Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

1. vitabot
2. http://goo.gl/enrQJo
3. 1,86мб
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. unknown(2.25)[EXE32]
6. unknown(2.25)[EXE32]
7. Section5(".pep-ul")("7.44048")
8. 7.8621

подозреваю это последний PeP но возможно ошибаюсь

| Сообщение посчитали полезным:

Не ошибаешься, ПеП

| Сообщение посчитали полезным: Xlab0s

1. soundtoys plugin: Decapitator.dll (ver. 4.4.2)
2. http://sendfile.su/1038875
3. 10.68mb
4. Nothing found [Overlay] *
5. Nothing found
6.
compiler: Microsoft Visual C/C++(2005)[-]
linker: Microsoft Linker(8.0)[DLL32,signed]
7. Section11(".guard")("7.16532")
8. 7.87235

| Сообщение посчитали полезным:

exT1m
PACE Anti-Piracy. естественно, свой упаковщик. она изначально "навесной" была

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: exT1m

ajax пишет:
PACE Anti-Piracy
что защита пэйс - понятное дело. но сам упаковщик - тоже своё у них ?

| Сообщение посчитали полезным:

1. Lords of the Fallen (игрулечка).
2. --> Main EXE<--
3. 50,6 Мб.
4, 5, 6. Анализаторы ничего не нашли, кроме RDP Packer Detector, который говорит, что там ExeCryptor. Но не похоже. Там что-то другое.
7. .idata
.text1
.rdata
.pdata
.xtls
.data1
.tls
.xdata
.srdata
8. Та упакован он стопудово, интересно просто, чем именно.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
2. --> Main EXE<--
На православный rghost можете залить?

| Сообщение посчитали полезным:

ELF_7719116 пишет:
на православный rghost
у православного огранияения по размеру до 50Мб

| Сообщение посчитали полезным:

ELF_7719116
http://rghost.ru/58865475 (48,2 Mb ZIP)
ARCHANGEL
Вы бы хоть указали, что x64...

| Сообщение посчитали полезным:

ARCHANGEL
похоже на самопал какой-то...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

1. Elm Config
2. http://goo.gl/KZWD1M
3. 971.1 КБ
4. UPX -> www.upx.sourceforge.net *
5. UPX(-)[modified]
6. Nothing detected!
7. .rxdata .tls .rsrc .BSS .txdata .CODE .text .idata
8. 97,100 --> Packed

| Сообщение посчитали полезным:

nmdmitry
DotFix NiceProtect

| Сообщение посчитали полезным: nmdmitry

ARCHANGEL пишет:
1. Lords of the Fallen (игрулечка).
2. --> Main EXE<--
3. 50,6 Мб.
4, 5, 6. Анализаторы ничего не нашли, кроме RDP Packer Detector, который говорит, что там ExeCryptor. Но не похоже. Там что-то другое.
да это же SecuROM Denuvo

| Сообщение посчитали полезным:

1. ArcheAge.
2. --> Link <--
3. 750 KB.
4. 5. 6. Nothing found.
7.
.text
.rdata
.data
.xlgames
.rsrc
.reloc
8. 6.46

Есть ещё 2 семпла, x86 и x64. Код в EP у всех семплов одинаковый: вызов VirtualProtect на кусок кода в конце рандомной секции (.rsrc, .reloc, ...) и прыжок туда. Имя секции .xlgames может быть другим (e.g. ".tls").

| Сообщение посчитали полезным:

h0pk1nz пишет:
1. ArcheAge.
2. --> Link <--
3. 750 KB.
4. 5. 6. Nothing found.
7.
.text
.rdata
.data
.xlgames
.rsrc
.reloc
8. 6.46
Какой-то самопал, который гадит по шаблону до OEP и после OEP: PUSH ret_add, PUSH ret_addr2 ... [обработчик вытаскивает адрес след функи]
Сама OEP тут:

зы: НЕ ЗАБЫВАЙТЕ КРЕПИТЬ dll'ки, ПРОПИСАННЫЕ В ИМПОРТЕ, которые идут с ексешником! xlabscommon.dll (или как там ее) Пушкин будет аттачить??? надоедает каждый раз в ольке shift+F9, pause, Set EIP=EP делать

| Сообщение посчитали полезным: h0pk1nz

ELF_7719116 пишет:
Какой-то самопал
Это 100% коммерческий продукт, т.к. минимум 3 абсолютно разных разработчика его используют в своих проектах.

DLL'ки: --> Link <--

| Сообщение посчитали полезным:

ELF_7719116 пишет:
до OEP и после OEP: PUSH ret_add, PUSH ret_addr2 ... [обработчик вытаскивает адрес след функи]
да.. без длл туго. а это не Енигма часом? она таким страдать любила

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

1. Redirect_Smart Goo.gl Register
2. -
3. 1,5мб
4. Safeguard 1.03 -> Simonzh *
5. Yoda's Crypter(1.02-1.03)[-]
6. Yoda's Crypter(1.02-1.03)[-]
7. .rsrc .inq
8. 7.66487

Inquartos Obfuscator

| Сообщение посчитали полезным:

1. Captain Sim (модуль для игры) v 1.6
2. --> Link <--
3. 2 мБ
4. UPolyX v0.5 *
5. Nothing found.
6. -----
7. 8 секций, из них только 2 имеют имена(.data , .rsrc) , остальные без имени
8.

| Сообщение посчитали полезным:

vova25305
Enigma


| Сообщение посчитали полезным:

vova25305
Enigma 4.0

| Сообщение посчитали полезным:

1. Чит для игры
2. http://rghost.ru/60275654
3. 1.4 Mb
4. UPolyX V0.1 -> Delikon *
5. Nothing found.
6. VMProtect(-)[-]
7. Section0("CODE")("0")
Section1("DATA")("0")
Section2("BSS")("0")
Section3(".idata")("0")
Section4(".tls")("0")
Section5(".rdata")("0")
Section6(".r80")("0")
Section7(".r81")("7.99387")
Section8(".reloc")("4.59745")
Section9(".rsrc")("4.80422")
8. 7.98493

| Сообщение посчитали полезным:

Middle, VMProtect

| Сообщение посчитали полезным:

1. Бот для комп игры
2. http://rghost.net/60411888
3. 6MB
4. UPolyX v0.5 *
5. VMProtect(-)[-]
6. Protection ID - VM Protect v2.06 (or newer) detected
7. .text .itext .data .bss .idata .tls .rdata .upx0 .upx1 .reloc .rsrc
8. [Entrypoint Section Entropy] : 7.82 (section #8) ".upx1 " | Size : 0x6102D3 (6357715) byte(s)

| Сообщение посчитали полезным:

valera325 пишет:
5. VMProtect(-)[-]
анализатор правильно определил - vmprotect

| Сообщение посчитали полезным:

1. Компонент Instant CMS (.php)
2. http://rghost.ru/60545696
3. 4 кб

Данный компонент запускается чистым php без каких либо zend
Утилита PHPid от ManHunter показывает, что там IonCube. Но для запуска скриптов IonCube должен быть установлен IonCube.
Интересует чем закодировано.

| Сообщение посчитали полезным:

1 .Клиент игры Point Blank
2. http://rghost.ru/7b5Qf8MbJ
3. DIE и прочие анализаторы протектора не видит
В hex ничего читаемого нет. Более ранние версии клиента были упакованы темидой. Теперь используют что-то другое...

| Сообщение посчитали полезным:

AmongAll пишет:
Теперь использую что-то другое...



ничем не упакован

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Небольшой самопал на EP присутствует однозначно, да и энтропия на это скромно намекает.

| Сообщение посчитали полезным:

По самоназванию - HackShield. Похоже, что TEA использовано.



| Сообщение посчитали полезным: