The Enigma Protector 2.xx Unpacking + Devirtualizer by DizzY_D Fully defeating Enigma
http://www.file-upload.net/download-3640029/The-Enigma-Protector-2.xx-32bit-Unpacking---Devirtualizer-by-DizzY_D.rar.html

| Сообщение посчитали полезным: Gideon Vi, ClockMan, linhanshi, SReg, Dart Raiden, _ruzmaz_, BAHEK, AKAB, antipod, obfuskator, 4kusNick, hlmadip, plutos, ff0h, yagello, stas_02, pertican, arnix, Abraham

Thank for sharing

Edited by moderator: There is a "Good message" button, use it instead of posting Thank you messages

| Сообщение посчитали полезным:

Попробовал по тутору распаковать програмку до оеп дошел. Импорт тоже получил чистый. Но в ехе есть часть кода который идет в секцию энигмы. Причем это не вм. Чистый код, но в другой секции. Вот в этом коде дамп падает.
http://sderni.ru/78555



Кто видел такие вставки? Что это за фигня? Я б сказал, что это плагин для энигмы от Cerberus, но не уверен в этом...(хотя их защита точно есть и должна быть на функах чтения зашифрованных файлов и отправки пакетов в сеть)

| Сообщение посчитали полезным:

pavka, откуда дровишки? Хотелось бы со статьей ознакомиться, когда выйдет.

| Сообщение посчитали полезным:

http://forum.tuts4you.com/showtopic=26896

| Сообщение посчитали полезным: Gideon Vi

Nightshade, дампим этот регион, куда идет вызов, прикручиваем новой секцией, меням все вызовы E8, что-то похожее было с армой (codesplicing)

| Сообщение посчитали полезным:

Нет. Эти куски и так в ехе. Смотри дамп

| Сообщение посчитали полезным:

0059D237> походу не восстановленая айпи.
0052E0A6>похож на код антидампа.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Nightshade пишет:
Я б сказал, что это плагин для энигмы от Cerberus, но не уверен в этом
0047C382: CERBERUS Error
0047C394: CERBERUS Init Ok

энигма похоже старенькая, полный комплект программы большой?

| Сообщение посчитали полезным:

полный комплект около 4 гб. Ну или кусок файлов
http://files.mail.ru/ZNQ14R

| Сообщение посчитали полезным:

Nightshade пишет:
полный комплект около 4 гб. Ну или кусок файлов
4 это хорошо ))) А в этих кусках файла накрытого энигмой я так и не нашёл.


У кого есть различные версии энигмы, поделитесь пожалуйста, можно в личку.

| Сообщение посчитали полезным:

rfonline.bin накрыт энигмой

| Сообщение посчитали полезным:

Nightshade а чем ты вм восстановил?

| Сообщение посчитали полезным:

Тем же, что описанно в туторе

| Сообщение посчитали полезным:

Можешь подробней рассказать я что-то на танке не въеду. Там кстати не все прыжки восстановлены.
Выложили фикс:

6dd1_19.08.2011_EXELAB.rU.tgz - Enigma Devirtualizer v1.1 by DizzY_D (15.08.2011).rar

| Сообщение посчитали полезным:

Какие прыжки не восстановленны?
Я так то понял в чем косяк.
Плаггин для энигмы использует иат энигмы. В распакованном файле иат естественно в другом месте и получается я падаю при попытке вызвать апи из девиртуализованного кода.

Ну и здесь косяк

Надо было бы пройтись UIF и было бы все ок. Я просто не знал что виртуализированный код будет использовать другую IAT

| Сообщение посчитали полезным:

Чот я не пойму как ээтот плаг к ольке подключить?

| Сообщение посчитали полезным:

matrix пишет:
Чот я не пойму как ээтот плаг к ольке подключить?
Это не плагин, это независимая длл. Посмотри мувик(если смотрел, то смотри внимательнее) как это использовать.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Nightshade извиняюсь у меня видео почему-то воспроизводится только до места где он доходит до OEP


Nightshade пишет:
Какие прыжки не восстановленны
вот этот я просто не знаю как это правильно по науке называется )))

Nightshade пишет:
# 02DDECB9 68 E32F0000 PUSH 2FE3 > nop
# 02DDECBE ^ E9 D152FFFF JMP 02DD3F94

| Сообщение посчитали полезным:

How to use "Enigma Devirtualizer v1.1 by DizzY_D"? Can somebody give me a hint?

| Сообщение посчитали полезным:

выложили сурс , компиляция в 2010 студии , фиксить ентот http://forum.tuts4you.com/topic/26896-the-enigma-protector-2xx-unpacking-devirtualizer-by-dizzy-d/page__st__20#entry135147 и ещё два.

2d2b_18.04.2012_EXELAB.rU.tgz - Enigma DeVirtualizer.rar

| Сообщение посчитали полезным:

Raham решил продолжить дело DizzY_D и уже выложил версию 1.2.

DizzY_D don't work on this project, so i decided to continue his project.
also i made Version 1.2 of DeVirtualizer plugin with bug fix & new engima Support.

Enigma Devirtualizer 1.2 Change log:

Support Recent Version of Enigma (tested on 2.05,2.7,3.6 & 3.7)
Bug Fix on JMP to bad Entry (was reported by LCF-AT)

your feedback & bug report are welcome;)

Kind Regards
Raham/SnD

6401_21.05.2012_EXELAB.rU.tgz - Enigma Devirtualizer 1.2.rar

| Сообщение посчитали полезным:

-Sanchez-
требует библиотеку TitanEngine.dll Или может я делаю что то не так???
положил к плагинам для ольки

| Сообщение посчитали полезным:

schokk_m4ks1k
Ну так скачай http://www.reversinglabs.com/products/TitanEngine.php

| Сообщение посчитали полезным:

Vovan666
-Sanchez-
ошибка вроде исчезла но плагин не опознано! для какой ольки этот плаг вообще и как установить его??? растолкуйте плиз

NikolayD
-Sanchez-
я уже все понял!!! спасибо за разьяснения!!!

| Сообщение посчитали полезным:

schokk_m4ks1k, ты бы видео что ли посмотрел. Я поначалу тоже не въехал, у меня плеер не показывал полностью видео DDD

| Сообщение посчитали полезным:

BoRoV пишет:
Это не плагин, это независимая длл. Посмотри мувик (если смотрел, то смотри внимательнее) как это использовать.

| Сообщение посчитали полезным:

schokk_m4ks1k
это не плагин, и библиотека должна лежать рядом с прогой, так же как и TitanEngine
з.ы. инжектить можно стронгом например

tihiy_grom пишет:
Эх, было не была, тоже напишу
я просто кнопал на тот час;)

| Сообщение посчитали полезным:

Эх, было не была, тоже напишу

schokk_m4ks1k
Это не плагин, а библиотека. Посмотри мувик.

| Сообщение посчитали полезным:

Updated to Version 1.3

тутор --> Link <--
53a4_21.05.2012_EXELAB.rU.tgz - Enigma DeVirtualizer 1.3.rar

| Сообщение посчитали полезным: NikolayD, mak, obfuskator, stas_02, schokk_m4ks1k