Всем привет !
Предисловие ( с водой , можно пропустить ). Месяц назад попался мне интересный файлик . При его запуске выскакивало окно с идентификатором винчестера, полями для ввода имени и пароля. Задача была сама по себе очень интересна. Начав с стандартных приемов уже было видно, что дело будет не простое . С определением чем запакован я провозился два дня пока не скачал Фаста. Только он мне указал на Энигму . Уже позже я увидел , что это стандартная энигмовська тема. О Энигме раньше я не слышал вообще и поэтому начал было применять стандартные приемы но ни hr esp-4 ни поиск по PUSHAD не дали никаких результатов ( наперекор заявлениям интернет авторов). Погуглив еще неделю и мучаючись с различными распаковщики я понял что дело совсем плохое! Короче говоря ОЕРа я не нашел, и дампа нормального не сделал.
Седые волосы были близко но нашел я чудо-ссылку: уроки по роспаковке Энигмы . Ссылка: --> Уроки <--
Переходим к сути вопроса.
Суть вопроса ( без воды) :
В пятом уроке до момента 2.28 все понятно , дальше с этого момента автор что-то нажимает и перескакивает на прежние позиции в программе. А теперь , уважаемые знатоки вопрос: Какие клавиши нажимал автор на видео , что в 2.29 он очутился на джампах?

П.С. Я так понимаю что с того момента надо просто трассировать но у меня выскакивает меседжбокс сообщению о внутренней ошибке.

| Сообщение посчитали полезным:

jossross
кнопки "+" и "-"

| Сообщение посчитали полезным: jossross

Большое спасибо, SReg!!!!!
На UnpackMe тестил, работает)))).
Ребята, кто-нибудь распаковывал реальные программы этим скриптом? А то что-то не очень идет. Начинаю уже грешить на Фаста, что он мне неправильную версию упаковщика выдал. Есть ли у кого Enigma Info скиньте пожалуйста, форум перелистал, ссылки уже не работают.

Все, нашел я Enigma Info он мне выдал:
[ Version ]
3.70
[ When protected ]
11.05.2012 at 04:53:29
[ Used protector with license ]
Personal License
[ WaterMark ]
Not found!
и теперь я понимаю что пришел пушистый беленький зверек.

| Сообщение посчитали полезным:

Хочется иметь генератор лоадеров который патчит программу в оперативной памяти после её распаковки, но до её запуска.
Есть "ABEL Loader Generator" но он патчит уже после запуска распакованной проги(

| Сообщение посчитали полезным:

Pastor пишет:
Хочется иметь генератор лоадеров который патчит программу в оперативной памяти после её распаковки, но до её запуска.
Есть "ABEL Loader Generator" но он патчит уже после запуска распакованной проги(
Да фиг с ним, распакуем и ручками но в любом варианте нужно знать куда двигаться. На весь мировой интернет только LCF-AT с http://tuts4you.com что-то выкладывает но это только подсказки которые иногда дают больше вопросов нежели ответов. Вот цитата с файла скрипта
CUSTOM_DLL_PATH_SETUP:

mov FIX_TOOL, ""
mov DV_DLL, "\Enigma.dll"
mov TITAN, "\TitanEngine.dll"
mov DISASM, "\disasm.dll"
mov TDISASM, "\tdisasm.dll"

With the script you get also 4 dll files which are used by the script itself so just enter the right path
of all 4 dlls before you use the script!On the "FIX_TOOL" variable you can enter your favorite imports
fixing tool like ImpRec or Scylla etc.Also here just enter the full path.

Понятно что править понятно на что править но непонятно ГДЕ править, скорее всего в самом этом скрипте при запущеной програме но это тоже только предположение. В любом случае это эдинственный (как ни странно) нормальний путеводитель.

| Сообщение посчитали полезным: Abraham

jossross
Оффтоп.

Не пойму, к чему вы ведёте. Если мысль в том, что все козлы - не выкладывают своих наработок и не рассказывают, что и как использовать, то, хотите, я с вами соглашусь? Как, уже легче?

непонятно ГДЕ править

Было так:
mov DV_DLL, "\Enigma.dll"

Стало так (для примера):

mov DV_DLL, "C:\FuckEnigma\Enigma.dll"

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

jossross пишет:
но непонятно ГДЕ править

mov DV_DLL, "C:\Kindergarden\Cracksuperstar\Tools\Enigma\Enigma.dll"
mov TITAN, "C:\Kindergarden\Cracksuperstar\Tools\Enigma\TitanEngine.dll"
mov DISASM, "C:\Kindergarden\Cracksuperstar\Tools\Enigma\disasm.dll"
mov TDISASM, "C:\Kindergarden\Cracksuperstar\Tools\Enigma\tdisasm.dll"

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Оффтоп.

Не пойму, к чему вы ведёте. Если мысль в том, что все козлы - не выкладывают своих наработок и не рассказывают, что и как использовать, то, хотите, я с вами соглашусь? Как, уже легче?
Оффтоп на оффтоп).
Ни к чему я не веду). Просто обрисовываю ситуацию, и как мне кажется не очень веселую. Про то что все козлы мысли даже не было. Да, не выкладывают наработок, это есть, но, я же сам знаю какой это труд и никаких претензий не имею так как никто из нас никому ничего не должен. Не о том была мысль. Но когда другой человек пытается пройти тот же путь разве трудно ему помочь, советом, напутствием, подсказкой? Ведь никто не просит готовых решений и халявы никто не ищет. Дорогой ARCHANGEL я полностью с вами согласен.
Теперь я попробую пойти дальше. Поскольку действительного тутора по Энигме в инете нету, я предлагаю его сделать. За основу может быть взят тутор ув. LCF-AT по ссылке --> Тут<--. Основную работу я готов взять на себя. Английского хватит. Желания тоже. Но в одиночку мне не справиться. Нужна будет помощь тех, кто работал с этими туторами и распаковывал реальные программы, то есть ваша помощь, уважаемые крэкеры.
Ближе к делу и по теме.
В связи с вышеописанным возникает ряд вопросов:
1. Возможно ли распаковать реальную программу этими туторами (ибо если нет, то все дальше просто бессмысленно)?
2. Готовы ли мне помочь крэкеры перевести и разложить по полочкам вышеописанный тутор?

Теперь прямо по распаковке. На диске С я создал папку en в которую кинул сам скрипт из тутора, все dll файлы от туда же и сюда еще разархивировал Scylla_x86 ну и конечно саму программу-жертву. Взял скрипт Enigma 1.x - 3.x VM Unpacker 1.0.txt исправил в нем строки вот так:
mov FIX_TOOL, "C:\en\Scylla_x86.exe"
mov DV_DLL, "C:\en\Enigma.dll"
mov TITAN, "C:\en\TitanEngine.dll"
mov DISASM, "C:\en\disasm.dll"
mov TDISASM, "C:\en\tdisasm.dll"

Вроде все правильно. Далее открыл Олли и в Plugins->ODbgScript->Run Script открыл наш файлик, скрипт запустился и остановился на 77 строке (немножко не так как на видео и мня это чуть-чуть настораживает). Но дальше вообще не понятно, какие клавиши нажимает автор? Трассирует? F7, F8, F9? Ничего не пойму. Видео №7 из тутора.

Хєрово чуствовать себя идиотом, но если єто помогает поумнеть то надо. Загружаем файл, потом скрипт, скрипт после загрузки сам запускается, далее жмем пробел раз і два. А уже дальше почти все понятно.
тутор действительно хорош. Однако на реальной программе засада. Когда выскакивает окно ввода данных есть только две кнопки Регистрация и отмена. В любом случае скрипт не ловит дампа, ни ОЕРа а просто вилетает на ретурне и все.

| Сообщение посчитали полезным:

Пиши где остановился скрипт. В контекстном меню окна скрипта есть resume. Или жми пробел. Трассировка S.

| Сообщение посчитали полезным:

И так друзья , последние сводки с фронта боевых действий . Со скриптом разобрался , на UnpackMe работает ( даже) . UnpackMe распаковал , все хорошо , теперь перехожу в реальной программе , как всегда и назло она не совсем такая как в туторе.
Отличия: В туторе, видео № 7, в самом файле есть три кнопки , регистрация , отмена и попробовать. Вся суть распаковки скриптом и основывается на использовании этой кнопки и пароля. У меня ее нету . Просто две кнопки отмена и регистрация. Все. Запускаю файл в отладчик, выскакивает это окошко и далее вводи что-то не вводи один фиг прога вываливаться на рет и конец .
Вчера уже думал что грохну ее. Сегодня уже на грани истерического психоза
Как действовать дальше , чтоб ее же распаковать ?

| Сообщение посчитали полезным:

jossross
Таргет выложи.

| Сообщение посчитали полезным:

jossross каких ответов ты ждешь, если ты банально не умеешь юзать ольку? а почитать введение в крекинг с нуля у тебя нету времени. и все уже давно написано бери и читай. https://ssl.exelab.ru/art/ какая инигма если ты не можешь в скрипте путь указать просто
вот пиши --> Link <-- он научит

| Сообщение посчитали полезным:

SReg пишет:
каких ответов ты ждешь, если ты банально не умеешь юзать ольку? а почитать введение в крекинг с нуля у тебя нету времени. и все уже давно написано бери и читай. https://ssl.exelab.ru/art/ какая инигма если ты не можешь в скрипте путь указать просто
Да нет же, введение в крэкинг я читал, еще не до конца, это да. Энигму простыми способами не возьмешь, я же говорил hr esp-4 не работает, поискать по POPAD тоже не выходит? Конкретно имею в виду распаковать именно скриптом LCF-AT именно так запакованную прогу как у меня. Вот и все. Повторюсь со скриптами я разобрался, и Анпакми тоже проюзал как на видео. Дело то в том что моя прога не подходит под формат проги из тутора.
Пути я указал

| Сообщение посчитали полезным:

jossross пишет:
Какие клавиши нажимал автор на видео , что в 2.29 он очутился на джампах?
Задавать такой вопрос и анпачить энигму ?! Это парадокс.

jossross пишет:
со скриптами я разобрался
Понял суть и алго работы скрипта ? Или узнал как поставить OllyScript и выбрать в нём файл скрипта.

jossross пишет:
что моя прога не подходит под формат проги из тутора


-----
ds

| Сообщение посчитали полезным:

Юзаю скрипт Enigma Alternativ Unpacker 1.1.
Все вроде нормально выходит, находит ОЕР, но после дампа и фикса дампа при открытии файла получаю
"Точка входа в процедуру RtInitializeCriticalSection не найдена в библиотеке DLL kernel32.dll."
Как это устранить?

| Сообщение посчитали полезным:

jossross пишет:
Как это устранить?
заменить на InitializeCriticalSection

| Сообщение посчитали полезным:

Где заменить? в каком файле?

| Сообщение посчитали полезным:

в иат заменить. почитай уже основы, чтоли.
линки я тебе давал выше

| Сообщение посчитали полезным:

Да да читаю, трудно все охватить не сразу сообразил.
Итак в ImpREC 1.7 меняю функции на InitializeCriticalSection из библиотеки kernel32.
Импорт валидным не становиться. В нем остается одна функция NtQuerySystemInformation, которая в принципе из библиотеки Ntdll.dll, и верхняя непонятная строчка
rva: 00220000 ptr: 00458E9B
--> ІАТ<--


| Сообщение посчитали полезным:

jossross пишет:
и верхняя непонятная строчка
ну удали ее значит по ПКМ -> cut thunk в имреке

| Сообщение посчитали полезным: jossross

Ну что за народ пошел, не желает быть студентом а желает быть доцентом.
jossross, вы даже "классическими" утилитами пользоваться не умеете, прочитайте уже документацию.

| Сообщение посчитали полезным:

И снова здравствуйте !
Эпопея распаковки Энигмы практически дошла до финала и конец уже близок .
Рассказываю как распаковал проклятую Энигму . Итак, берем Альтернативный скрипт о котором говорилось выше. Дальше нам предстоит все-таки разведать валидную тройку данных (винт , имя и пароль). Настраиваем скрипт так , как нам надо , запускаем и видим будто все нормально. Но не совсем. От OEPa, который найдет скрипт, нам предстоит отнять Image Base (400 000), а относительно таблицы импорта то практически стопроцентно правильно ее определяет сам скрипт , только надо проследить , чтобы в импорт реконструкторе не было лишних и непонятных функций. В результате получаем собственно программу ( наконец то!) .
Следует отметить , что есть еще скрипт и анпакер некоего Rahama который и версию 3.70 в принципе запускает и без паролей и тому подобного , единственное, что он не восстанавливает IAT .
Вот к этому я и пришел с помощью уважаемого SReg (за что ему ОГРОМНОЕ СПАСИБО!!! ), и при заверениях других, что ничего у меня не получится.
До окончательного хэппиэндa остается еще один вопросик :
Как неактивные элементы типа checkbox, tedit... сделать активными? Я так подозреваю , что должен быть какой-то байт отвечающий за свойство Enabled. Как его найти в программе написанной на С++ Builder?
neprovad пишет:
Ну что за народ пошел, не желает быть студентом а желает быть доцентом.
Единственный способ поумнеть, играть с более умным противником.

| Сообщение посчитали полезным:

jossross пишет:
Как неактивные элементы типа checkbox, tedit... сделать активными? Я так подозреваю , что должен быть какой-то байт отвечающий за свойство Enabled. Как его найти в программе написанной на С++ Builder?
попробуй прогу Enable button v.1.1

| Сообщение посчитали полезным:

EnableWindow В Delphi/Builder параметр, обычно, передается в DL. 1 - Enabled.

| Сообщение посчитали полезным:

Pastor пишет:
попробуй прогу Enable button v.1.1
gazlan пишет:
EnableWindow В Delphi/Builder параметр, обычно, передается в DL. 1 - Enabled.

Отлично работают с CheckBox, но c TEdit и ComboBox не совсем.
Таких же результатов можно добиться поменяв в стеке при вызове функции CreateWindowEx параметр Style.
Наверное дело скорее не в свойстве Enabled, а в чем-то другом. Дело в том, что изначально элементы TEdit & ComboBox не просто неактивные, они представляют собой серые элементы без каких-либо данных внутри (прописанных по умолчанию). Надпись тоже серая. Изменением свойства Enabled из стека я добиваюсь, что в поле можно поставить курсор, а список можно нажать, но в нем нет самого списка вариантов, просто выпадает пустая строка, но и надпись и фон поля по прежнему серые. Помимо этого я точно знаю, что фон поля должен быть белым и там должны быть параметры по умоланию. Как сделать так, чтобы фон поля был белым?

| Сообщение посчитали полезным:

jossross пишет:
Как сделать так, чтобы фон поля был белым?
photoshop

| Сообщение посчитали полезным:

Pastor пишет:
photoshop


ну вот, смотрите, есть такой едит


А нужно добиться такого результата


Изменением свойства Enable я фактически ни к чему не пришел.

| Сообщение посчитали полезным:

jossross пишет:
но в нем нет самого списка вариантов, просто выпадает пустая строка

Очевидно, не была выполнена инициализация. Обычно, combo заполняется либо из ресурсов, либо в цикле (CB_ADDSTRING). Вот и ищите то, что должно быть добавлено.

| Сообщение посчитали полезным: