Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

notmember пишет:
https://www.dropbox.com/s/z21fx2pp441vx5e/Inejctor.rar

Программа, в принципе, это скорее всего обертка над библиотекой и меня интересуют именно функции из библиотеки, поэтому хотел бы разобрать именно ее. Но зашифрована.
Либа не упакована, она просто покоцанная. Ищи нормальную версию вообщем.
Клиент написан на AutoIt, декомпиль в аттаче, можешь посмотреть какие апишки дергаются.

f723_28.10.2013_EXELAB.rU.tgz - a.au3

| Сообщение посчитали полезным:

notmember, упых.
http://rghost.ru/49784070

| Сообщение посчитали полезным:

cobb пишет:
Либа не упакована, она просто покоцанная. Ищи нормальную версию вообщем.

Да в том и дело, что она гарантировано рабочая - вместе с прогой пашет отлично, но, например, ида ее вообще открыть не может даже. И не только ида. Отсюда и непонятки....
Прога - видел что на аутоите, по иконке, просто решил пока ее не трогать. Но спасибо что декомпильнул
В общем, наверное придется ковырять прогу и смотреть что она с либой делает чтоб та работала...

ff0h пишет:
notmember, упых.
http://rghost.ru/49784070

Спасибо, но мне бы либу

| Сообщение посчитали полезным:

notmember
>>Да в том и дело, что она гарантировано рабочая - вместе с прогой пашет отлично
Это потому что прога её 'разкоцывае'.
Сама же либа кончена, начиная SizeOfOptionalHeader и кончая еще бог знает чем. А код скорее всего покрыт каким то детским шифром, шо отмачивает прога которая подгруживает эту дллку.

| Сообщение посчитали полезным:

notmember пишет:
Да в том и дело, что она гарантировано рабочая - вместе с прогой пашет отлично
хз чем она у тебя загружается, но файл тупо невалидный. вот нормальная версия http://www.mediafire.com/download/mzvmvfjhp1cemvy/nosPacket.rar

| Сообщение посчитали полезным:

Разбирайтесь в личке. В шапке написано, никаких обсуждений и распаковок.

| Сообщение посчитали полезным:

Warehouse v1.04
http://yadi.sk/d/tnfF41svBzmes
864 kB
PEiD v0.95: PECompact 2.x -> Jeremy Collake
DiE 0.78: PeCompact(2.0x)[Heuristic Mode]

Не получается найти OEP (ну и как следствие распаковать). Написана на Delphi, но есть сомнения, что есть что-то поверх пакера...

Спасибо за ответ!

| Сообщение посчитали полезным:

BFAll пишет:
Warehouse v1.04http://yadi.sk/d/tnfF41svBzmes864 kBPEiD v0.95: PECompact 2.x -> Jeremy CollakeDiE 0.78: PeCompact(2.0x)[Heuristic Mode]Не получается найти OEP
00640918 > $ 55 PUSH EBP

BFAll пишет:
(ну и как следствие распаковать)
Обращайтесь в ЛС.

BFAll пишет:
Написана на Delphi
Так и есть.
BFAll пишет:
но есть сомнения, что есть что-то поверх
Без сомнений PeCompact(2.0x)[Heuristic Mode]

To Jaa:
Archer пишет:
В шапке написано, никаких обсуждений и распаковок.

-----
We do what we want because we can.

| Сообщение посчитали полезным: BFAll

BFAll
PeCompact (2.0x)
oep: 00640918
iat: 006481a4
size: 878

| Сообщение посчитали полезным: BFAll

Добыл архив (в виде инсталлятора) с оружием для Counter-strike - ZENITH7 Arms, файл Z7Arms.exe размером 69 Мб.
Устанавливать не хочу т.к. во-первых мало ли чего там, во-вторых он может сломать мне мой настроеный CS напихав в него того что мне не нужно.

Анализ Z7Arms.exe:
http://www.4shared.com/download/3iJnJJ17/exe_DIE2.png?tsid=20131112-171448-c68fee42
http://www.4shared.com/download/gr_3LgqS/exe_DIE.png?tsid=20131112-171529-794c71dd
http://www.4shared.com/download/IKQeArJz/exe_EPE.png?tsid=20131112-171547-60ae6773
http://www.4shared.com/download/Q7EUEUTQ/exe_PEiD.png?tsid=20131112-171617-9dc2be00
короче ничего не понятно...

Распаковал я его с помощью Тotal commander-плугина InstallExplorer v0.9.1, получил вот что:
splash.bmp - 2.3 Мб
instmsia.exe
instmsiw.exe
0x0409.ini
Setup.ini
ZENITH7 Arms.msi - 63 Мб

Очевидно всё добро сосредоточено в ZENITH7 Arms.msi, но популярные распаковщики его не берут. Пробовал такими:

MSI Unpacker from JSWare (April, 2013)
lessmsi v1.1.3
Universal Extractor (сборка DreamLair v2.0.0)
InstallExplorer v0.9.1 (ТС-плугин)
7zip 64 v9.20
WinRAR 5 64

Наверное это не msi-файл...
Кстати, splash.bmp как картинка тоже не открывается.

При просмотре заголовка ZENITH7 Arms.msi по F3 в TC (так я обычно по быстрому определяю что за файл на самом деле) видно, что он начинается на f.b. (hex: 66 04 62 15). Такой заголовок мне не знаком...
вот скриншот: http://www.4shared.com/download/Og1ob0vd/msi_tc.png?tsid=20131112-181023-31f495a9

вот ещё анализы ZENITH7 Arms.msi:
http://www.4shared.com/download/_Lcpz7v5/msi_DIE.png?tsid=20131112-181432-767c3bc
http://www.4shared.com/download/hQFnQELT/msi_EPE.png?tsid=20131112-181453-e78179d5

Помогите кто может раздербанить этот склад с оружием.

Вот сам инсталятор (69 Мб): http://yadi.sk/d/2EzUZZ6SCda8k

| Сообщение посчитали полезным:

http://forum.ixbt.com/topic.cgi?id=23:44321
http://forum.3dnews.ru/showthread.php?p=2303109
итд еще на 50 форумах запостите одно и тоже
вируталку быстрее бы поставили

| Сообщение посчитали полезным:

Fuego
"Кривые" инструменты у Вас. Нет в файле ничего ценного. Запускаем. Он распаковывает себя в темп, далее топаем туда. Там все как на ладони:
plash.bmp
instmsia.exe
instmsiw.exe
0x0409.ini
Setup.ini
ZENITH7 Arms.msi -чистый ,а не как у Вас.
--> Link <--

| Сообщение посчитали полезным:

Перезалил Z7Arms.exe на другой хостинг.

==DJ==[ZLO]

А вы как распаковали? Просто запустив? Или инструменты есть хорошие?

| Сообщение посчитали полезным:

Во-первых, никаких обсуждений в топике.
Во-вторых, запрос не в тему, тут как бэ другие упаковщики.
В-третьих, постить на куче форумов сразу-дурной тон.
Нет времени разбираться с ВМ? Конечно, это повод нагрузить других своей работой.

| Сообщение посчитали полезным:

1. Design Knit 8
2. http://rghost.ru/50187833
3. 11.6 mb
4. Nothing found [Overlay] *
5. Microsoft Visual C++ | C/C++
6. Microsoft Visual Studio(8.0)[C++]
7. .text .rdata .data .rsrc .reloc
8. 7.80934

| Сообщение посчитали полезным:

bnm
Indigo Rose Setup Factory Installer
какой-то левый, криво сделанный

| Сообщение посчитали полезным: bnm

1. oLikeBot v2.9.3 от Volk
2. https://www.dropbox.com/s/sgulojm15bmfwje/oLikeBot.zip
3. 584 704 байт
4. DiE:
.NET(-)[EXE32]
Microsoft Visual Studio(-)[.NET/EXE32]
MS Linker(8.0)[patched/EXE32]

Не могу определить чем накрыт IL код.

| Сообщение посчитали полезным:

1. Prospector 3.6
2. http://rghost.net/51152219
3. 1.7 MB
4. Microsoft Visual C# / Basic .NET
5. Microsoft Visual C++ | C/C++
6.
7.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00002000 001ACE60 00001000 001AD000 60000020 c/i
.reloc 001B0000 0000000C 001AE000 00001000 42000040 breloc
.rsrc 001B2000 00005D60 001AF000 00006000 40000040 res

8. Entropy index 80.7

Написана на .NET . de4dot 3.0.3 не берет. В .NET reflector строки - арабская вязь.
Интересует что за обфускатор, хочется изучить исходник в рефлекторе.


| Сообщение посчитали полезным:

Hi
I try all things /stud_pe, DiE, fastscaner,peid,rdgp/...but not know which paker use
link
http://narod.ru/disk...ft_147.rar.html
from http://phreaker.us/f...ead.php?t=11352
program icc
regards

| Сообщение посчитали полезным:

dino1961 пишет:
http://narod.ru/disk...ft_147.rar.html

Wrong link.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

1. GateWay
2. http://yadi.sk/d/fOCB9LZXFxk83
3. 151 КБ (154 743 байт)

Помогите разобраться, пожалуйста, при декомпиляции в .NET reflector не совсем верные куски кода.
Большое спасибо!!!!

| Сообщение посчитали полезным:

dmitrivan
хоть там и дот нет сборка, но редкий случай - mixed mode
ето значит, что кроме дот нета есть и нативный кодес (коего > 90%

.NET Reflector вам не поможет
http://prntscr.com/2j1v5o
какая вообще задача стоит? прога ничем не пакована, явно не в топик

| Сообщение посчитали полезным: lovetofa

lovetofa пишет:
1. Prospector 3.6

http://dfiles.ru/files/tpzs21ffv

| Сообщение посчитали полезным: lovetofa

sendersu
Спасибо большое, было такое подозрение.
Хотели посмотреть код, чтобы понять алгоритм работы приложения, одна из веток алгоритма скорее всего не правильно работает, вот и хотели узнать из-за чего.

| Сообщение посчитали полезным:

1 Beautiful Calculator 3
2 http://rghost.ru/51973183
3 225kb
4 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov [Overlay]
5 ASProtect 1.22 - 1.23 Beta 21
6 ASProtect(1.23-2.56)[EXE32]
7 Потерты
8 Not PAcked

я понимаю что все три судьи сказали Да, но все же подтвердите, ибо какой то странный файл.

| Сообщение посчитали полезным:

==DJ==[ZLO]
Какой-то старенький(1.21 - 1.23) аспр 100%

| Сообщение посчитали полезным: ==DJ==[ZLO]

==DJ==[ZLO],
Beautiful Calculator 3.26
- 120% аспр. Когда-то его ковырял...
Только он, гад, всё равно не работает на старом (PII) железе.
Проверил - работает.



| Сообщение посчитали полезным:

EF Commander
http://www.efsoftware.com/dw/dwzp.cgi?cw
3,9Мб

Аспротект.
Хотелось бы знать точную версию.

-----
ds

| Сообщение посчитали полезным:

1.23 RC4 - 1.30B

| Сообщение посчитали полезным:

1. iTools 1.8.3.7
2. http://rghost.ru/53684701
3. 2.7 mB
4. UPolyX v0.5 [Overlay] *
5. DiE: Compiler: Microsoft Visual C++
6. DiE v2: MS Linker(8.0)[EXE32]

| Сообщение посчитали полезным: