Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

Release

Archer пишет:
С вероятностью в 95% вмпрот.

| Сообщение посчитали полезным:

Release
WM Protect 100% =)))

| Сообщение посчитали полезным:

1. Extractor
2. rapidshare.com/files/158763143/Extractor.rar.html
3. 300kb
4. Nothing found
5. Nothing found
6. .text
.rdata
.data
.rsrc
.tvm0
.tls
.tvm1
.reloc
7. PUSH 2EEBE65E
CALL 0048DE21
PUSHFD
PUSH ESP
CMP EBX, 00000003
PUSHAD
LEA ESP, [ESP+28]
JZ 0048A865
PUSHFD
PUSHFD
LEA ESP, [ESP+08]
JMP 004879A9

Olly ее не берет, если честно чую что боян но здесь я не нашел упоминания об этом проте.

| Сообщение посчитали полезным:

Опять же, 97%, что VMProtect.

| Сообщение посчитали полезным:

Minvik пишет:
1. Extractor
чет он не запускается не хрена на двух осях попробовал , по виду вроде похож на VMProtect

| Сообщение посчитали полезным:

1. DLL - sc32lds.DLL, идет вместе с одной exe-кой (kg) написанной на VB6
2. rapidshare.com/files/160803676/sc32lds.DLL.html
3. 60 KB
4. PEID 0.95: ASPack 2.12 -> Alexey Solodovnikov
5. Die 0.64: Microsoft Visual C++ [ver x.x] | c/C++, External Sign: ASPack v2.12
6. секции:
.ASPack
.ASPack
7. Энтропия PeID095 - 7.82 (Packed), Die 0.64 - Entropy Index 97.393


PUSS подсказал что
>>Dll-ка запакована RLPack 1.20 с ложной сигнатурой Aspack'а.
Информация от ExeInfo PE 0.0.1.9C - Generic check : RLPack 1.20 with fake signature (интересно
почему другие ошибаются, а ExeInfo нет...?
хинт от проги говорит -
>>try RL!dePacker from ap0x.jezgra.net
пробовал на RLdePacker1.41 - не взял,
джентельмены, помогите с распаковкой пож-ста.

| Сообщение посчитали полезным:

pavka пишет:
запакована RLPack 1.20
Там под РЛпаком еще какая то фигня
00381000 C8 000000 ENTER 0,0 <---ep
00381004 837D 0C 01 CMP DWORD PTR SS:[EBP+C],1
00381008 75 1B JNZ SHORT sc32lds.00381025
0038100A E8 CE000000 CALL sc32lds.003810DD
0038100F 72 09 JB SHORT sc32lds.0038101A
00381011 B8 01000000 MOV EAX,1
00381016 C9 LEAVE
00381017 C2 0C00 RETN 0C

0038304C 7C80AC28 kernel32.GetProcAddress <---import
00383050 7C801D77 kernel32.LoadLibraryA
00383054 7C903151 ntdll.RtlMoveMemory
00383058 7C90311B ntdll.RtlZeroMemory
0038305C 7C809A81 kernel32.VirtualAlloc
00383060 7C809B14 kernel32.VirtualFree
00383064 7C801AD0 kernel32.VirtualProtect
00383068 7C80AA66 kernel32.FreeLibrary

| Сообщение посчитали полезным:

Помогать с распаковкой-это в топике на взлом, здесь ТОЛЬКО опознавать защиту. Возможно, не совсем логично, но это так.

| Сообщение посчитали полезным:

Archer пишет:
ТОЛЬКО опознавать защиту.
Именно это я и пытался сделать , к сожалению неудачноpavka пишет:
Там под РЛпаком еще какая то фигня

Archer: да это я не тебе, а автору поста выше

| Сообщение посчитали полезным:

С некоторых пор прога Налогоплательщик 2008 ver.12.29 упакована другим упаковщиком
Кто может подсказать - как и чем его распаковать ??? ......
Вот ссылка на ехешник
superstar.ifolder.ru/9282796

| Сообщение посчитали полезным:

Задача такая, надо русифицировать прогу Catt2 (http://ifolder.ru/9285619) 800 kB, но при сканировании файла CATT2.exe в PEiD пишет что "Not a valid PE file" в OllyDbg такая же проблема. Подскажите чем упакован файл и как его можно русифицировать?
Заранее огромное спасибо!

| Сообщение посчитали полезным:

Чем паковано?
1) EX4-TO-MQ4
2) www.purebeam.biz/ex4_to_mq4_demo.exe
3) 6198Kb
4) Nothing found *
5) Nothing found
6) .text .data .tls .rdata .idata .edata .rsrc .muma0 .muma1 .muma2
7) 7.83 (Packed)

на EP

00A7C62B PUSH 5C8AE62E
00A7C630 CALL 01068188
00A7C635 PUSH 1C44ED2E
00A7C63A CALL 01066F68
00A7C63F DB 1A
00A7C640 DB 05
00A7C641 DB A4

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

FlintЭто VMProt

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Чем паковано?
Total Uninstall
www.martau.com/archives/Total-Uninstall-Setup-5.0.2.exe

Довольно экстримальный прот. В импорте тока lstrcpynA. секций много и все с мусорным именем.
при аттаче ольги прога терминируется (с сусером неработал).

PEiD - обычная тема с UPolyX (бредит)
DiE - не разобрал.

| Сообщение посчитали полезным:

1. l2walker.dll 2.09
2. rapidshare.com/files/170571685/l2walker.dll_2.09.zip.html
3. 2333 KB
4. Nothing found
5. Nothing found
6. .text .rdata .data .shd .rsrc .idata0 .idata1 .tls .idata2 .reloc
7. 7.91 (Packed)

| Сообщение посчитали полезным:

SWR
Чем упаковано пока сказать не могу, но вроде OEP=618CA8. Код на OEP очень душевно обфусцирован и перенесён в другую секцию (на родном месте мусор).

ВМ?


| Сообщение посчитали полезным:

SWR
Если секции мусорные-возможно, говнопрот, он же ExeCryptor. Но могу и ошибаться, сам файл не смотрел.
myronik
Судя по секциям, VMProtect. Тем более, что релизнули его, а автор вечно своё барахло накрывает потыреным софтом.

| Сообщение посчитали полезным:

Archer пишет:
он же ExeCryptor
Да это он. Вот цитата из WorldWide:

|– Unpack ExECryptor
...
| | |– Manual Unpacking Total Uninstall 3.7

Тема июльская, вряд ли бы они протектор сменили.
Нашёл в теме про ExeCryptor:
Remember I inlined Uninstall Tool (same soft producer)
Этим протом что, все юнистал тулы накрывают?

| Сообщение посчитали полезным:

SWR вот http://exelab.ru/f/action=vthread&topic=6273&forum=1&page= -1#

| Сообщение посчитали полезным:

progopis пишет:
на родном месте мусор).
В BMпротекте не просто мусор

| Сообщение посчитали полезным:

pavka
Дык я не про VMProtect, а про ExeCryptor, и там действительно мусор. Причём не сразу на OEP, а чуть дальше код просто выдран, разбавлен мусором и перенсён в другую секцию. На исходном месте jmp на этот выдранный код, а за ним мусор.
Эй! SWR, ты куда пропал?

| Сообщение посчитали полезным:

Копался с прогой написанно на Visual Foxpro ... но не понятно чем упакованно ...

Depomir www.depomir.ru/

Вот сцыла на exe rapidshare.com/files/174490540/DepoMir1.exe.html

| Сообщение посчитали полезным:

Overloud TH1 1.0.1 вобщем вроде прога написана Visual C, но при запуске отладчика, и при аттаче выскакивает экран смерти и идет перезагрузка, олька чистая с последним фантомом. При установке прога устанавливает какой-то драйверок, наверное в нем вся мутка. Жду полезных советов
ссылка на прогу
www.overloud.com/media/common/TH1%201.0.1%20Standalone%20PC.exe
ссылка на экзешник
www.shareua.com/files/show/2089801/TH1.rar.html

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ
Там Pace Anti-Piracy.
Глянь сюда:
http://www.exelab.ru/f/action=vthread&forum=2&topic=13332

| Сообщение посчитали полезным:

St_George
Там какой-то самопальный протектор. Такое ощущение, что навешивали его прямо патчем исходного файла. Суть такая - OEP не тронут, но сделан отдельно код который вызывается до OEP. Он патчит программу в месте, где вызывается GetProcAddress для DllWinMain. В итоге запускается не GetProcAddress, а некая функция (довольно большая), которая восстанавливает работоспособность файла в памяти.

P.S. Снять реально. Но у меня пока не рабочие дампы. Сложность в том, что в память не грузится весь файл. Нужно отдельно прикручивать к дампу сам код программы.

Добавлено:
Новые факты. Попытался сделать патч, который делал для версии NP2006W и выяснил что код пошифрован. Соответственно, выяснил что импорт vfp9r.dll патчится (CreateFileA, CloseHandle) на некие функции, которые расшифровывают код. Думаю дальше обсуждать в этой теме не стоит. Если не справлюсь сам, сделаю новый тред.

| Сообщение посчитали полезным:

Чем упаковано?
1.Blink Personal
2.http://rapidshare.com/files/183298795/b_l_ink.rar.html
3.534 Kb
4. Nothing found *
5. Nothing found
6. noname,noname,noname,Sectio%n
7.Entropy 98,732(die), 7,94(Peid)Packed.

| Сообщение посчитали полезным:

2 pirowan
Вроде как upx, а сверху скрамблер от Guru.exe

| Сообщение посчитали полезным:

1. Sam Broadcaster 4.3.6
2. rapidshare.com/files/186007663/SAMBC.7z.html
3. 4.78Mb
4. PKLITE32 v1.1 *
5. Borland Delphi | Object Pascal
6. CODE, DATA, BSS, .idata, h9emq5so, .tls, .rdata, bmau68jo, .rsrc, bg984ylu, q5fkb1e0
7. Entropy PEiD: 6.61 (Maybe Packed) DiE: 83.634 (Not packed)

| Сообщение посчитали полезным:

svr4
Судя по секциям, ExeCryptor-ом там накрыто нечто борландовское.

| Сообщение посчитали полезным:

Здравствуйте! А чем прогу для Windows mobile запаковали сможете сказать?
1. SoftMaker Office 2008 Rev.494
2. link_deleted_by_forum_engine/files/lcidhu8hk
3. Размер архива: 4.50 MB
4. Nothing found *
5. PlanMaker.exe - not valid PE file!
6. .text
7. -

| Сообщение посчитали полезным: