Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

Andrupol пишет:
какая версия
Andrupol пишет:
Я только учусь взлому.
Тогда толка от версии никакого. Новичку не по зубам.

| Сообщение посчитали полезным:

1. Программа проверки знаний "Экзамен" Версия 1.5
2. http://rgho.st/7rqnYQBJq
3. Размер архива - 545 Кб
4. Информация из PEiD - ASPack 2.12 -> Alexey Solodovnikov
5. Информация из DiE - ASPack/ASProtect
6. Информация из DiE v2 - ASPack(2.12-2.XX)[-] ; Compiler - Borland Delphi(-)[-]
7. Имена секций модуля - http://rgho.st/6XFwhKbsZ
8. Энтропия - Bytes: 570368 Entropy Index: 99.655

Распаковщики ASPack/ASProtect не признают данный файл

| Сообщение посчитали полезным:

hexep

держи не знаю вроде распаковал

--> Link <--

| Сообщение посчитали полезным: hexep

1)mrac.dll - защита от дебаггинга, которая инжектится в софт
2)https://yadi.sk/d/QHJo9qqG3HU4Ma
3)размер архива 6,96 МБ
4)UPolyX v0.5 [Overlay] *
5)-->Packed
6)PE: protector: Obsidium(-)[-]
PE: protector: Themida/Winlicense(2.X)[-]
PE: linker: Microsoft Linker(14.0)[DLL32,signed]
7)Name:
iGDr
iGDrc
.idata

oyocqupb
kgfajmli
.taggant

| Сообщение посчитали полезным:

1. Ford IDS 107
2. https://yadi.sk/d/A8hg3nNF3PE6XJ
3. 471Kb
4. tElock 1.0 (private) -> tE! *
5. Nothing found
6. Microsoft Visual C++ 2010SP1
7. Секции
.text
.rdata
.data
.rsrc
.reloc
.idata
.text
8. Энтропия - bits/bytes 7.68466

| Сообщение посчитали полезным:

jinoweb пишет:
Ford IDS 107
По косвенным признакам: Arxan

Во-всяком случае оно даже распаковывается
http://rgho.st/85YrVHwQ7

ну засрато немного jmp const, но при желании - достаточно быстро это говно вычищается

| Сообщение посчитали полезным:

1. EСU Flаshеr 2.3.0.c
2. http://zalil.su/5206500
3. 4 529 152 байт
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ | C/C++
6. ссылка не открывается
7.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 003C4000 00000000 00000000 60000020 none -
.data 003C5000 00071000 00000000 00000000 C0000040 none -
.tls 00436000 00001000 00000600 00000200 C0000040 none -
.rdata 00437000 00001000 00000000 00000000 50000040 none -
.idata 00438000 00004000 00000000 00000000 40000040 none -
.didata 0043C000 00001000 00000000 00000000 C0000040 none -
.edata 0043D000 00001000 00000000 00000000 40000040 none -
.vmp0 0043E000 002BEF8E 00000000 00000000 E0000060 none -
.vmp1 006FD000 0044E29A 00000800 0044E400 E0000060 t/e/i X
.reloc 00B4C000 0000017C 0044EC00 00000200 50000040 breloc -
.rsrc 00B4D000 00002D02 0044EE00 00002E00 40000040 res -

8. 7.93 (Packed)

| Сообщение посчитали полезным:

virusnyak пишет:
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Microsoft Visual C++ | C/C++
VMProtect(судя по именах секций, по ответу DIE, и по самому коду) && Dongle(судя по запросу ключа при старте)
плюс delphi XE5-6, а не MV C++

| Сообщение посчитали полезным: virusnyak

Помогите распаковать файл выше, чтот я туп для этого)))

От модератора: шапку топика прочитать тоже? топик не для запросов на распаковку, для этого поиск специалистов есть. и да, линк на него уже давали в прошлом же топике

| Сообщение посчитали полезным:

1: Bot (NoName)
2: zalil.su/?fg=4313014
3: 407.76 KB
4: Microsoft Visual C# / Basic .NET [Overlay]
5: Babel .NET(1.0-2.X)[-]
6: Dotfuscator(-)[-]

| Сообщение посчитали полезным:

COBETCHiK
KoiVM v0.2.0-custom

| Сообщение посчитали полезным:

Помогите пожалуйста распаковать. На сколько я понял это UPX,но все что я находил - очень старое и под х32.
Эта библиотека под х64.

1. Библиотека, защищающая определенные функции софта от хуков.
2. http://rgho.st/86jTJTH9R
3. 100 kb
4. Не открывает
5. http://ipic.su/img/img7/fs/Snimok.1512154370.png

| Сообщение посчитали полезным:

LightGreenPixel
Это юпикс, под ним ничего нет. Для распаковки вам необходимо скачать вот это --> Link <-- и запустить с ключом -d
Если не секрет, откуда модуль выцарапали?

| Сообщение посчитали полезным: LightGreenPixel

1. Lansweeper.dll 6.0.100.94
2. http://www.multiup.eu/2d95df932f5d1e8a8ebd8d71845d35e6
3. 3Mb
4. Microsoft Visual Studio .NET *
5. Microsoft Visual Studio
6. Microsoft Visual Studio C/C++
7. Функции и имена обфусцированы, вида \u0080 или \u0200
Хочу понять чем обфусированны, Пытался Всеми доступными детекторами, пишут "Unknown obfuscator"
Хочу сам снять защиту, главное понять чем обфусцировали код. Или подскажите куда копать.

| Сообщение посчитали полезным:

sashka2002, похоже какая то простая ренеймилка. de4dot справился вроде не плохо.
--> Было <-- --> Стало <--

| Сообщение посчитали полезным:

К сожалению деобфускации нет, только ренеймилка.

Может кто-то сказать хоть чем обфусцированно. Любой de-confuser не берёт. SAE открывает но опять же все нужные классы вместо GetUser/GetLicense вижу Class01/Class45 и т.д.

http://rgho.st/private/8vnjq57m2/fe9c04bf37b159814f44839d1d507280

Тоже чем-то обфусцировано, хз ни один деобфускатор не берёт
Вижу только такие строки :
04000A0B -> 04000A0B Field: System.String Namespace_00.dje_qNJKJWELVPNYWCJZ9LRHWP7L32UJBBN2A6TL4RGMD8M45VHMX9R6A_ejd/WKSTA_INFO_100::langroup
04000A0C -> 04000A0C Field: System.UInt32 Namespace_00.dje_qNJKJWELVPNYWCJZ9LRHWP7L32UJBBN2A6TL4RGMD8M45VHMX9R6A_ejd/WKSTA_INFO_100::Field_01
04000A0D -> 04000A0D Field: System.UInt32 Namespace_00.dje_qNJKJWELVPNYWCJZ9LRHWP7L32UJBBN2A6TL4RGMD8M45VHMX9R6A_ejd/WKSTA_INFO_100::Field_02

| Сообщение посчитали полезным:

1. EVE Pilot 7.21.4
2. http://rgho.st/8Qb6NcJsq
3. 18 Mb

4. Информация из PEiD
Normal scan: Nothing found *
Deep scan: Alias PIX/Vivid IMG Graphics format *
Hardcore scan: Alias PIX/Vivid IMG Graphics format *

5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
Microsoft Visual Studio C/C++
Nothing found

6. Информация из DiE v2
PE: protector: .NET Reactor(4.8-4.9)[-]
PE: library: .NET(v2.0.50727)[-]
PE: linker: Microsoft Linker(6.0)[EXE32]

7. Имена секций модуля
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00002000 0193F5E4 00000400 0193F600 60000020 c/i
.sdata 01942000 0000029C 0193FA00 00000400 C0000040 data
.rsrc 01944000 00018CB0 0193FE00 00018E00 40000040 res
.reloc 0195E000 0000000C 01958C00 00000200 42000040 breloc

8. Энтропия 7.54672 (Packed)

Давным давно пробегала это программа, но сильно кажется, что улучшения в защите есть
de4dot-mod-reactor_4.9 позволяет открыть рефлектором, но до нормального вида далеко. Функционал теряется.

| Сообщение посчитали полезным:

Добрый день господа
1. CaseImgManage v 1.0.3.0
2. https://cloud.mail.ru/public/MXKa/DHBu2RuXA
3. 2 922 461 байт
4. PEID v0.94: yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. DiE v0.64: Nothing found
6. DiE v1.01: Themida/Winlicense(2.X)[-]
7.
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
00002000 00182000 00002000 000BB200 E0000040 code
.rsrc 00184000 00004C70 000BD200 00001A00 C0000040 d/r
.idata 0018A000 00002000 000BEC00 00000200 C0000040 b/i
0018C000 0033E000 000BEE00 00000200 E0000040 none
kqnjjvzz 004CA000 00212000 000BF000 00211E00 E0000040 none
ytubbqqi 006DC000 00002000 002D0E00 00000200 E0000040 none
8. Entropy index: 99,555

Сама программа написана на c#.

| Сообщение посчитали полезным:

Да, действительно запаковано Themida, die не обманул

| Сообщение посчитали полезным: nmdmitry

Доброе время суток. Уже 4ий день пытаюсь расковырять .NET програмку.

1. Название программы - CTAudSvc.exe 12.9.6.0 (На самом деле - бот для игры.)

2. Ссылка на архив - http://rgho.st/private/6cmWYPCDQ/b8686f81020f39f2cdd0841a305821fc
В комплекте с этим файлом были еще 2 (1 - апдейтер, 2 - стартер), распаковал их легко, изучил их код вдоль и поперек но кроме прямого вызова CreateProcess, запускающего CTAudSvc.exe, ничего полезного не нашел.

3. Вес архива - 3 462 471 байт

4. PEid - UPolyX v0.5 (Это не он, почему-то зачастую находится много-где)

5. DIE 0.97 - Протекторов не находит. (.NET)

6. DIE 2.0 - Протекторов не находит. (.NET)

7. Vsize Vaddress Rsize RAddr. Reladdr LN RelNum states
lySVpF
n 000E7CA4 00002000 000E7E00 00000400 00000000 00000000 0000 0000 E0000040
.text 00418040 000EA000 00418200 000E8200 00000000 00000000 0000 0000 60000020
.rsrc 00002C80 00504000 00002E00 00500400 00000000 00000000 0000 0000 40000040
.reloc 0000000C 00508000 00000200 00503200 00000000 00000000 0000 0000 42000040
(пустое название) 00000090 0050A000 00000200 00503400 00000000 00000000 0000 0000 60000020

8.
Энтропия - 7.58114

Энтропия по секциям -
"lySVpF
n" 7.99981
".text" 7.41773
".rsrc" 4.64299
".reloc" 0.104728
"" 2.60041

de4dot после моих разнообразных попыток или не делал ничего, или удалял всю реализацию всех методов.
(зато декомпиляторы хотя-бы открыть могли)

ILdasm при попытке посмотреть на IL выдает кучу ошибок, без какого-либо описания.
ILSpy при попытке декомпилировать выдает кучу ошибок.
dnSpy не лучше.
были попытки использовать и другие декомпиляторы, но и там успехов не было.

| Сообщение посчитали полезным:

R0EE
Confuser ex
В DnSpy перейди по токену 0x06000001 потом поставь брекпоинт и трассируй и появиться код, потом можешь сдампить и убрать код анпака кода
nmdmitry
Запусти софт и сделай просто дамп и будет тебе чистый файл но не рабочий
DogBul
Там реактор, и нормально распаковался, делал кряк на заказ, но с заказчиком не сошлись, там внутри еще много интересного есть

| Сообщение посчитали полезным: SDK, R0EE

Здравствуйте,не могу понять чем запакованно,и как расспаковать...

http://rgho.st/7skQsG5fQ
ELF64: library: GLIBC(2.3.4)[executable AMD64-64]
ELF64: compiler: gcc((Debian 4.9.2-10) 4.9.2)[executable AMD64-64]
Энтропия:http://prntscr.com/know49

| Сообщение посчитали полезным:

I can't find what is packed? please help me !

1. http://rgho.st/8s66hsKjV
2. .NET(v4.0.30319)[-]
3. Microsoft Linker(8.0)[EXE32]

| Сообщение посчитали полезным:

vaxa Это PyInstaller (https://www.pyinstaller.org/). Внутри куча файлов сжатых zlib.
Вот распакованные: --> Link <--

| Сообщение посчитали полезным:

tamnt1306
confuserex modded

| Сообщение посчитали полезным:

http://rgho.st/7VQv98jDg
1801.15 KB 1.8Mb
peid Microsoft Visual Basic v5.0 - v6.0 * 6.65 (Maybe Packed)
Die Microsoft Visual Basic 6.0 Native unknown(7.0)[EXE32]
Секции.text.rsrc.text.rdata.text.idata Энтропия - 6.99057 87% не сжатый
RGD Vmprotect 2.x VB6

| Сообщение посчитали полезным:

SDK пишет:
Die Microsoft Visual Basic 6.0 Native
Всё верно.
А на шифрованные/пакованные секции не смотри. Они скорее всего вручную сделаны. В смысле, это не автоматический пакер взял и соорудил такой файл.

| Сообщение посчитали полезным: SDK

1. IDSLoader
2. https://yadi.sk/d/nEGKRgoxtyRQ_g
3. 9Mb
4. peid - AIN Archive *
5. Die V1 - VMProtect(-)[-]
6. Die V2 - VMProtect(-)[-]
ProtectionID v0.6.7.5 - VM Protect 3.1 Build 891 detected
7 .text
.rdata
.data
.vmp0
.vmp1
.reloc
.rsrc
8. - 7.98 (Packed)

| Сообщение посчитали полезным:

1. Seatmojo 2.4.14
2. https://yadi.sk/d/U9wqbxKFHnmbFA
3. 6Mb
4. peid - yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
5. Die V1 - VMProtect(1.X)[-]
6. Die V2 - VMProtect(1.X)[-]
7 .text
.rdata
.data
.upx0
.upx1
.rsrc
8.Entropy(bits/bytes) 7.86237
Вопрос: какая точная версия vmprotect тут стоит? И за сколько долларов её приблизительно можно снять?

| Сообщение посчитали полезным:

Не могу понять чем запакован и как распаковать .

Первый софт


PEID пишет
Microsoft Visual C# / Basic .NET
entry point 0021071E


Detect It Easy 1.01 и Detect It Easy 2.01 пишет
.NET(v4.0.30319)[-]
Microsoft Linker(8.0)[EXE32,admin]
entry point 0021071e

RDG Packer Detector v0.7.6.2017
Detecterd: Confuser (.NET Obfuscator)
Possible .Net Crypter (Heuristic Detection)





Второй софт



PEID пишет
entry point 00256062
Microsoft Visual C# / Basic .NET


Detect It Easy 1.01 и Detect It Easy 2.01 пишет
.NET(v4.0.30319)[-]
Microsoft Linker(48.0*)[EXE32,admin]
entry point 00256062




RDG Packer Detector v0.7.6.2017
Microsoft Visual .Net
aPLib compression (Algoritm)
Check IsDebuggerPresent (API)

| Сообщение посчитали полезным: