Недавно я столкнулся с одной программой, которая накрыта последней версией энигмы - 4.0. Альтернативный скрипт от LCF-AT на нем не работает, поскольку разработчик учел, видимо, работы по распаковке этого протектора, и часть важного кода (для восстановления IAT, подмены HWiD и т.д.) перенес в специально выделенную область памяти, которую там и выполняет. Кто-либо уже занимался распаковкой этой версии?

| Сообщение посчитали полезным:

Судя по отсутствию ответов на этот пост, придется самому вплотную заняться распаковкой этого протектора.

| Сообщение посчитали полезным:

не думаю что там принципиально чтото поменяно...

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
не думаю что там принципиально чтото поменяно...
ошибаешься, там изменено все что можно.

| Сообщение посчитали полезным:

Vovan666 о как.. ну тогда вопрос в стоящей жертве и в наличии времени

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Так же столкнулся с таким же вопросом, есть ли решение?

| Сообщение посчитали полезным:

Разобрался немного с ручной распаковкой Enigma v4.
1. Разработчик включил в свои последние версии два метода защиты импорта:
a) полностью эмулированные функции из библиотеки kernel32.dll. Эти функции полностью выполняются в секции Энигмы, и понять, какие это функции - весьма сложно. Только хорошо зная структуру PE-файла, и на каком языке написана программа, можно определить, какие функции эмулированы.
b) переадресованные функции. Машина переадресации функций практически та же, и имеет волшебный прыжок, заменив который инструкцией JMP, можно полностью восстановить фактический адрес переадресованных функция на конкретной машине.
2. Разработчик применил два метода обфускации кода программы:
a) первый метод сравнительно простой - код просто разбавлен условными и безусловными прыжками, но может очень легко восстановлен вручную, при необходимости.
b) второй метод обфускации очень сложен, вынесен за пределы файла, и расположен за границей области памяти, где размещены стандартные библиотеки Windows. Этот код настолько замусорен, что для примера могу привести такие данные - чтобы восстановить две простые инструкции MOV EAX,DWORD [CONST] и MOV EAX,DWORD [EAX], я выполнил трассирование этого кода с заданным параметром значения регистра EAX, и было выполнено 239000 разных мусорных инструкций.
3. Вынесение части кода за границы области памяти размещения стандартных библиотек Windows, является мощным средством от дампирования памяти программы. Тем более, что эта часть кода размещена в нескольких блоках памяти с разными размерами этих блоков.

Таким образом, разработчик очень сильно усилил свой инструмент, который может стать очень сильным методом защиты программ.

| Сообщение посчитали полезным: Hellspawn, deniskore, kampaster, CyberGod, plutos, 4kusNick, ff0h

vnekrilov Проверьте пожалуйста ЛС, я не знаю, получаете ли вы сообщения...

| Сообщение посчитали полезным:

vnekrilov пишет:
3. Вынесение части кода за границы области памяти размещения стандартных библиотек
С этим научились давно бороться. Первый раз такое заметили в секуроме.
Как бороться:
Клеится к файлу новая большая секция. Все вызовы VirtualAlloc перенаправляются в нее.
Другой вариант - хук виртуалаллок и многократный вызов, пока область памяти не будет рядом с ехе.
Еще есть флаг в виртуалаллоке MEM_TOP_DOWN. В хуке надо его сбрасывать.
П С
Учитывайте, что на форуме есть пользователь Enigma. И он активно будет читать этот тред.

| Сообщение посчитали полезным: VodoleY, ajax, vnekrilov, ==DJ==[ZLO]

Nightshade пишет:
3. Вынесение части кода за границы области памяти размещения стандартных библиотек
С этим научились давно бороться. Первый раз такое заметили в секуроме.
Помниться, оно только в 7м и было, когда вм в выделенной памяти висела. После вм стал уже не торт, и ...
vnekrilov пишет:
разработчик очень сильно усилил свой инструмент,
и естественно оно стало ЕЩЕ МЕДЛЕННЕЙ работать! И слоган таков: "Enigma v4 - преврати своего жалкого сапера в настоящий Crysis".

Ну да ладно. Киньте кто нить, пожалуйста, линк на запротекченный сабж, хоть взгляну шо за фрукт.

| Сообщение посчитали полезным:

ELF_7719116
unpackme
4.10
https://forum.tuts4you.com/topic/35765-unpackme-enigma-410-maximum-protection-hwid/#entry164649
http://rghost.ru/56271222
4.0
https://forum.tuts4you.com/topic/34883-unpackme-enigma-400/
http://rghost.ru/56271241

| Сообщение посчитали полезным:

кстати не знаю насколько рационально было вылаживать анпакми...
но если кто не в курсе, то Enigma эмбидит в тело файла 2 мд5 хеша (юзернейм и лиц.кей) на кого зареган прот

| Сообщение посчитали полезным:

SReg пишет:
кстати не знаю насколько рационально было вылаживать анпакми...
но если кто не в курсе, то Enigma эмбидит в тело файла 2 мд5 хеша (юзернейм и лиц.кей) на кого зареган прот

Т.е. прот покупается чтоб самому себе файлы протектить? не думаю, что это что-то нарушает.

| Сообщение посчитали полезным:

мдя. великий протектор - у мну на Windows Server 2003 SP2 анпакми банально не запускается (4.10)
Nightshade пишет:
Учитывайте, что на форуме есть пользователь Enigma. И он активно будет читать этот тред.
пусть прочтет, я напишу, что он - пид.. гомосексуалист

| Сообщение посчитали полезным: Hellspawn, ARCHANGEL, sivorog

ELF_7719116 пишет:
мдя. великий протектор - у мну на Windows Server 2003 SP2 анпакми банально не запускается (4.10)

Я столкнулся с файлом (почему и открыл эту тему), который прекрасно запускается под Windows XP SP3. Мало того, для проверки эмулированных APIs, я защитил один файл Энигмой, версии 4.10, и программа так же нормально запускается. Видимо, что-то неправильно было защищено.

| Сообщение посчитали полезным:

Записал видео по распаковке UnpackME, защищенного Enigma Protector 4.10
https://www.youtube.com/watch?v=DKKsdEX4LCI

| Сообщение посчитали полезным: Jaa, Hellspawn, uncleua, 4kusNick, ELF_7719116, Mishar_Hacker, Gauri, MarcElBichon, BlackArting, PuL9, MasterSoft, Carpe DiEm, Qbik

SHADOW785 только у меня на видео переодически черный квадрат вместо картинки?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
У всех. Проблема в самом видео.

| Сообщение посчитали полезным:

SHADOW785 OEP откуда взят? Это константа, что ли?

| Сообщение посчитали полезным:

Gauri пишет:
OEP откуда взят?
Ахахахах.Зная версию компилятора и среду, в которой скомпилен эксе, найти OEP не трудно.Это так, на будущее.
Gauri пишет:
Это константа, что ли?
Ну....Как сказать.В конкретной проге OEP всегда один, чем бы она не была накрыта.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownprojectНу что для конкретной проги он один - это понятно. Меня удивило, что просто из блокнотика копируется без малейших пояснений, откуда взято. Как в анекдоте: "-Откуда деньги? -Из тумбочки."

Добавлено спустя 1 час
Пятница, называется. Думал, в блокнотике адрес OEP готовый был. Кажись, принцип дошёл, но проблема в том, что искомая последовательность у меня нигде не встречается(
2 раза VirtualAlloc ведёт в msjt3032Patch.dll, затем только в exe, но там вот это:

и байты, обозначенные как "OEP jump pointer" нигде не находятся.

| Сообщение посчитали полезным:

Отбой, подопытный оказался Enigma Virtual Box (пока насколько я понял, без протектора), накрытым фемидой.

| Сообщение посчитали полезным:

Gauri
анпакер Enigma Virtual Box

709a_04.08.2014_EXELAB.rU.tgz - EnigmaVBUnpacker_v0.11.zip

| Сообщение посчитали полезным: unknownproject, BlackArting, crc

В дополнение к этому посту - https://exelab.ru/f/action=vthread&forum=13&topic=22795#16

Написал небольшой скрипт, который восстанавливает все виртуализированные апишки в Enigma 4.xx (не эмулированные). Запускать на OEP.



16b8_12.11.2014_EXELAB.rU.tgz - Enigma_4.xx_VMAPI_Fixer.zip

| Сообщение посчитали полезным: ELF_7719116, Mishar_Hacker, Vamit, v00doo, Jaa, vnekrilov, FeliXW

Всем привет.
Кто сможет более доступно обяснить как сею распаковывать, наставте на путь истинный

| Сообщение посчитали полезным:

vova25305
чем тебе видео --> видео <-- не нравится? Выше твоего поста скрипт восстанавливающий виртуализированые апишки (не всегда работает кстати)

| Сообщение посчитали полезным:

Jaa пишет:
(не всегда работает кстати)
Забыл выложить сюда последнюю версию скрипта.



7ef8_04.01.2015_EXELAB.rU.tgz - Enigma_4.xx_VMAPI_Fixer_v0.4.1.zip

| Сообщение посчитали полезным: Jaa, 4kusNick

Чо видео косячное какое то?
8:39 - 12:26 вообще ничего не показывает, потом черные квадратики постоянно

| Сообщение посчитали полезным:

neoBlinXaker
С видео все нормально!
Бывает конечно черный экран, несколько раз за видео, но на 1-2 секунды не более (ищите проблему у себя в браузере)
Самое главное что суть понятна
вот скачанное видео --> Enigma Protector 4.10 Unpacking <--

| Сообщение посчитали полезным: neoBlinXaker

Подскажите пожалуйста, по видео (1 мин 05 секунд) дохожу до момента HARDWARE ON EXECUTING . Но програма не останавливается на брекпоинте а уходит на другой адрес.

И с плагинами STRONGOD,PHANTOM процес TERMINATED, без плагинов происходит вход в програму

| Сообщение посчитали полезным: