Жертва: http://www.defacto-com.ru/download.php?f=defacto_demo.zip
UPX 3.3 и UPX 3.91 пишет что файл не упакован UPX
QuickUnpacker выдает ошибку "файл не создан"
Ещё там утилита какая-то была,она вообще в BSOD комп отправила.
Это UPX или кто-то под него замаскировался так?

| Сообщение посчитали полезным:

кто сказал что там UPX ? каким детектором проверяли?
под UPX обычно VMP маскируется

| Сообщение посчитали полезным:

RLPack там

| Сообщение посчитали полезным:

Vovan666
И чем его снимать? RL!dePacker Версия: 1.5 что-то не воркует,хотя может я на те кнопочки нажимал

| Сообщение посчитали полезным:

Полагаю, про ручную распаковку речь не идёт, только кнопочки понажимать в чём-то готовом? Может проще в запросы на взлом тогда?

| Сообщение посчитали полезным:

Рабочих анпакеров вроде нету, скрипты тоже не находят Stolen OEP, так что наверно только читать мануалы и пробовать вручную.

| Сообщение посчитали полезным:

Asghan
эту демку хоть можно активировать ключом ?
если можно - то там привязка к серийнику флэшки по алго AES, плюс обновление базы только через сервак

OEP - 71E84C


| Сообщение посчитали полезным:

А кроме поиска OEP там ещё будут проблемы? Ну я имею ввиду что если я ухитрюсь каким-то образом найти Stolen OEP, сделать дамп и восстановить импорт - файл будет работать?

tihiy_grom
Да я думал патч можно сделать.Ну хотя бы ограничение на имена файлов A-L наверняка можно убрать в этой демо-версии. Про остальные функции не знаю. Сложно понять,это кастрированное демо или полноценная шаровара с наличием всех функций,только залоченных

| Сообщение посчитали полезным:

Asghan пишет:
если я ухитрюсь каким-то образом найти Stolen OEP, сделать дамп и восстановить импорт - файл будет работать?
ну с моим OEP и импортом - работает с остальными - не знаю как будет

| Сообщение посчитали полезным:

Там еще будет сообщение о том что Исполняемый код программы модифицирован. Это могло произойти в случае заражения вирусом или намеренных действий.Измененный код может содержать ошибки или работать нестабильно, поэтому выполнение программы прекращено.

| Сообщение посчитали полезным:

evggrig пишет:
Там еще будет сообщение о том Исполняемый код программы модифицирован.
это что надо тыкнуть, чтобы такое сообщение появилось ?

evggrig пишет:
Оно у меня сразу после анпака всплывало пока я его не запатчил)
хз. у меня нормально и без ошибок анпакнулось, так что патчить ничего не пришлось

evggrig пишет:
Да чето коряво я распаковал. Прога запускается нормально но при попытке запустить сканирование ничего не происходит
и опять хз у меня нормально сканирует

| Сообщение посчитали полезным:

tihiy_grom
Оно у меня сразу после анпака всплывало пока я его не запатчил) Но чето мне кажется что прога - чистая демка и регить ее нельзя поэтому не вижу смысла распаковывать.

Да чето коряво я распаковал. Прога запускается нормально но при попытке запустить сканирование ничего не происходит

| Сообщение посчитали полезным:

RLPack совсем заброшен даже где-то исходники валялись, есть статьи по разбору вм и регистрации, но это приват. В паблике скрипт от LCF-AT и анпакер от Kissy кажется, оба справляются, иногда конечно чуть подкорректировать нужно в основном oep.

| Сообщение посчитали полезным:

NikolayD пишет:
есть статьи по разбору вм и регистрации, но это приват
Дык а чего же их прятать,если протектор умер давно? С собой на тот свет что-ли все секреты заберете...
Странная какая-то позиция. Мануалов по разбору ВМ в сети на паблике вообще днем с огнем не сыщешь

| Сообщение посчитали полезным:

Asghan пишет:
Дык а чего же их прятать,если протектор умер давно? С собой на тот свет что-ли все секреты заберете...
Странная какая-то позиция. Мануалов по разбору ВМ в сети на паблике вообще днем с огнем не сыщешь
то есть человек разбирает вм, тратит своё время, потом выкладывает на паблик, все радуются, юзают это (халява ведь), потом протектор обновляется (речь не про RLPack сейчас), паблик-решения в новых версиях уже не работают, тот же человек снова садится, разбирает вм, тратит своё время, потом выкладывает на паблик ...

странная какая-то позиция

| Сообщение посчитали полезным:

tihiy_grom
Ну как-бы человек занимается этим в свое удовольствие, повышает мастерство углубляет навыки ... Давать или не давать на паблик дело конечно сугубо личное, но не дали бы из таких соображений на паблик к примеру Декомаз или Армагедон было бы намного печальнее ... Да и LCF-AT свои скрипты могла придержать и мрЭксодия АрмадиллоКейТулз на паблик мог не выкинуть а чувак даже сорки дал ...

| Сообщение посчитали полезным:

evggrig
вы же тоже восстановили OEP и распаковали прогу. Выложите для ТС все исходники по разбору StolenCode, или сделайте мувик по полному разбору RLPack

| Сообщение посчитали полезным:

NikolayD пишет:
анпакер от Kissy кажется

задарите, плиз.

| Сообщение посчитали полезным:

Gideon Vi
http://rghost.net/52509006

| Сообщение посчитали полезным: Gideon Vi, v00doo

evggrig пишет:
...прога - чистая демка и регить ее нельзя поэтому не вижу смысла распаковывать.
Да чето коряво я распаковал. Прога запускается нормально но при попытке запустить сканирование ничего не происходит

)) Рспаковано, видимо, нормально.
Просто там помимо запатченной вами проверки целостности
ещё три подобных проверки (может, больше).
А вообще - да, демо. Не-демо из неё не выйдет.

...как-бы человек занимается этим в свое удовольствие
-- Мсье знает толк...



| Сообщение посчитали полезным:

dosprog, evggrig
покажите что вы там патчите, и когда эти проверки всплывают.

| Сообщение посчитали полезным:

tihiy_grom,
да я не собирался с этой прогой возиться, так, бросил взгляд... Отвлёкся.
--> Вот <--. Скажете, как утянете, - я прибью её.
Там ещё какая-то подлянка сидит с проверкой целостности (не срабатывает скан раз в несколько запусков),
ну и список обнаруженной крамолы выдаётся неполный, хотя один фрагмент там на эту тему исправлен.
(Без патчей, описанных в файле 0.crk, - нормально работает в распакованном виде).



| Сообщение посчитали полезным:

dosprog
а, имеется ввиду что проверки не после распаковки всплывают, а после патча анпака ?

| Сообщение посчитали полезным:

tihiy_grom,
...а, имеется ввиду что проверки не после распаковки всплывают, а после патча анпака ?
-- Именно так. То-есть, это уже оффтоп.



| Сообщение посчитали полезным:

dosprog пишет:
А вообще - да, демо. Не-демо из неё не выйдет.
Что значит демо,как вы себе это представляете? Есть там процедура типа SearchFiles ,где должна быть проверка на IsDemo или IsTrial, и тогда ограничение на имена файлов A-L. Уж хотя бы это как минимум можно запатчить, нужно только букву L заменить на Z (это уж совсем грубо говоря)

| Сообщение посчитали полезным:

Asghan пишет:
Что значит демо,как вы себе это представляете? Есть там процедура типа SearchFiles ,где должна быть проверка на IsDemo или IsTrial, и тогда ограничение на имена файлов A-L. Уж хотя бы это как минимум можно запатчить, нужно только букву L заменить на Z (это уж совсем грубо говоря)
Ну так запатчь все ограничения, наложенные на демоверсию и пруфни, что там реально ЕСТЬ весь функционал проги, а так это пустые слова.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: