evmy пишет:
Однако мне кажется, что должны быть и 32-х битные версии.
прикрепи ссылки к посту, посмотрю)

| Сообщение посчитали полезным:

Спасибо, чуть позже постараюсь разобраться.
Однако мне кажется, что должны быть и 32-х битные версии.

| Сообщение посчитали полезным:

1. Враппер с Giveaway of the Day
2. http://rghost.ru/42134968
3. 3155kb
4. http://s1.ipicture.ru/uploads/20121210/hirDOFTA.png
5. -
6. http://s1.ipicture.ru/uploads/20121210/qUX1VEVB.png
7. 7.86 (Packed)
Добавлю что при загрузке, врапер проверяет такие дрова как: ntice.sys, iceext.sys, Syser.sys, HanOlly.sys, extrem.sys, FRDTSC.sys, fengyue.sys
К сожалению запустить под отладчиком это чудо не получилось, т.к. на оприделенном этапе олька говорит: "Unable to read memory of debugged process (00534000..00534003)." и идет курить бамбук.

p.s.: Что-то знакомое с драйверами и именами секций, но что конкретно никак не вспомню. МБ execryptor?

| Сообщение посчитали полезным:

TryAga1n пишет:
1. Враппер с Giveaway of the Day
---------------------------
Themida
---------------------------
A debugger has been found running in your system.

Please, unload it from memory and restart your program.
---------------------------
ОК
---------------------------

| Сообщение посчитали полезным: TryAga1n

доброго времени суток

1. Игровой клиент сервера aionlegend.ru
2. http://rghost.ru/42219312
3. 1258 КБ
4. Nothing found *
5. Nothing found
6. без имени, .rsrc, .reloc, .idata, без имени, prlsquxy, hxgybowd скрин секций rghost
7. 7.85 (Packed)

если еще укажете на статьи или анпакер, буду благодарен вдвойне

| Сообщение посчитали полезным:

manco
---------------------------
Themida
---------------------------
A debugger has been found running in your system.

Please, unload it from memory and restart your program.
---------------------------
ОК
---------------------------

анпакать скриптом LCF-AT (погугли)

-----
ds

| Сообщение посчитали полезным: manco

1. xProtect
2. http://rghost.ru/private/42325265/819754b3399e2ce4e97edbf7bea2f0ca пасс www.exelab.ru
3. 1.1 МБ
4. .NET executable -> Microsoft [ZIP SFX] *
6. .text .data .rdata .bss .idata .CRT .tls .rsrc
7. 5.78 (Not Packed)

| Сообщение посчитали полезным:

Mishar_Hacker

я не запускал (на всякий случай), зато в оверлее нашел документ Word 2007 на голландском, что ли, языке
NOD32 выдал вердикт - "модифицированный Win32/Injector.AACZ троянская программа"
вот он, документ, в аттаче - один рисунок покоцан, но 2/3 его видно.
какие-то желтые шары, фиг поймешь...
что касается структуры EXE, то имеем маленький PE файл (Visual C/C++), к нему приклеен дотнет, к нему вдобавок оверлей с фиг знает чем и с документом...

З.Ы. запустил под VMWare, но там не стоит .NET Framework, поэтому "tempvbc.exe", созданный в папке Temp, и являющийся .NET'овским приложением, не смог запуститься и сделать своё черное дело.


c072_18.12.2012_EXELAB.rU.tgz - xProtect1_result.zip

| Сообщение посчитали полезным:

sivorog
А ты попробуй там я так и не понял но программа рабочия точно
Просто не могу Nag обойти

| Сообщение посчитали полезным:

поднимая очи свои светлые на шапку говорю - есть файл , пакован мне неизвестным пакером, если кому-то знакомый пакер - прошу помочь, заранее СПС
Файл: http://depositfiles.com/files/5kglvzgh3

| Сообщение посчитали полезным:

pseudocode
может ты всё таки по форме оформишь или хотя бы файл выложишь че гадать то по секциям???

add: не плоди сообщения, тут тебе не чат, пользуйся кнопкой Правка

| Сообщение посчитали полезным:

От модератора: тебе сколько раз надо сказать, чтобы ты поднял свои очи светлые на шапку и оформил как положено?

| Сообщение посчитали полезным:

1. CableSoft.exe
2. http://www.mediafire.com/?z1dp67v7co0av6d
3. Identifiers






3. Unpackers



4. --> Link <-- or

--> Mirror Link <--

| Сообщение посчитали полезным: