Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

gazlan пишет:
По самоназванию - HackShield.
Нет, это не он.

TryAga1n пишет:
самопал
К счастью (или сожалению) тоже нет, это не сапомал.

AmongAll пишет:
Теперь используют что-то другое...
Этот протектор уже давно используют геймдевелоперы, чуть выше моё сообщение с клиентом ArcheAge, упакован тем же самым. Определить его очень легко, в конце последней секции (в данном случае .reloc) есть несколько кусков кода и пара строк ("kernel32.dll" и "VirtualProtect", они используются в EP). Есть x64 версия протектора.
ЕМНИП начало вот такое почти у всех семплов: всем секциям добавляется write-флаг, потом проверка секции с кодом на запись, копирование всех импортов в блок протектора (в моем семпле это было начало .rdata), дальше уже не помню что конкретно и в каком порядке выполнялось (анпакинг\дешифрование). Еще там используется rdtsc и KUSER_SHARED_DATA::SystemTime. Хэндлеры украденного кода сам раскуришь, достаточно немного потрейсить

| Сообщение посчитали полезным: TryAga1n

с клиентом ArcheAge, упакован тем же самым

Ну, тогда читаем здесь: Обновлена версия HackShield

| Сообщение посчитали полезным:

Доброго всем времени суток.

Столкнулся вот с таким зверем - suffra.com/filestorages/file10470.html PEID 0.95 говорит,
что это армадилла 1.хх - 2.хх; DiE 0.95 с ним не согласен и говорит, что это армадилла
6.X - 9.X. Что, в-общем-то невероятно. дата создания и этого файла и msc, в котором он был -
январь 2008. А поставили её нам в 2006-м. И обнова была всего одна. Как раз, в районе 2008-го.
Беглый взгляд на скрипт детектора по сигнатурам DiE показал, что такой ответ он даёт на всё, что
не смог определить. ProtectionID вообще говорит, что [!] Armadillo *Unknown Version* detected !
В OEP наблюдается совсем нехарактерная картина - 55 8B EC 6A FF 68... (push ebp; mov ebp,esp; push 0FF; push ....)
Хотя, при запуске второй процесс создаётся. Dillo DIE его, даже, распаковал. И потроха похожи на правду.
Вот только дамп нерабочий и содержимое по OEP очень странное. Кстати, всякие автоматические анпакеры
в один голос кричат, что IAT протектор калечит. Однако, импорт нормальный. Хотя, есть нюанс - в папочке присутствуют две dll
FRSXLib.dll и ISearch.dll, которые в импорте отсутствуют, но упоминаются внутри распакованного с помощью dilloDIE дампа.
Хотя, для использования dll не обязательно городить таблицу импорта. Рядом с этим файликом лежит другой,
который выглядит классически запакованным армой 4.42 и прекрасно распаковывается хоть руками, хоть автоматом.

Помогите, плз! Уже третий день мозга скрипит..

P.S.: А, да, прога работает с eToken (Сам eToken тоже имеется), но, не похоже, что бы использовался Аладдиновский конверт ни внутри
ни снаружи.

| Сообщение посчитали полезным:

Canakau


| Сообщение посчитали полезным: Canakau

2 Vnv: И такую версию определял мне какой-то распаковщик. Однако, по моим данным, у Armadillo 4.40 в OEP должна быть такая картина: PUSHAD; CALL XXXXXXXX; POP EBP; PUSH EAX; PUSH ECX;...
Или я неправ?

| Сообщение посчитали полезным:

Canakau пишет:
2 Vnv: И такую версию определял мне какой-то распаковщик. Однако, по моим данным, у Armadillo 4.40 в OEP должна быть такая картина: PUSHAD; CALL XXXXXXXX; POP EBP; PUSH EAX; PUSH ECX;...
Или я неправ?
Знаток чтоли ? Если такой опупенный знаток, то зачем спрашиваешь ? Импорт не всегда модифицируется - это выбирается опционально, как и все остальные опции.Это однозначно армадилло (подтверждают секции и многое другое) и судя по давности экзешника это вполне старая его версия.

| Сообщение посчитали полезным:

ThugboyZЛадно, ладно. Не кипятись. Разобрался. Там дальше ещё один пакер идёт. Похожий на PEnCrypt. это сняло вопрос по поводу непоняток на получившемся OEP'е.

| Сообщение посчитали полезным:

Люди добрые помогите!! Возможно ли вообще сломать это?
1 Saybolt
2 https://yadi.sk/d/ScE_zwUpgPL3s
3 716 kb
4 Borland Delphi DLL
protected by:
GOST [sbox 1] :: 0009CD1C :: 0049E11C
MARS :: 0009DD1C :: 0049F11C
MARS :: 0009E51C :: 0049F91C
MD5 :: 000714E2 :: 004720E2
SHA1 [Compress] :: 000657EB :: 004663EB
5 Unknow
6 Unknow
7 Code
Data
BSS
.idata
.edata
.reloc
.rsrc

| Сообщение посчитали полезным:

john192, чистая Delphi 6.
Сломать можно все, важно сколько ты готов за это заплатить.

| Сообщение посчитали полезным:

От модератора: при чём здесь защита? топик по определению упаковки. сказано: ничем. остальное, судя по вопросу, в запросы на взлом или в поиск специалистов

| Сообщение посчитали полезным:

Подскажите что за пакер/прот на patcher.exe

1. CivOnline
2. --> Link <--
3. 25 MB.
4. 5. 6. Nothing found.
7.
.text
.rdata
.data
.xlgames
.patch_g
.rsrc
.reloc
.text
8. 6.81355

Заранее спасибо

| Сообщение посчитали полезным:

Qbik пишет:
Подскажите что за пакер/прот на patcher.exe
Названия я не знаю. На пакер похож... Признаков анти-дебага не наблюдается.
Одно могу сказать достаточно точно, OEP тут:

и таблица импорта, вроде, чистая.

возможно, интерес представляют еще dll'ки, вес которых ~20 Мб

| Сообщение посчитали полезным: Qbik

Подскажите пожалуйста чем упакован екзешник:
1. Точное название программы с указанием версии: COCTimer версия 5.1.3
2. Ссылка : https://yadi.sk/d/nYO01614ik3cY
3. Размер архива: 2.26 Мб
4. Информация из PEiD: Microsoft Visual C# / Basic .NET
5. Информация из DiE: compiler Microsoft Visual C++ С/С++ heuristic: not found
6. Информация из DiE v2:
PE: library: .NET(v2.0.50727)[-]
PE: linker: Microsoft Linker(8.0)[EXE32]
7. Имена секций модуля:.text; .rsrc; .reloc
ПС данная прога обновилась и ее накрыли протектором. Предыдущая версия не упакована и прекрасно откывается .net reflector.
ниже ссылка на более раннюю версию которая не упакована:
https://yadi.sk/d/hZiY1TC_ik3gk

| Сообщение посчитали полезным:

OMEH
appfuscator

| Сообщение посчитали полезным:

1. SvWorkPanel
2. http://rghost.ru/8p6njfhWB
3. Размер архива 599.6 КБ
4. Информация из PEiD Microsoft Visual C# / Basic .NET
5. Информация из DiE compiler Microsoft Visual C++ С/С++
6. Информация из DiE v2 тут тоже чистый .NET
Никак не пойму что за обфускатор

| Сообщение посчитали полезным:

Хай. Подскажите как быть? Peid пишет, что упаковано yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
А DiE 0.98 говорит, что VMProtect(2.X)[-]

| Сообщение посчитали полезным:

PlaySten пишет:
Хай. Подскажите как быть? Peid пишет, что упаковано yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
А DiE 0.98 говорит, что VMProtect(2.X)[-]
Где файл(ы) ?

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

1. ICC 1.4.7
2. http://rghost.ru/6MQgLZrzT
3. 7 мб
4.
5.
6.
7.
8.

подозреваю сенселок и вмпротект но совсем не уверен

2fb5_29.09.2015_EXELAB.rU.tgz - пакер.png

Mishar_Hacker хотелось бы поконкретнее конечно но и так спасибо

| Сообщение посчитали полезным:

mdscorp
VM Protect v1.60 - v2.05 detected !

| Сообщение посчитали полезным:

1. Elcomsoft_Wireless_Security_Auditor_Professional_5.02.272
2. http://rghost.ru/6cDX6gKBJ
3. 3 мб
4. Nothing found [Overlay] * -norm
Possibly PCX graphics format [Overlay] * deep scan and hardcore scan
5. Nothing found
6. Vmprotect
7. text rdata data upx0 upx1 rsrc (это не UPX 100%).

| Сообщение посчитали полезным:

vmp на елкомсофте уже 100 лет

| Сообщение посчитали полезным:

mazaxak
6-ой пункт не врёт

| Сообщение посчитали полезным:

WinX
--> ФАЙЛ<--
Peid 9.4 говорит что FSG 1.1.0
Peid 9.5 Ничего не говорит
DIE говорит Visual C++
Ентропия 00018000

Как узнать чем он в реале запакован?
И как расспаковать его?
Использовал FSG 2 нажал старт и зависло все. Как бытЬ?

| Сообщение посчитали полезным:

xTIGRx пишет:
Как узнать чем он в реале запакован?
Die говорит что обсид, хз как по мне, то какой-то неплохой криптор. Код выполняется динамически (декрипт/исполнение/крипт), простенькая обфускация и вроде даже ВМ, палит отладчики (даже софтайс :D, при том что софт на хр не запустится).

Пусть спецы по обсиду скажут он это или нет.

Добавлено спустя 3 минуты
p.s. ставь бряки на запись последней секции и смотри как декриптятся блоки (xor) и как потом выполняются
00418BC4 317E 04 XOR DWORD PTR DS:[ESI+4],EDI

-----
ds

| Сообщение посчитали полезным:

DimitarSerg
да, это обсидиум (хоть и не спец по нему

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Ну то что Обсидим ясно. Я в DIE вроде видел про это. Хотя не знаю что это). Дак какой у него OEP то? чтобы расспаковать.

Я хочу взломать ее. Там логин и пароль, а в отладчике не взломать так как она запакованна.

| Сообщение посчитали полезным:

xTIGRx пишет:
Дак какой у него OEP то? чтобы расспаковать.


xTIGRx пишет:
Ну то что Обсидим ясно. Хотя не знаю что это)
xTIGRx пишет:
Я хочу взломать ее.
ну ... флаг в руки тогда

| Сообщение посчитали полезным:

1. M u Online Global v.1-04-17
2. --> Link <-- (исправленная)
3. 27 Mb
4. Информация из PEiD: yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Информация из DiE: Microsoft Visual C++ | C/C++
6. Информация из DiE v2:

7. Имена секций модуля:

8. Энтропия: Index: 97,730

OEP(вроде как): 0x00C9788A

после HWBP на 0x00C9788A по адресу 0x09BF14BB видно мутированный/обфусицированный код.
снять дамп проблемы нет, хотелось бы узнать что это за пакер (обфускатор?)

| Сообщение посчитали полезным:

soft
Самопал какой-то, OEP тут 00CB36A1 (первый колл, софт скомпилен в 2008 студии)

Добавлено спустя 24 минуты
Ну и в идеале должно выглядеть так:


-----
ds

| Сообщение посчитали полезным: soft

От модератора: узри шапку и оформи как положено

| Сообщение посчитали полезным: