Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

>MS Visual C++ 10.Не упакован.
Хочешь сказать там вообще не используется протектор? А откуда обфускация тогда?

| Сообщение посчитали полезным:

outside пишет:
Хочешь сказать там вообще не используется протектор? А откуда обфускация тогда?
Не припомню, когда это мы переходили на "ТЫ".Обфускация не есть упаковка.Ее мог применить и сам автор, писавший код.К тому же файл невозможно отладить из-за обращения к другим модулям, которые Вы не приложили.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
MS Visual C++ 10.Не упакован.

либа пакована, инфа 100%

unknownproject пишет:
Обфускация не есть упаковка.
она не обфусцированна, а упакованна

| Сообщение посчитали полезным:

>либа пакована, инфа 100%
То, что она пакована - я вижу. Сделанный дамп загружен в ИДУ, там четко видно, что есть обфускация. Соотвественно какой то протектор - используется.

| Сообщение посчитали полезным:

outside пишет:
Соотвественно какой то протектор - используется.

я не знаю, чем XL Games криптуют свои бинарники.

| Сообщение посчитали полезным:

dant3 пишет:
она не обфусцированна, а упакованна
Обфусцирован код упаковщика, под которым чистый код

Обфускация простейшая, сводится к


А вот потом идет ВМ...
С ВМ обманул, просто еще одна мешанина прыжков и дерганья стека.

| Сообщение посчитали полезным:

>Обфусцирован код упаковщика, под которым чистый код
Ну , в этом и вопрос. Что это за упаковщик

| Сообщение посчитали полезным:

Нет, вопрос не в этом, если ты хочешь ковырять библу
Я конечно уже давненько не в теме, но на глаз определить не смог, сталобыть не попсовые навесные протекторы а какой-то самопал. Если ты планируешь найти автораспаковщик, то я тебя огорчу

| Сообщение посчитали полезным:

call раскриптовка
jmp раскриптованый кусок

это не обсидиум?

| Сообщение посчитали полезным:

Vovan666 пишет:
это не обсидиум?
нет, какая та хрень не известная....

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: DimitarSerg

Точно не обсид, потому что эту скотину я бы узнал, в свое время намучался с ним

| Сообщение посчитали полезным:

outside
самопал. ничего коммерческого подобного не видел

PS: обсид из импорта имеет всего 2-3 функи. плюс, специфичный код, как и остальные комм варианты

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: ThugboyZ, unknownproject

ClickEm64.exe
PeID
Not a valid PE file
Normal
0.00
Not Packed
Not Packed
Каким еще способом можно узнать чем запакованно? и распаковать.
В этой статье https://exelab.ru/art/?action=view&id=642. такое же название файла. но проблема в том что QUnpacker не распаковывает. а в статье написано что распаковывается. Помогите

| Сообщение посчитали полезным:

Gavrolin2014 пишет:
ClickEm64.exe
Файл где ?

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Вот файл -->EXE файл<--
видимо в Visual C++ было написано, вот только каким UPX распаковывать. незнаю
Вот скрин, того чего нашел.




| Сообщение посчитали полезным:

Gavrolin2014 пишет:
Вот файл -->EXE файл<--
Это 64 битный Exe.Quick unpack никогда не поддерживал x64.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownprojectА почему это 64 битный exe?, я виже ток 32 битные адреса, вон картинках. И чем тогда можно распаковать?

| Сообщение посчитали полезным:

Gavrolin2014 пишет:
А почему это 64 битный exe?
Откройте в hex редакторе и увидите ниже MZ заголовка строку
This program must be run under Win64.
Это первичный признак.
Gavrolin2014 пишет:
И чем тогда можно распаковать?
Руками.Это модифицированный UPX: имена секций + версия стерты.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: Gavrolin2014

1. Flatcheat
2. http://rghost.ru/57916985
3. 35kb

| Сообщение посчитали полезным:

sipsik2014 пишет:
1. Flatcheat

Дико извиняюсь .
Похоже что написано оно на чистом асме.
Вся защита в том что часть кода поксорена , и функи входа в длл + импорт + еще какие то строки потом перетираются нопами и мусором .

| Сообщение посчитали полезным:

kid пишет:
sipsik2014 пишет:
1. Flatcheat

(27-2007)PE_Kill пишет:
ыы, RealBasic это интерпритатор байткода, который лежит в оверлее.
т.е.?
по идеи тип на асм, раньше рдп детектор говорил что это нео лите(хотя эт не он), но сейчас показывает реал басик
изменить никак?

| Сообщение посчитали полезным:

sipsik2014 пишет:
т.е.?
по идеи тип на асм, раньше рдп детектор говорил что это нео лите(хотя эт не он), но сейчас показывает реал басик
изменить никак?

в принципе даже можно в статике расксорить и занопить "вредные" куски .

| Сообщение посчитали полезным:

Написано же в шапке, никаких обсуждений в топике.

| Сообщение посчитали полезным:

Gavrolin2014 пишет:
Вот файл -->EXE файл<--
UPX64
OEP-0000000000B4F750
Под UPX Embarcadero Delphi(XE3-X4)

| Сообщение посчитали полезным:

1. Main.exe
2. http://rghost.ru/57948330
3. 31.4 МБ
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ [ver: x.x] | C/C++
6. Microsoft Visual C/C++(2008 SP1)[-] ; Microsoft Linker(9.0)[EXE32,admin]
7. .text; .rdata ; .data; .rsrc
8. 7.77465 (packed)

| Сообщение посчитали полезным:

vmprotector

| Сообщение посчитали полезным:

1. Mоdbus 1.2
2. Симулятор Modbus
3. http://rghost.ru/57956151
4. Microsoft Visual C# / Basic .NET
5. Nothing Found
6. Obfuscar 1.0
7. .text .rsrc .reloc
8. 7.38034

Чем можно снять эту обфускацию (и действительно ли это Obfuscar)?

| Сообщение посчитали полезным:

Привет ребята, помогите взломать прогу.
От модератора: потрудись шапку топика прочитать, это не запросы на взлом, если что

| Сообщение посчитали полезным:

Unnicked пишет:
Чем можно снять эту обфускацию (и действительно ли это Obfuscar)?

Obfuscar http://prntscr.com/4mta84
утилита http://prntscr.com/4mtb95 или самому накодить (Obfuscar = опен сорц продукт)

| Сообщение посчитали полезным: Unnicked

От модератора: в шапке не 3 пункта

| Сообщение посчитали полезным: