Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь

| Сообщение посчитали полезным:

SER[G]ANT пишет :Вроде как upx, а сверху скрамблер от Guru.exe
Однако при проходе по F8 айсом встречается куча гадости:SEH антиотладка,RDTS,код из IsDebuggerPresent(FS[...),проверкаCRC;после распаковки иXOR расшифровки OEP не изменяется,код по этому адресу модифицируется.В коде до распаковки встречаются куски мешающие дизасму(в ИДЕ их вручную данными можно представить) короче гемморой и явно не UPX,но что имеенно мне знаний мало
Кстати эта дрянь грузит DLL перед стартом без системного загрузчика.
Может встречал кто эту хрень?

| Сообщение посчитали полезным:

File Name: AlwaysHot.resource
Size: 344KB |
Peid Not Found
PiD тоже самое
DiE Not Found
Паковано
http://www.sendspace.com/file/uxlyzf http://www.sendspace.com/file/uxlyzf - пакованная либа
http://www.sendspace.com/file/x3v8n5 http://www.sendspace.com/file/x3v8n5 - сам ехе-шник на всякий

| Сообщение посчитали полезным:

1. -
2. Rapidshare.com http://rapidshare.com/files/203085387/unpack_me.zip.html / Slil.ru http://slil.ru/27003799
3. 1.91 Mb (zip)
4. PEiD: "tElock 1.0 (private) -> tE!"
5. DiE: "tElock 0.99"
6. .aspr|.aspr|.aspr|.aspr|.aspr|.aspr|.rsrc|.aspr
7. Упаковано

Надо полностью распаковать. QUnpack (только через аттач к процессу) генерит нерабочий дамп, судя по всему из-за кривого восстановления таблицы импорта, исправить ситуацию не смог.

Доподлинно известно что:

1. Пару версий назад данный файл палился рядом аверов (на самом деле безопасен, ругались за пакер), сейчас он чист http://www.virustotal.com/ru/analisis/9b6c52ab8d9147502b89120981f2ba80 , скорее всего вносились незначительные "модификации".

2. Запакован дельфовый EXE - 100%.

3. UNtElock 0.99 его не снимает

| Сообщение посчитали полезным:

RUNaum
Держи
dump.ru/file/1919763

| Сообщение посчитали полезным:

1. Total Uninstall 5.0.1
2. rapidshare.com/files/202755035/Tu.rar.html
3. 3.3 MB
4. PEiD не определяет.

| Сообщение посчитали полезным:

ChVL пишет:
1. Total Uninstall 5.0.1
Там Themida 2.0.5.0

| Сообщение посчитали полезным:

1. Sakray
2. rapidshare.com/files/210873133/unpack.rar.html <--
3. 1495 KB
4. yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
5. Heuristic: Nothing found, External Singn : nothing detected
6. atmptiqm, .rsrc, mxvpfyqj, holapqdp, brfotxzc
7. EntryPoint: 00120000

Не получается распаковать. Запакованый файл - rcp.dll.

| Сообщение посчитали полезным:

van_gog Themida/WinLicense V2.0.1.0 + [Hide from PE scanners Type2] -> Oreans Technologies * Sign.By.fly * 20080721 *

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Oreans ID 1.1 [golds7n!LAG]
---------------------------
rcp.dll was protected with themida/winlicense 2.030
---------------------------

-----
EnJoy!

| Сообщение посчитали полезным:

1. l2.exe
2. --> rapidshare.com/files/212508321/19_03_09_l2.exe.html <--
3. 2,15 МБ (2 258 432 байт)
4. UpolyX 0.5
5. Themida / Xprotecter
6. uacevvul, .rsrc, ekeydbij, koqvhekd, cqfzfyjo
7. packed

| Сообщение посчитали полезным:

n00byc0der
Themida 2.0.5.0

| Сообщение посчитали полезным:

1. File Name: main.exe
2. www.sendspace.com/file/1k5lg6
3. Size: 3852 KB
4. Peid: Not Found
5. PiD: Not Found
6. DiE: Not Found

Паковано 100%

Палит отладчик, автоанпакеры естественно не берут.

| Сообщение посчитали полезным:

yuzik: Themida 2.0.6.5

| Сообщение посчитали полезным:

1. Commfort 4.20
2. www.izone.ru/internet/relations/commfort-download.htm
3. 6794 кб
4. PeID: Themida 1.8.x.x -> Oreans Technologies *
5. DIE: Themida
6. .rsrc .idata CFCL

Что фима в курсе, но вот версия хз. Скрипт Themida + WinLicense 1.9.1.0 - 2.0.5.0 Unpacker v0.2.txt не дает никаких результатов. Пните плз в направлении где можн почитать про распоковку данной версии фимы

| Сообщение посчитали полезным:

Dem0n1C пишет:
Что фима в курсе, но вот версия хз
Версия - 2.0.6.5

| Сообщение посчитали полезным:

1. eCtune 0.0.2.2 r1
2. http://rapidshare.com/files/226475454/eCtune.zip
3. 1.1M
4. Microsoft Visual C# / Basic .NET [Overlay]
5. Heuristic: Nothing found, Compiler: Microsoft Visual C++ | C/C++
6. .text .reloc .rsrc
7. Entropy Index: 76.123

Используется какой-то .net обфускатор. Какой - я пока не в силах понять.

| Сообщение посчитали полезным:

igrekster: Eziriz .NET Reactor, легко определить по наличию строчек типа:


| Сообщение посчитали полезным:

1. RadioClicker PRO 7.1.2.2
2. Http://radioclicker.com/radioclicker-pro/download/rclicker pro_setup.exe
3. 4,28 МБ
4. Peid и другие анлизаторы не определяют ничего, но ясно что там .Net только не понятно чем упакована.

Lizard
Спасибо, че-то забыл о PROTECTiON iD v0.6.2.3

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ
PROTECTiON iD v0.6.2.3 определил как Themida v2.0.1.0 - v2.0.6.5 (or newer)

| Сообщение посчитали полезным:

Собственно сам архив: СКАЧАТЬ
Не могу понять, что там конкретно PECompact или PEBundle? Пытался распаковать, начало похоже на вышеуказанные пакеры, но дальше что-то не то.


ClockMan, ё-моё, спасибо друже. А я сижу уже 3 часа и думаю, что защиту в PECompacte поменяли.

| Сообщение посчитали полезным:

deepredЭто RLPack

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

1. l2Divine 8.4.1

2. rapidshare.com/files/229405673/L2Divine.rar.html

3. 1,47Mb

4. PEiD:
Linker Info: 2.25
First Bytes: 55,8B,EC,B9
Borland Delphi 6.0 - 7.0 [Overlay]
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *

5. Borland Delphi | Object Pascal
Heuristic: Nothing found

6. Sections:
CODE, DATA, BSS, .idata, .tls, .rdata, .reloc, .rsrc

7. Entro
Index: 99,379
Status: packed
Detected: Nothing found

Спасибо)

| Сообщение посчитали полезным:

это какое-то делфи юзающие .NET?!
что за чудо?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

NoFate Там чистий Borland Delphi ( 2.0 - 7.0 ) 1992, ничем не накрыт.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

Странно.. По идее должно тогда работать в Dis# или в .NET Reflector. Или я что-то не так делаю?

| Сообщение посчитали полезным:

у меня при запуске вылетает .NET ошибка, и начало файла c EntryPoint какое-то не Делфовское, но это делфи

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

NoFateЭто Borland Delphi 6.0 - 7.0 [Overlay]Просто скарей всего в Overlay содержится бибблиотеки написаные на Net

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Работает только с 3.5 , если не ошибаюсь.

При попытке подсунуть в .NET Reflector или любой аналог ничего не происходит, в Reflector'e ошибка "doesn't contain a CLI header"

Спасибо за помощь! ;)

| Сообщение посчитали полезным:

Overlay отцепил с помощью плагина для PEiD, получилось на 1,3Mb с учетом того, что сам exe-шник на 1,56..

| Сообщение посчитали полезным:

NoFate кстати "PROTECTiON iD" показал dotNet Reactor v3.3 - v3.9 (or newer) protected ! не понятно вроде чистый делфи.....

Reflector'e ошибка "doesn't contain a CLI header"
У меня такая ошибка выскакивала, когда прога на .Net была накрыта фимой, так что полюбому чем-то запакована.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным: