| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› "Чем упаковано" |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 23 февраля 2008 22:26 · Поправил: Модератор · Личное сообщение · #1 Уважаемые участники, просим вас спрашивать, чем упакована/защищена та или иная программа только здесь. Разумеется, прежде чем размещать вопрос, убедитесь, что в этой теме (или на нашем форуме вообще) нет ответа, используйте анализаторы (минимум PEiD и DiE (Detect it Easy)) и поиск (, ...). Что здесь допускается? Вопросы по форме: 1. Точное название программы с указанием версии 2. Ссылка на защищённый исполняемый файл в архиве (только сам защищённый модуль без программы!). Прикреплять файлы к теме запрещается! Лучше всего ссылка на файл, помещённый в одном из удобных файл-обменников (rapidshare.com к примеру). 3. Размер архива 4. Информация из PEiD ( ) 5. Информация из DiE ( ) 6. Информация из DiE v2 ( ) 7. Имена секций модуля 8. Энтропия Ответы по форме: 1. Протектор/пакер 2. Как смогли определить (например: уже возился с этой программой; на глаз в отладчике/дизасме увидел знакомый прот; личные сигнатуры или анализатор) если возможно, чуть подробнее. 3. Статьи, к которым можно обратиться за помощью при дальнейшем исследовании (не обязательно). Что здесь категорически не допускается? - Ссылки на крякми и другие поделки авторов поста. - Готовые решения (распакованные файлы, пароли, патчи, кейгены...). - Благодарности. - Повторы вопросов или ответов. - Обсуждения любого рода!!! Все замечания, правки, обсуждения и вопросы по конкретным постам через личные сообщения. Если вы считаете, что обсуждение будет интересно общественности, – не стесняйтесь, заводите новый топик. Пожелания по топику - через личные сообщения модераторам. Будут удаляться все посты, отступающие от форм. За первый "неправильный пост" - бан на 1 день, на след. - на 3 и т.д. вплоть до бана по IP. С уважением, модераторы форума CRACKL@B ----- Всем не угодишь  |
|
|
Создано: 13 августа 2009 15:07 · Личное сообщение · #2 Никакой там фишки нету. Распаковывается любым вьюером памяти, т.к.полностью валидный образ висит именно там. Вся суть процедуры регистрации находится в трёх функциях. ElapsedTime - проверка даты окончания ключа. LoadProgress- генерация ID'а компа по данным из HKLM: Hardware\Description\System\SystemBiosDate Hardware\Description\System\SystemBiosVersion - а вот тут ксенокод поставил вилы из вермишели goto переходов. В принципе если отрефакторить, то можно разобрать, что именно он делает и обернуть часть алгоритма. |
|
|
Создано: 13 августа 2009 17:37 · Личное сообщение · #3 Вы шапку читали? Запрещены обсуждения любого рода. А вы что развели? Раз топик мало юзается, попервой ладно ещё, но вообще заканчивайте. |
|
|
Создано: 16 августа 2009 19:40 · Поправил: SReg · Личное сообщение · #4 1. GSA AutoSoft Submit (6.35) 2. или 3. 3,8мб 4. PEID---hardcore scan---LHA Archive * 5. DIE---(Borland Delphi 6-7) 6. .text .rsrc .idata .data |
|
|
Создано: 16 августа 2009 20:52 · Личное сообщение · #5 SReg пишет: GSA AutoSoft Submit (6.35) PEiD Themida/WinLicense V2.0.1.0 + [Hide from PE scanners Type2] -> Oreans Technologies * Sign.By.fly * 20080721 * ProtectionID Themida v2.0.1.0 - v2.0.6.5 (or newer) detected ! |
|
|
Создано: 25 сентября 2009 00:43 · Поправил: sendersu · Личное сообщение · #6 1. ADInstall 1.0 2. multi-up.com/145949 3. Размер 4.5 Мб 4. PEiD 0.95 Normal: Nothing found * Hardcore: FSG v1.10 (Eng) -> dulek/xt -> (Microsoft Visual C# / Basic .NET) * 5. DiE 0.64 Borland Delphi [ver: x] | Object Pascal Nothing found 6. Имена секций .text, .itext, .data, .bss, .idata, .tls, .rdata, .rsrc, .UPX0, .UPX1, .reloc 7. Entropy: 7.88 (Packed) Upd: перезалил сюда - multi-up.com/147151 (уменьшено размер до 1.8 МБ) |
|
|
Создано: 25 сентября 2009 01:10 · Личное сообщение · #7 sendersu пишет: ADInstall 1.0 Зто Sentinel Keys ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 25 сентября 2009 08:15 · Личное сообщение · #8 ClockMan согласен извините за нарушение пункта о дискусии, но я подразумевал .exe только (там не сент. конверт) |
|
|
Создано: 26 сентября 2009 14:57 · Личное сообщение · #9 1. Чья-то программа mf100ks.exe 2. rapidshare.com/files/285205964/prg.zip.html 3. 1.2 Мб 4. PEiD 0.95 Nothing found * 5. DiE 0.64 Borland Delphi | Object Pascal Nothing found 6. Имена секций (взято из DiE): .oouccu, .wrbphw, .idata, .rsrc 7. Entropy of file (DiE): 99.019 (packed) |
|
|
Создано: 26 сентября 2009 16:08 · Личное сообщение · #10 zeffer Будь добр, зазеркаль куда-нибудь. Депозит, ifolder. |
|
|
Создано: 26 сентября 2009 16:39 · Личное сообщение · #11 zeffer пишет: . Чья-то программа mf100ks.exe 2. rapidshare.com/files/285205964/prg.zip.html3. 1.2 Мб4. PEiD 0.95Nothing found *5. DiE 0.64Borland Delphi | Object PascalNothing found6. Имена секций (взято из DiE): .oouccu, .wrbphw, .idata, .rsrc7. Entropy of file (DiE): 99.019 (packed) Похоже на пеп и там борландС |
|
|
Создано: 26 сентября 2009 19:45 · Личное сообщение · #12 progopis пишет: zefferБудь добр, зазеркаль куда-нибудь. Депозит, ifolder. с удовольствием - link_deleted_by_forum_engine/files/4rfbh86n2 ifolder.ru/14193766 |
|
|
Создано: 30 сентября 2009 23:48 · Поправил: Модератор · Личное сообщение · #13 zeffer пишет: 1. Чья-то программа mf100ks.exe Private exe Protector. Хотя ответ уже дал pavka |
|
|
Создано: 25 ноября 2009 20:16 · Поправил: waza123 · Личное сообщение · #14 1. atsurround v1.00 (only dll file: foo_dsp_atsurround.dll ) 2. 3. 889kb 4. Unknown 5. Unknown 6. wtf? 7. wtf? |
|
|
Создано: 25 ноября 2009 20:31 · Личное сообщение · #15 waza123 По ходу ни чем 
|
|
|
Создано: 11 декабря 2009 14:50 · Личное сообщение · #16 1 Самодел форма, кнопка 2 rapidshare.com/files/319358595/Subzh.rar.html 3 10Кб 4 Nothing found * 5 Nothing found 6 .code.text.rdata.data.rsrc |
|
|
Создано: 11 декабря 2009 15:08 · Личное сообщение · #17 ничем не запаковано, это троян ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 11 декабря 2009 16:42 · Поправил: VOLKOFF · Личное сообщение · #18 BoRoV пишет: ничем не запаковано, это троян Это 100% не троян, паковки походу и правда нет, но код как-то запутан (из самой проги скорее) Не могу удалить этот пост... |
|
|
Создано: 11 декабря 2009 18:05 · Личное сообщение · #19 VOLKOFF пишет: Это 100% не троян И что же это, если не троян? www.virustotal.com/ru/analisis/96ab491c8fc454f8aa8304b30aef7eb38b32b23c15485781827a0b474445fd05-1260543861 |
|
|
Создано: 11 декабря 2009 18:26 · Личное сообщение · #20 VOLKOFF пишет: паковки походу и правда нет, но код как-то запутан (из самой проги скорее) Ну на самом деле по таким признакам можно характиризовать наверное большинство троянов. 
|
|
|
Создано: 11 декабря 2009 18:39 · Поправил: VOLKOFF · Личное сообщение · #21 Раз уж пошло немного не по правилам топика, я все же отвечу. Это есть то, чем кажется - простое окно с простой кнопкой и еще одно окно с кнопкой. Болше ничего. Предыстория: Volkoff писал(а): Конечно и это не представляет никакой сложности для ручной распаковки Оппонент пишет: Ага, ну да! Тогда попробуй получи оригинальный файл проги из вложения. Вредоносного кода 101% нет. Написана на пурике. |
|
|
Создано: 29 декабря 2009 08:15 · Личное сообщение · #22 1. l2serverx64-dll.dll (что-то из серверного софта для Lineage) 2. rghost.ru/768022 3. 1.7 МБ 4. Not a valid PE file 5. Not a valid PE file 6. .koyvjm .qyjsr .cubqm .zdjqn .kzfa .jvhtq .bnwf .zfpxjw .ulfc .wsbtl .ntxlzg .dkehb 7. Not a valid PE file ProtectionID говорит [!] Armadillo *Unknown Version* detected ! |
|
|
Создано: 29 декабря 2009 12:40 · Поправил: Vovan666 · Личное сообщение · #23 Jim DiGriz пишет: ProtectionID говорит [!] Armadillo *Unknown Version* detected ! Так и есть армадила 6.x-7.x. |
|
|
Создано: 29 декабря 2009 15:01 · Личное сообщение · #24 Jim DiGriz 64 битная армадила. |
|
|
Создано: 29 декабря 2009 22:19 · Личное сообщение · #25 1. WordPress Blog Installer 21.01 2. slil.ru/28422606 3. 6,30 МБ 4. Nothing found [Overlay] * 5. Nothing found | Microsoft Visual C++ 6. .text .rdata .data .rsrc 7. Bytes: 6609219 ; Entropy: 78,286 |
|
|
Создано: 29 декабря 2009 22:43 · Личное сообщение · #26 MO0 пишет: 1. WordPress Blog Installer 21.01 ничем |
|
|
Создано: 30 декабря 2009 14:21 · Личное сообщение · #27 1.ex4_to_mq4_decompiler 2. 3.5397kb 4.UPolyX v0.5 * 5.Borland C++/C++. Nothing found 6..text.data.tls.rdata.idata.edata.muma1.muma0.muma2.muma3.rsrc 7. Энтропия - 98,095 В Ольку не загружается, сразу убивает ее, даже крипторовскую сборку. Других инструментов сейчас нет. Хотелось бы получить распакованный рабочий экзешник. |
|
|
Создано: 30 декабря 2009 14:38 · Личное сообщение · #28 stahh пишет: 1.ex4_to_mq4_decompiler похоже что-то из семейства фимидовских (хотя могу и ошибаться). чтоб запускалась нужно обновить DBGHELP.DLL (в папке олькой) на последнюю версию. |
|
|
Создано: 30 декабря 2009 15:05 · Личное сообщение · #29 stahh пишет: ex4_to_mq4 на неё всегда vm прот вешали ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 30 декабря 2009 19:37 · Личное сообщение · #30 И сейчас вмпрот, судя по секциям. Я где-то выкладывал анпаканый в какой-то теме. |
|
|
Создано: 25 января 2010 20:28 · Личное сообщение · #31 1. ASI Pro - 1.60 программа (многооконка l2.ru), позволяющая запустить N+ окон с опциями. 2. www.multiupload.com/L3CMZBTOPL 3. 3.13 MB 4. UPolyX v0.5 * 5. Borland Delphi | Object Pascal; Nothing found 6. CODE; DATA; BSS; .idata; .tls; .rdata; .vmp0; .rsrc; .vmp1; .vmp2; .reloc 7. 7.88 (Packed) P.S. Все анализаторы молчат, как партизаны. Это VMProtect, но хотелось бы узнать поточнее, какой версии? |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 36 . 37 . >> |
|
eXeL@B —› Протекторы —› "Чем упаковано" |
Для печати