Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

1. PDF Graber 8.0.0.32
2. -->Чисто Эхешник<--
3. 10Mb
4. Информация из PEiD: Nothing found [Overlay] *
5. Информация из DiE: Borland Delphi
6. Информация из DiE v2: Embarcadero Delphi(XE2-XE7)[-]
7:

Code:

1. Name:    VOffset: VSize:   ROffset: RSize:   Flags:   Scan:    Packed:  
2. .text    00001000 01147000 00000400 00659CFA E0000020 code        
3. .BSS     01148000 0000B000 0065A200 00004C8E E0000020 none        
4. .text    01153000 0007E000 0065F000 0002A3CD E0000020 data        
5. .BSS     011D1000 00043000 00689600 00000000 E0000040 none        
6. .idata   01214000 00007000 00689400 00002200 E0000020 none        
7. .BSS     0121B000 00003000 0068B600 00000AD2 E0000020 none        
8. .CODE    0121E000 00001000 0068C200 00000067 E0000020 exp         
9. .text    0121F000 00001000 0068C600 00000000 E0000040 none        
10. .txdata  01220000 00001000 0068C400 00000067 E0000020 none        
11. .txdata  01221000 00152000 0068C600 000BBBF3 E0000020 none        
12. .rsrc    01373000 001B3000 00748200 001B25E2 E0000040 res         
13. .CODE    01526000 0051B000 008FA800 000058EB E0000020 none        
14. .CODE    01A41000 00045000 00900200 00044D6E E0000040 tls         
15. .text    01A86000 00001000 00945000 00000780 E0000020 none        
16. .idata   01A87000 00039000 00945800 00039000 E0000020 imp         

8: 97%

| Сообщение посчитали полезным:

PDF Graber 8.0.0.32
DotFix NiceProtect + DotFix Fake Signer если RDG Packer Detector v0.7.5.2015 правильно определил.

| Сообщение посчитали полезным:

1. Adrenaline 1.99
2. https://www.dropbox.com/s/or9v52gck6in1hw/Adrenalin.rar?dl=0
3. 1.17 мб






| Сообщение посчитали полезным:

erchess
нафик тут столько скринов? vmprotect на проге

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: Autokent

Всем добра! Подскажите как быть? Peid пишет, что упаковано yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
А DiE 0.98 говорит, что VMProtect(2.X)[-]

| Сообщение посчитали полезным:

PlaySten пишет:
А DiE 0.98 говорит, что VMProtect(2.X)[-]
ета

| Сообщение посчитали полезным:

Это возможно взломать с помощью туториалов которые лежат на tuts4u по вмпротекту?

| Сообщение посчитали полезным:

1. Autocom 2015-2
2. https://yadi.sk/d/_jV0_Mnom95be
3. 5.3 Мбайт
4. PEiD - .NET executable -> Microsoft * Sign.By.fly [Overlay] *
5. DiE - nothing found
6. DiE v2 - Smart Assembly(6.6.3.41)[-]
de4dot справиться и помочь тоже не смог.
Точно знаю что это Net приложение.
В IdaPro файл открывается, но как то странно выглядит - многие процедуры как будто за двоены.

| Сообщение посчитали полезным:

1.Zwischenzug - 11-10-02

7. .text .rdata .data .rsrc

| Сообщение посчитали полезным:

1. Андроид приложение "Мой проездной" 2.0.9.
2. http://rgho.st/7kjSvNmFd
3. 19 мб
4. неприменимо
5. неприменимо
6. неприменимо
Предположение, что накрыто DexProtector, хотелось бы уточнить версию и на сколько сложно снять его.

| Сообщение посчитали полезным:

mixer632
--> Исследование защищенности карты Тройка <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

офтоп ajax краем глаза пробежал эту статью на хабре.. афигел))) вот народ маньяки

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

ajax пишет:
--> Исследование защищенности карты Тройка <--

VodoleY пишет:
офтоп ajax краем глаза пробежал эту статью на хабре.. афигел))) вот народ маньяки

Устарело, сейчас накрыта DexProtector-ом.

--> Тык <-- кусок бесполезного лога. Можно по нему в общих чертах понять как эта хрень работает.

Записи вида: "I/DroidParts(22741): java.io.File" декриптованные строки.

Патчим метод:

Вписать 2 строки, ну и пересобрать apk


Особо не вникал что там но разобрать можно.

| Сообщение посчитали полезным:

Quadcon пишет:
Патчим метод:
Не запуститься, я пробовал через апктул получал смали и обратно собирал апк, подписывая сертификатом проги. Падает при запуске, палит сертификаты)
Quadcon пишет:
--> Тык <--
Интересует эта либа libdexprotector.so, в ней реализована часть нативных функций. Создается в app_outdex при старте и удаляется прогой. Как перехватить ? Если скриптом мониторить папку и скопировать как там появится, то успеет ли скрипт это сделать.
Можно ли права настроить на рутованном девайсе, чтобы при удалении обламалась ?

| Сообщение посчитали полезным:

mixer632 пишет:
Не запуститься
В большинстве случаев запуск и не нужен.

mixer632 пишет:
Интересует эта либа libdexprotector.so, в ней реализована часть нативных функций. Создается в app_outdex при старте и удаляется прогой. Как перехватить ?
https://github.com/strazzere/android-lkms вот так.

| Сообщение посчитали полезным:

Quadcon пишет:
.method static final acbbd(Ljava/lang/String;)Ljava/lang/String; //Функа декрипта строк.

А где вы такую функцию нашли в тех сорцах ? Нигде нету там функции с именем acbbd.

| Сообщение посчитали полезным:

Хватит гонять обсуждения в не предназначенном для этого топике.

| Сообщение посчитали полезным:

https://www.sendspace.com/file/0wx142
что здесь?
последняя секция - .tprot

| Сообщение посчитали полезным:

Добрый вечер. Очень необходима Ваша помощь.

1. Андроид игра Mu Origin RU v 1.5 - написана на Unity
2. https://yadi.sk/d/ESJO-PulvG2qf
3. Не архив - сам файл Dll - Размер 5 мб
4 PEiD говорит "Not a valid PE file"
5. DiE говорит "Assembly-CSharp.dll - not valid PE file!"
6. DiE v2 говорит Type: Binary
7. Имен не показывает
8. Entropy (bits/byte): 7.5823 94% packed

| Сообщение посчитали полезным:

1. _geolib (Geopolitical Simulator 4) v 6.20
2. http://rgho.st/7ZZn8BF22
3. 6355 kb
4.
5.
6.
7.
8.

| Сообщение посчитали полезным:

Hater Dan пишет:
1. _geolib (Geopolitical Simulator 4) v 6.20
2. http://rgho.st/7ZZn8BF22
3. 6355 kb
4.
Там явно навесной прот какой-то. Одно могу сказать точно: такой древней ахинеей, как копирование первых инструкций в секцию себе и прыжок на оставшейся команды в системные либы, занимается узкий круг публичных протов (мож это даже obsidium, как DiE показывает):


| Сообщение посчитали полезным:

Помогите разобраться с упаковщиком

1. .dll одной из прог
2. Скачать файл с sendspace.com --> Link <--
3. (4.75MB)
4. Информация из PEiD --> Link <--
5. Информация из DiE --> Link <--
6. Информация из DiE v2 --> Link <--
7. Имена секций модуля
8. Энтропия - --> Link <--

| Сообщение посчитали полезным:

5- Compiler - Microsoft Visual C++ | C/C++

6- PE: protector: Dotfuscator(-)[-]
PE: library: .NET(v4.0.30319)[-]
PE: linker: Microsoft Linker(11.0)[EXE32]

7- .text .rsrc .reloc

8- Entropy Index - 84,904

| Сообщение посчитали полезным:

1: nsbLauncher.exe [Downloader] - nsbLauncher[number].exe [сама программа]
2: --> nsbLauncher.rar<--
3: 2.84 MB
Накрыт: Themida/Winlicense(2.X)[-]
+
Накрыт: NetReactor.

Но чем ещё запакован не смог определить (

| Сообщение посчитали полезным:

ArtesSPC
С чего вы взяли? Упаковано действительно Themida/Winlicense + NetReactor, после распаковки код прекрасно видно



Онлайн проверка ключа еще и при создании билда

| Сообщение посчитали полезным: script_kidis, ArtesSPC

"unpacking gods"

| Сообщение посчитали полезным:

От модератора: в шапке есть форма, как надо оформлять пост

| Сообщение посчитали полезным:

Добрый день
Есть длл расширение для Farcard v6
ссылка https://yadi.sk/d/NhQR2cds3DDzz3
Размер: 4,2 МБ вирусов нет.
Peid в обычном режиме не определяет ничего в агрессивном пишет UPolyX v0.5 *
die 0.64 определяет Borland Delphi [ver: x] | Object Pascal
die 1 определяет PE: protector: VMProtect(-)[-]
PE: compiler: Borland Delphi(-)[-]
PE: linker: Turbo Linker(2.25*,Delphi)[DLL32]

[img]http://rgho.st/7Cby7qsF7[/img]

5c8a_06.02.2017_EXELAB.rU.tgz - 2017-02-07_000903.png

| Сообщение посчитали полезным:

Andrupol
Там действительно VMProtect 2.xx

| Сообщение посчитали полезным:

JaaА какая версия можно узнать или это практически не реально? Я только учусь взлому. Простите если что не так.

| Сообщение посчитали полезным: