Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

Распакуйте пожалуйста программу.
AT4RE Hasher 1.0
Весит 123 КБ
MoleBox V2.X -> MoleStudio.com [Overlay] *
Вот ссыль, пароль 123
rapidshare.com/files/136368427/AT4RE_Hasher_1.0.rar.html

| Сообщение посчитали полезным:

Bad_guy пишет:
Что здесь категорически не допускается?
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).

| Сообщение посчитали полезным:

asser
unpacked
slil.ru/26048690

| Сообщение посчитали полезным:

inf1kek пишет:
armageddon
Пробовал армагеддон - неплохая вещь, но выдает сообщение:
Parent PID: 1124
OEP VA: 004017D4 OEP RVA: 000017D4
Warning: OEP call return VA: 008E4EED is not from Armadillo VM!!
Что посоветуют специалисты?

| Сообщение посчитали полезным:

Ну погоняй под другими анпакерами, DilloDie тот же.
Специалисты посоветуют почитать туторы и подёргаться самому, туторов навалов, а минимальная версия даже не требует 2 процессов, там делов то... А если самому лень-напиши в запросы на взлом с пометкой только на распаковку.

| Сообщение посчитали полезным:

1. GameCam v2.1
2. webfile.ru/2153621
3. 1,27 МБ
4. Nothing found [Overlay] *
5. Nothing found
6. .text .data .xcpad .idata .reloc .rsrc
7. Entropy: 5.80 (Not Packed)
EP Check: Not Packed
Fast Check: Packed

| Сообщение посчитали полезным:

marokko
Хрен знает что это такое там внутри я так и не понял
В общем в оле ставь hardware-бряк на адрес 428238, после того как тормознешься, делай дамп в petools. Вроде нормальный файл получается

| Сообщение посчитали полезным:

DiE говорит, что Compiler C++|C/C++
Делал русификаторы для 4 предыдущих версий этой программы (ресурсы были доступны для изменения),
а вот с этой ничего не получается. Программа свежая и платная.

| Сообщение посчитали полезным:

marokko
выложи на нормальный обменник

| Сообщение посчитали полезным:

rapidshare.com/files/136663875/GameCamV2.rar.html на рапиде

| Сообщение посчитали полезным:

marokko
чет у меня при запуске выдает месагу
"Game Cam failed to initialize because another program or instance has corrupted its memory space. Reboot your computer and
try again."
ну в принципе все понятно
00401812 3BFB CMP EDI,EBX
00401814 59 POP ECX
00401815 75 1D JNZ SHORT GameCamV.00401834
00401817 BE 10204000 MOV ESI,GameCamV.00402010
0040181C 68 E0104000 PUSH GameCamV.004010E0 ; UNICODE "There has been an error starting this virtual appliance. Error code: "
00401821 8BC6 MOV EAX,ESI
00401823 E8 E5000000 CALL GameCamV.0040190D
00401828 68 E8114000 PUSH GameCamV.004011E8 ; UNICODE "0x0006"
0040182D E8 A2000000 CALL GameCamV.004018D4
00401832 EB 12 JMP SHORT GameCamV.00401846
00401834 53 PUSH EBX
00401835 FF15 04A05A00 CALL DWORD PTR DS:[<&KERNEL32.GetM>; kernel32.GetModuleHandleW
0040183B FF7424 10 PUSH DWORD PTR SS:[ESP+10]
0040183F 56 PUSH ESI
00401840 50 PUSH EAX
00401841 FFD7 CALL EDI <-----------вход в VM.dll
00401843 83C4 0C ADD ESP,0C
00401846 6A 10 PUSH 10
00401848 68 F8114000 PUSH GameCamV.004011F8 ; UNICODE "Xenocode Virtual Appliance Runtime"
0040184D 68 10204000 PUSH GameCamV.00402010
00401852 53 PUSH EBX
00401853 FF15 38A05A00 CALL DWORD PTR DS:[<&USER32.Messag>; USER32.MessageBoxW
00401859 5F POP EDI
0040185A 5E POP ESI
0040185B 5B POP EBX
0040185C 8BE5 MOV ESP,EBP
0040185E 5D POP EBP

дампить лучше здесь пока импорт не заполнен

00C59331 3BF3 CMP ESI,EBX <---Dump it
00C59333 74 07 JE SHORT 00C5933C
00C59335 8B4D D8 MOV ECX,DWORD PTR SS:[EBP-28]
00C59338 03F1 ADD ESI,ECX
00C5933A EB 06 JMP SHORT 00C59342
00C5933C 8B70 10 MOV ESI,DWORD PTR DS:[EAX+10]
00C5933F 0375 D8 ADD ESI,DWORD PTR SS:[EBP-28]
00C59342 8B78 10 MOV EDI,DWORD PTR DS:[EAX+10]
00C59345 037D D8 ADD EDI,DWORD PTR SS:[EBP-28]
00C59348 EB 76 JMP SHORT 00C593C0
00C5934A 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
00C5934D 50 PUSH EAX
00C5934E E8 F42AFDFF CALL 00C2BE47
00C59353 C645 FC 17 MOV BYTE PTR SS:[EBP-4],17
00C59357 8B06 MOV EAX,DWORD PTR DS:[ESI]
00C59359 B9 00000080 MOV ECX,80000000
00C5935E 8BD0 MOV EDX,EAX

| Сообщение посчитали полезным:

Подсобите плиз.

1. Электронный каталог автозапчастей Mitsubishi ASA
2. rapidshare.de/files/40224191/asa_min.rar.html (запакована mmData.dll, в архиве минимальный набор файлов для запуска)
3. 1.4 Mb
4. Microsoft Visual C++ 6.0 - 8.0 *
5. Nothing found
6. UPX0, UPX1, rsrc,text,adata,data,reloc,pdata
7. 7.38 (Packed)

Запакована mmData.dll. В теле встречается строка 3.03 UPX! но upx и PEiD говорят что это не upx
В дополнение при отсутствии некоторых ключей в реестре при запуске прога говорит "key expired" выдает Hardware fingerprint и просит ввести серийник(активация).

!Есть большая уверенность что длл пропатчена и перепакована потому как оригинальная длл использовала Hasp HL , требовала хардварный ключик и не просила никаких активаций.

Очень нужно именно распаковать dll, нужен доступ к коду экспортируемых ф-ий.

| Сообщение посчитали полезным:

Jshade
В библиотеке mmData.dll вроде ничего нет, и экспортируемые функции в ней видны нормально.
А вот в Asa.exe сидит Armadillo, так что тебе нужно искать валидную пару под HWID

| Сообщение посчитали полезным:

tihiy_grom пишет:
Jshade
В библиотеке mmData.dll вроде ничего нет, и экспортируемые функции в ней видны нормально.
А вот в Asa.exe сидит Armadillo, так что тебе нужно искать валидную пару под HWID

вроде - это не значит что там ничего нет...
мне нужны не экспортируемые функции а именно их код раскопать...
А в asa.exe где ты нашел armadillo я чет так и не понял... вообще никак не запакован

| Сообщение посчитали полезным:

киген что-то подозрителен, раньше вроде эта команда не пользовалась таким пакером...

698d_13.08.2008_CRACKLAB.rU.tgz - keygen.exe

| Сообщение посчитали полезным:

Надеюсь, что когда-нибуть, можно будет увидеть,
более профессиональные ответы....
mmData.dll запакована UPX и сверху накрыта Armadillo.
Кто-то пустил мульку, что такую связку нельзя распаковать,
и теперь так многие пакуют.
Весь прикол в том что, распаковывается намного легче.
Сперва снимаем Armadillo а затем UPX.
И получаем девственный исходный файл.
Для этого не надо знать HWID, name, key.

| Сообщение посчитали полезным:

1. IRoNDooM v2.5 (hxxp://www.irondoom.ru/)
2. rapidshare.com/files/140844864/IRoNDooM.rar.html
3. 3217874 байт
4. Nothing found *
5. yoda's Protector 1.02 - 1.03.2
6. названия секций затёрты
7. Энтропия 7.92 (Packed)

QuickUnpack выдал такую информацию:
Quick self analyze.... unknown
PESniffer EP Scan: MEW 11 SE v1.2
PEiD scanning... tElock 0.99 - 1.0 private -> tE! *

| Сообщение посчитали полезным:

Runtime_err0r : Да, очень похоже на Yoda Protector. Перед оригинальным yP кодом добавили 2 безусловных перехода (jmp).
Klever : Пакер прикольный, но ничего подозрительного (троёв) там не нашёл. OEP - 40d7d0.

| Сообщение посчитали полезным:

DarkWolfНезнаю с чего та взял что OEP 0040d7d0 ? У меня OEP 0040243C и фай запускаеться после расспаковки.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan : А если внимательно почитать - кому адресована вторая строчка? Я про кейген писал, а ты OEP ИронДоома указываешь...

| Сообщение посчитали полезным:

Оформи запрос правильно

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

nope
vmprot видимо

| Сообщение посчитали полезным:

С вероятностью в 95% вмпрот.

| Сообщение посчитали полезным:

Ога, на IRoNDooM.exe банальный Yoda Protect слехка моджифицированный парой jump'ов от пионэров.
Сниматься соответсно должен элементарно. В том числе и generic анпакереми.

| Сообщение посчитали полезным:

Если быть точнее, то это Yoda Protect v1.02c. Нашел багу в распаковщике - перекосило последнюю секцию. Небольшая доработка рашпилем и вуалябля: stream.ifolder.ru/8462984

| Сообщение посчитали полезным:

1. DWar
2. rapidshare.com/files/151950847/DWar.7z.htm
3. 3,419,840
4. Nothing found *
5. Nothing found
6. мусор (вообще рациональность требования этого пункта меня "смущает", ну да ладно)
7. 7.89 (Packed)

Интересно именно что за пакер(прот) - уж больно гадит своими переходниками в основном коде и в своих секциях.
Хотя может кто еще подскажет решение по восстановлению импорта будет замечательно. Собственно, импорт можно восстановить через скрипт для олли, но возможно есть более лучшее/интересное решение...

| Сообщение посчитали полезным:

Release
7z

| Сообщение посчитали полезным:

r99 пишет:
Release
7z
Ну, спасибо за очень нужный пост. А я то думал, чем это я запаковал ехе-шник, перед тем как выложить на рапиду.

| Сообщение посчитали полезным: