Сейчас на форуме: (+7 невидимых)

 eXeL@B —› Протекторы —› "Чем упаковано"
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
Посл.ответ Сообщение


Ранг: 536.4 (!), 171thx
Активность: 0.660.13
Статус: Администратор
Создатель CRACKL@B

Создано: 23 февраля 2008 22:26 · Поправил: Модератор
· Личное сообщение · #1

Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь.
Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (http://www.google.ru, http://ya.ru ...).

Что здесь допускается?
Вопросы по форме:
1. Точное название программы с указанием версии
2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру).
3. Размер архива
4. Информация из PEiD ( http://exelab.ru/PEiD-0.94.rar )
5. Информация из DiE ( http://exelab.ru/DiE-0.64.rar )
6. Информация из DiE v2 ( http://ntinfo.biz/index.php/detect-it-easy )
7. Имена секций модуля
8. Энтропия

Ответы по форме:
1. Протектор/пакер
2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее.
3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно).

Что здесь категорически не допускается?
- Ссылки на крякми и другие поделки авторов поста.
- Готовые решения (распакованные файлы, пароли, патчи, кейгены...).
- Благодарности.
- Повторы вопросов или ответов.
- Обсуждения любого рода!!!

Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения.
Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик.
Пожелания по топику - через личные сообщения модераторам.

Будут удаляться все посты, отступающие от форм.
За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP.

С уважением, модераторы форума CRACKL@B

-----
Всем не угодишь




Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 05 мая 2009 17:12
· Личное сообщение · #2

Пока успехом попытки не увенчались. Попробовал разные средства, VMUnpacker, stripper, Quick Unpack.. пока ничего вразумительного не получилось. Разве что дизасм




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 05 мая 2009 17:45
· Личное сообщение · #3

Да будет вам известно, дельфи (с 2007, вроде) умеет генерить .нет приложения. Скорее всего, он и есть, просто ничем не покрыт, судя по секциям. Сам файл не смотрел ещё. Если будет время, гляну, скажу поточнее.



Ранг: 10.6 (новичок)
Активность: 0.010
Статус: Участник

Создано: 05 мая 2009 22:04
· Личное сообщение · #4

Themida, Themida, Themida
не проще ли сигнатуры добавить в PEid и не мучаться?



Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 05 мая 2009 22:10
· Личное сообщение · #5

AndreyMust19
Есть вещи, которые сложно определять сигнатурно. Но вот отдельную прогу-анализатор сделать вполне реально. Только кому оно надо?



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 06 мая 2009 11:48
· Личное сообщение · #6

AndreyMust19 : т.е. в итоге накрыто Themid'ой , затем заменена сигнатура? Как определили, если не секрет? Ни PEiD, ни его аналоги, про Themida точно ничего не заметили))



Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 06 мая 2009 12:55
· Личное сообщение · #7

Ещё один... Сказано же - не всё можно определить сигнатурными методами! А PEiD ничем кроме сигнатур не славится, хотя плагины под него написаны.



Ранг: 15.9 (новичок), 2thx
Активность: 0.010
Статус: Участник

Создано: 27 мая 2009 15:57 · Поправил: Модератор
· Личное сообщение · #8

Вижу что обсуждения запрещены но я хочу спросить.
Правила соблюдать никак не хочешь? Побаню пока на сутки тогда



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 27 мая 2009 16:06 · Поправил: Vovan666
· Личное сообщение · #9

CFF explorer-ом удали секцию и всё.
Либо сделай Rebuild PE любым PE редактором.



Ранг: 6.7 (гость)
Активность: 0=0
Статус: Участник

Создано: 04 июня 2009 12:08 · Поправил: xdiablo
· Личное сообщение · #10

В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита.
Причем, ничем не опознаваемая (PEiD)
Сам ехе-шник упакован, но не полностью.
Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он).

Кому не сложно, посмотрите что за пакер, а?
http://ifolder.ru/12467032 размер 2.5мб




Ранг: 67.4 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 10 июня 2009 12:15
· Личное сообщение · #11

xdiablo пишет:
В CodeGear RAD Studio 2009 (который бывший Борланд) начиная с Update 3 наконец-то появилась защита.
Причем, ничем не опознаваемая (PEiD)
Сам ехе-шник упакован, но не полностью.
Места, в которых идет проверка защиты поскремблены (аля ехекриптор, но не он).

Кому не сложно, посмотрите что за пакер, а?
ifolder.ru/12467032 размер 2.5мб


Во первых нужны либы для запуска. Во вторых раз она новая откуда в PEID должны сигнатуры быть?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 10 июня 2009 17:15
· Личное сообщение · #12

Не запускается ни разу. Судя по секциям, ничем там не накрыто. Какие там места по-твоему поскрамблены? Или все должны шариться и искать, где же оно. Ещё и апает. Учитывая, что запрос не по форме ни разу.



Ранг: 38.2 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 15 июня 2009 15:36
· Личное сообщение · #13

Файл TOPOR.EXE версия файла 4.3.89.7 (программа для разводки плат для электроники)
Страница скачивания www.eurointechТОЧКАru/index.sema?a=demos&pid=33
(> 11 МБ)
PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++

Размер файла 3220 кб
После запуска идет более 1000 АПИ вызовов:
выделение памяти размером 972 кб (VirtualAlloc)
много GetProcAddress
потом 5 раз VirtualProtect (секции фиксирует наверное)
потом переход на начало выделенной памяти.

Вобщем память сдампил, получился очень похожий на
настоящий PE файл, но пока не запускается. Не вникал
в проблемы пока.

Наводит на грусть то, что размер был 3.2 мб,
а рабочий сдампленый кусок всего 972 кб.

Вопрос такой. Если кто такой опыт имел,
скажите пожалуйста, сможет ли работать
сдампленый код (экзешник) или без
родной части он не жилец?




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 15 июня 2009 16:02
· Личное сообщение · #14

AlexKlm

судя по цитате с сайта:

Версия TopoR Lite отличается от полнофункциональной только ограничением на число цепей (до 125) и слоев (до 8) и позволяет сохранять проекты.

Версия TopoR Demo не имеет ограничение на число цепей, обрабатывает до 8 слоев, но не позволяет сохранять или экспортировать проекты.

чтобы не региться на сайте, выложи дистриб (или дай прямой линк)

AlexKlm пишет:
сможет ли работать сдампленый код (экзешник) или без родной части он не жилец?


очевидно, ты чем-то не тем дампил
попытай счастья с автоматическими распаковщиками армадиллы

-----
EnJoy!




Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 15 июня 2009 16:22 · Поправил: Модератор
· Личное сообщение · #15

AlexKlm пишет:

Наводит на грусть то, что размер был 3.2 мб,
а рабочий сдампленый кусок всего 972 кб.

Это нормально.

AlexKlm пишет:
PEiD-0.94 определил: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
DiE-0.64 определил: Armadillo x.xx, Compiler: Microsoft Visual C++ | C++

Ну всё определилось. А позвольте узнать, причём здесь ЭТА тема?



Ранг: 38.2 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 15 июня 2009 22:34
· Личное сообщение · #16

progopis: ЭТА тема? - Я подумал что лишние сведения не повредят. Спасибо за ответ.

Jupiter: чтобы не региться на сайте, выложи дистриб (или дай прямой линк)
www.alexklmТОЧКАru/ru/misc/Setup_TopoR_Lite_4_3_89_07_man.exe
Дампил я сам исходя из размеров выделяемой до этого памяти, кроме того
я проверял память на непрерывность при помощи VirtulQuery, поэтому ошибка
врядли возможна. Но всякое бывает.




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 15 июня 2009 23:49
· Личное сообщение · #17

AlexKlm

\BIN\TOPOR.EXE
Protected Armadillo
Protection system (Professional)
<Protection Options>
Standard protection or Minimum protection
<Backup Key Options>
Fixed Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
Version 6.40 11-02-2009

-----
EnJoy!





Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 16 июня 2009 19:38
· Личное сообщение · #18

Почитайте правила топика ещё раз: вопрос-ответ. А вы что тут развели? Завязывайте.



Ранг: 2.1 (гость)
Активность: 0=0
Статус: Участник

Создано: 24 июня 2009 11:53
· Личное сообщение · #19

1. Google Earth 5.0.11733.9347
2. http://narod.ru/disk/10217252000/googleearth.rar.html
3. ~6Mb
4. "Nothing found, done"
5. "Nothing found"
6:
Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
.text 00001000 00C769E1 00000400 00C76A00 60000020 code
.rdata 00C78000 003F3EE1 00C76E00 003F4000 40000040 d/e/i
.data 0106C000 000D3014 0106AE00 000A5600 C0000040 none
CONST 01140000 0000001F 01110400 00000200 C0000040 none
.rsrc 01141000 0000F590 01110600 0000F600 40000040 res

Начальный пост с дополнительными деталями по вопросу - тут: http://exelab.ru/f/action=vthread&forum=1&topic=14620

Благодарю.



Ранг: 36.8 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 24 июня 2009 20:34
· Личное сообщение · #20

Google Earth - не упакован



Ранг: 2.1 (гость)
Активность: 0=0
Статус: Участник

Создано: 25 июня 2009 10:40 · Поправил: parasss
· Личное сообщение · #21

NeoTall пишет:
Google Earth - не упакован

...тем не менее, антивири при проверке этого файла пишут "Generic packer and/or user-defined container", чего не пишут про обычные экзешники (в т.ч. и про GoogleEarth более старых версий).
И они скорее всего правы, так как в составе этого файла есть кучи кода и функции, которые в ранних версиях GoogleEarth были в отдельных ДЛЛках рядом с экзешником. Например, сделайте текстовый поиск по этому файлу на стринг "evllp.dll" - Вы его не раз найдете, но этой DLL ОТДЕЛЬНО в составе данной версии нет, как нет ее и вообще в системе. Но тем не менее, всё работает.
В предыдущей версии evllp.dll - была, лежала рядом с экзешником и была для него жизненно необходимой (без нее не работало). То же самое и еще с несколькими десятками мелких ДЛЛок, ранее лежащих отдельно от.
Такое ощущение, что программа и жизненно важные ДЛЛки как раз и были утоптаны в один большой экзешник, разворачиваемый в памяти при работе.

Если это не пакер - то возможно ли, что это новомодный thin client (ака контейнер виртуального приложения) или еще какая-нибудь подобная слабодизассемблируемая классическими методами лабуда типа .NET приложения или чего-то в этом роде?

Спасибо.



Ранг: -0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 27 июля 2009 12:57
· Личное сообщение · #22

1. Jv16 PowerTools 2009 (1.9.0.552)
2. www.macecraft.com/downloads/jv16pt_setup.exe
3. 4.64мб
4. PEID---(UPOLYX v0.5*)
5. DIE---(Borland Delphi)
6. CODE,DATA,BSS,idata,tls,rdata,pt0
7. 7.93(Packed)




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 27 июля 2009 13:35
· Личное сообщение · #23

DotFixNiceProtect версия походу прота последния
P.S. надоже додуматься программу для работы с реестром накрыть такым"нехорошее слово"

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 24.2 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 12 августа 2009 17:30
· Личное сообщение · #24

1. Алгоpитм 2.1
2. Минимальный набор для запуска (разм. 1.0 Мб, ехе+dll) --> здесь <--. Полностью инсталлятор (5,68 Мб) --> тут <--
3. Размер архива 1.0 Мб
4. PEiD 0.95
Microsoft Visual C++ v6.0 DLL [Overlay] *
5. DiE 0.64
Microsoft Visual C++ | C/C++
Nothing found
6. Имена секций .text, .data, .xcpad, .idata, .reloc, rsrc.

Name Virt.Size Virt.Address RawSize RawAddress Characteristics

.text 00003С1Аh 00401000h 00003Е00h 00000400h 60000020h
.data 00000428h 00405000h 00000000h 00004200h С0000040h
.xcpad 0014А000h 00406000h 00000000h 00004200h 00000000h
.idata 00000272h 00550000h 00000400h 00004200h 40000040h
.reloc 000001A4h 00551000h 00000200h 00004600h 42000040h
.rsrc 0000645Аh 00552000h 00006600h 00004800h 40000040h

Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка.



Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 12 августа 2009 18:01
· Личное сообщение · #25

По моему ничего необычного - обычный Microsoft Visual C++.



Ранг: 81.0 (постоянный), 88thx
Активность: 0.070.02
Статус: Участник

Создано: 12 августа 2009 18:15 · Поправил: uncleua
· Личное сообщение · #26

wasmkv пишет:
1. Алгоpитм 2.1


http://link_deleted_by_forum_engine/files/mjnv09s0x

Прога, вроде как, и зарегисттрировалась, но при создании .exe ругается на недорегистрированность... Т.ч. надо смотреть еще где-то...

P.S. Что-то непонятное, одним словом...



Ранг: 133.4 (ветеран), 57thx
Активность: 0.110
Статус: Участник

Создано: 12 августа 2009 19:06
· Личное сообщение · #27

wasmkv пишет:
Софтина точно .net, но рефлектор не подхватывает ее - нет CLI заголовка


Сверху может быть загрузчик на C++. Обрати внимание на секцию .xcpad, возможно оттуда работает NET после того как секция заполнится.



Ранг: 34.1 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 12 августа 2009 21:18 · Поправил: Shad0vv
· Личное сообщение · #28

там xenocod'ом покрыто
rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.



Ранг: 24.2 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 12 августа 2009 23:23
· Личное сообщение · #29

Shad0vv пишет:
там xenocod'ом покрыто
rapidshare.com/files/266672888/_00E40000.rar.html - вроде распаковалось, только какое-то барахло осталось для "шифрования" строк, впрочем оно не мешает.


Уже и сам заметил, что там xenocod'ом покрыто, точнее каспер подсказал. Чем распаковывали интересно? Пишет что зарегана, но нормальный .ехе не создает и требует ключик при выходе.
uncleua, Shad0vv спасибо за оперативность.



Ранг: 81.5 (постоянный), 5thx
Активность: 0.080
Статус: Участник

Создано: 13 августа 2009 00:05
· Личное сообщение · #30

Да, точно Xenocode. Я что-то ступил. Версия 7.0.162.



Ранг: 81.0 (постоянный), 88thx
Активность: 0.070.02
Статус: Участник

Создано: 13 августа 2009 12:12 · Поправил: uncleua
· Личное сообщение · #31

wasmkv пишет:
Чем распаковывали интересно?


Напишу здесь - может еще кому будет интересно...
Я пошел, как оказалось, не самым сложным путем... Запустил после установки прогу и обратил внимание
на то, что в процессах два экземпляра АЛГОРИТМ 2.exe - один поменьше и другой побольше...
Сдампил\распаковал тот который побольше с помощью NETUnpack - получилось то что получилось - прога запускается, в рефлектор грузится,
видно что там что-то делал или еще делает Xenocode.

Регистрацию обошел в функции peremens2.PerfomanceProgress - она вызывается при обработке
события нажатия на кнопку регистрации Demo.Button1_Click и при правильном серийном номере
должна возвращать True... Но вся фишка, видимо, заключается в ключе реестра который создается
в строчке Registry.CurrentUser.CreateSubKey()
Code:
  1. private void Button1_Click(object sender, EventArgs e)
  2. {
  3.     if (peremens2.PerfomanceProgress(this.TextBox1.get_Text()))
  4.     {
  5.         Registry.CurrentUser.CreateSubKey(string.Intern(&#1234;._&#1235;("ninbgkeckjlcfkcd fkjdmiaekjhekioeohffmgmffidgmhkgiibhciihdiphmhgiahnilhejagljpeckngjkpg alnfhlfgoldffmdfmm", 0x5bcb1d3a))).SetValue(string.Intern(&#1234;._&#1235;("agdochkoghbplhipffpphggaign anfebfelb", 0x932e30d)), this.TextBox1.get_Text());
  6.         Interaction.MsgBox(peremens.trans("Продукт успешно зарегистрирован, спасибо!", false, false, false), MsgBoxStyle.Information, null);
  7.         this.Hide();
  8.         MyProject.Forms.MainForm.RegistrMenu.set_Visible(false);
  9.     }
  10.     else
  11.     {
  12.         Interaction.MsgBox(peremens.trans("Ключ неверен", false, false, false), MsgBoxStyle.OkOnly, null);
  13.     }
  14. }


Пишет что зарегана, но нормальный .ехе не создает

С другой стороны непонятно как этот кусок кода, который обрабатывает создание .ехе файла, может
создавать нормальный исполняемый файл, если он только то и делает, что копирует файл
"c:\Program Files\Алгоритм\Data\Objects\Demo.exe" в то место где мы хочем создать наш .ехе и
просто дает ему другое имя...
Code:
  1. private void BuildProgramMenu_Click(object sender, EventArgs e)
  2. {
  3.     this.SaveFileDialog2.set_InitialDirectory(peremens2.proj.pPath);
  4.     this.SaveFileDialog2.set_FileName(peremens2.proj.pFileName.Split((char [])  new char[] { '.' })[0]);
  5. Label_003E:
  6.     if (this.SaveFileDialog2.ShowDialog() != DialogResult.OK)
  7.     {
  8.         return;
  9.     }
  10.     try
  11.     {
  12.         File.AppendAllText(this.SaveFileDialog2.get_FileName(), "");
  13.     }
  14.     catch (Exception exception1)
  15.     {
  16.         ProjectData.SetProjectError(exception1);
  17.         Errors.FileNoAccess(exception1.get_Message());
  18.         ProjectData.ClearProjectError();
  19.         goto Label_003E;
  20.     }
  21.     string directoryName = Path.GetDirectoryName(this.SaveFileDialog2.get_FileName());
  22.     if (this.Sborka(directoryName, false))
  23.     {
  24.         peremens.ProgressFormShow(peremens.transInfc("Компиляция") + "...", 0);
  25.         File.Copy(peremens.ObjectsPath + @"\Demo.exe", this.SaveFileDialog2.get_FileName(), true);
  26.         peremens2.ProgressForm.Hide();
  27.         if (Interaction.MsgBox(string.Concat((string[]) new string[] { peremens.transInfc("Поздравляем! Проект успешно скомпилирован в готовую программу и расположен по адресу"), ": \r\n", this.SaveFileDialog2.get_FileName(), "\r\n\r\n", peremens.transInfc("Открыть папку с программой?") }), MsgBoxStyle.Information | MsgBoxStyle.YesNo, null) == MsgBoxResult.Yes)
  28.         {
  29.             Process.Start(directoryName + @"");
  30.         }
  31.     }
  32. }



<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >>
 eXeL@B —› Протекторы —› "Чем упаковано"
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати