Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

ingeo
ничем,
Microsoft Visual C++
Linker 8.0, что в общем верно Die задетектил

-----
ds

| Сообщение посчитали полезным: ingeo, TLN

Нужна помощь экстрасенсов.
Программа неизвестного происхождения имеет окно регистрации следующего вида:
http://imgs.su/tmp/2014-05-16/1400266387-290.jpg
Инфа из пейда:
http://imgs.su/tmp/2014-05-16/1400266431-290.jpg
После ввода серийника, в каталоге с программой появляется файл key, который содержит следующие данные:

Формат ключа реальный

Помогите отпределить, что за зверь. Сначала подумал, что энигма, но по коду совершенно не похоже.

| Сообщение посчитали полезным:

TryAga1n
Мордочка на пепку похожа, а по секциям вроде аспр

| Сообщение посчитали полезным: TryAga1n

Vovan666, не, не аспр однозначно, уж его то я отличу точно

| Сообщение посчитали полезным:

TryAga1n
такой же код запроса используется в софте с http://teleporting.ru/ там Artan Protector висит, но по секциям не подходит.

| Сообщение посчитали полезным:

Да, это однозначно он. Огромное спасибо. Первый раз о нем услышал сегодня. Погуглил, кроме древнего анпакмиса без использования схемы регистрации, ничего нет. Печально.
-
Кстати по секциям не подошло потому, что поверх него еще банальным аспаком покрыли

| Сообщение посчитали полезным:

Кто может помочь распаковать длл-ку плагин.
От модератора: таки да, не в тему, читай шапку топика. указанный ниже топик с запросами на взлом подойдёт, пометить только нужно в запросе, что нужна только распаковка

| Сообщение посчитали полезным:

MegaZu пишет:
ЗЫ. Сорри если не в ту тему, более подходящей не нашел.
а чем эта тема плохая? --> Запросы на взлом программ <--

| Сообщение посчитали полезным:

1 Рубот последняя версия
2 http://sderni.ru/230932
3 4мб
4 Microsoft Visual C++ 5.0 EP check Not Packed
5 Compiler: Visual C/C++ | C/C++ | Heuristic: Nothing found
6 не знаю какую инфу надо, первый раз тут)
7 -
8 7.95 (Packed)

| Сообщение посчитали полезным:

Barh4n
не упаковано написано на с++

Barh4n пишет:
а почему написано (Packed) и энтропия 7.95.. и когда открываешь в olly то попадает на не совсем адекватное место в программе))
вирусняк какой то у меня антивирь заблокировал его

| Сообщение посчитали полезным:

Jaa а почему написано (Packed) и энтропия 7.95.. и когда открываешь в olly то попадает на не совсем адекватное место в программе))

| Сообщение посчитали полезным:

Barh4n Jaa
https://www.virustotal.com/ru/file/a67d743e51c84c3a3b35db8f90389e6514a7b27f541787bfb555845d92a373c4/analysis/1401386119/
это некий dotNET Protector, сама прога написана на dotNET
-это из VB Decompiler

| Сообщение посчитали полезным:

1. RKeeper.CRM v.5.07
2. http://rghost.ru/56442055
3. 5Mb
4. Nothing found *
5. Borland Delphi | Object Pascal
6. Borland Delphi(XE2-XE4)[-]
7.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00CE378C 00000400 00CE3800 60000020 code
.itext 00CE5000 000099A4 00CE3C00 00009A00 60000020 none
.data 00CEF000 00031B44 00CED600 00031C00 C0000040 data
.bss 00D21000 00008CA8 00D1F200 00000000 C0000000 none
.idata 00D2A000 00004FA4 00D1F200 00005000 C0000040 imp
.didata 00D2F000 00000A02 00D24200 00000C00 C0000040 none
.tls 00D30000 00000058 00D24E00 00000000 C0000000 none
.rdata 00D31000 00000018 00D24E00 00000200 40000040 tls
.reloc 00D32000 000F63AC 00D25000 000F6400 42000040 breloc
.rsrc 00E29000 00093A00 00E1B400 00093A00 40000040 res

8. 6.80 (Packed)

| Сообщение посчитали полезным:

piritus24
Delphi XE5

| Сообщение посчитали полезным:

Доброго дня!! Очеь очень рад оказаца на форуме.

1. terminal.exe
2. Сссылка на файл, помещённый в одном из удобных файл-обменников Скачатьterminal.exe.
3. Размер Size: 8498280[bytes]
4. Информация из PEiD (Linker Info:11.0 ;Nothing found [Overlay] *)
5. Информация из DiE ( Compiler: Microsoft Visual C/C++ ; Heuristik: Noting Found)
6. Информация из DiE v2 ( linker: unknown(11.0)[EXE32] ; entry point: 00b411c8 ; image base: 00400000 ;
Entropi 7.96112 ;)
7. Имена секций модуля gdhkihdc, pmyyfvht, tbywcpud, pnreieii, duhpmqyo, gihpfuer, gdgxxkwn, gheodfaa.
8. Энтропия 7.86 (Packed)


Module 'terminal' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints!

OlliDbg - ругается так. Понимаю что точка входа смотрит в неизвесность?
При попытке все же открыть прогу OlliDbg полнастью вырубается.

Чем она запакована? Как отыскать Original Entry Point??? Как распаковать??

Я действительно новичек. С ассемблером познакомился из туториалов Рикардо Навархи. Ну и едва ознакомился с другими учебными статьями. Пожалуста посоветуйте!!

| Сообщение посчитали полезным:

Dimon-tseburaska
VMProtect там, очередной наивец

| Сообщение посчитали полезным: unknownproject, Dimon-tseburaska

А как это распаковывается? И это точно VMProtect?

| Сообщение посчитали полезным:

Dimon-tseburaska пишет:
И это точно VMProtect?
Точно.
Dimon-tseburaska пишет:
А как это распаковывается?
С некоторым трудом.
Dimon-tseburaska пишет:
С ассемблером познакомился из туториалов Рикардо Навархи.
Wrong way.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: Dimon-tseburaska

Хорошо. Прошу прощения. Скажем я подозреваю что оригинальная точка входа 1FD63D !!!
Что можно сделать дальше?

| Сообщение посчитали полезным:

Dimon-tseburaska пишет:
Что можно сделать дальше?
Обратиться в тему: --> Link <--

| Сообщение посчитали полезным:

1. Загрузчик для программы Leica Cyclone 8.0.0.3382 x86
2. https://www.dropbox.com/s/kmkp33t4d4amnj8/Loader_Leica_Cyclone_8.0.0.3382_x86.zip
3. 547694 байта
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Nothing found
6. PE: protector: VMProtect(-)[-]
7. .text, .rdata .data .upx0 .reloc .upx1 .tls .upx2 .reloc .rsrc
8. 7.99 (Packed)

| Сообщение посчитали полезным:

vladimir123
VM Protect v2.06 (or newer)

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Прошу помощи,чем запакованы как/чем распаковать, найти OEP ?

1. Некие ДЛЛ 3 штуки которые выдают себя как плагины к ТС
2. Файлы в архиве http://www.fayloobmennik.net/4002768
3. 707 530 кб
4. UPX 2 / Upolly 5x
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. text, .rdata .data upx upx1 upx2
8. Packed

| Сообщение посчитали полезным:

ssaich123
VMProtect

| Сообщение посчитали полезным:

файл 1.dll интересует,

| Сообщение посчитали полезным:

там все под шпротом

| Сообщение посчитали полезным:

А распаковать ?

| Сообщение посчитали полезным:

google -> site:tuts4you.com vmprotect unpack

| Сообщение посчитали полезным:

Добрый день. Последняя версия DIE не дала ответа
1. CryNetwork.dll
2. http://rghost.ru/private/57587167/d8b2bc066b3ed593670b7037b9d75219
3. 3,87 МБ (4 059 136 байт)
4-5-6. Die: Microsoft Visual C++(2010 SP1)[-] + Microsoft Linker(10.0)[DLL32]
7. .text, .rdata, .data, .rsrc, .reloc
8. 7.96 везде, кроме .rsrc

| Сообщение посчитали полезным:

outside пишет:
Добрый день. Последняя версия DIE не дала ответа
1. CryNetwork.dll
2. http://rghost.ru/private/57587167/d8b2bc066b3ed593670b7037b9d75219
MS Visual C++ 10.Не упакован.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: