eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: -Sanchez-, parfetka, wacaxefid, asmerdev1, RevCred (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Enigma v4
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 328.8 (мудрец)
Статус: Участник

Создано: 21 мая 2014 19:45 New!
Цитата · Личное сообщение · #1

Недавно я столкнулся с одной программой, которая накрыта последней версией энигмы - 4.0. Альтернативный скрипт от LCF-AT на нем не работает, поскольку разработчик учел, видимо, работы по распаковке этого протектора, и часть важного кода (для восстановления IAT, подмены HWiD и т.д.) перенес в специально выделенную область памяти, которую там и выполняет. Кто-либо уже занимался распаковкой этой версии?

Ранг: 328.8 (мудрец)
Статус: Участник

Создано: 22 мая 2014 16:43 New!
Цитата · Личное сообщение · #2

Судя по отсутствию ответов на этот пост, придется самому вплотную заняться распаковкой этого протектора.

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 22 мая 2014 18:19 New!
Цитата · Личное сообщение · #3

не думаю что там принципиально чтото поменяно...

Ранг: 617.3 (!)
Статус: Участник

Создано: 22 мая 2014 18:29 New!
Цитата · Личное сообщение · #4

VodoleY пишет:
не думаю что там принципиально чтото поменяно...

ошибаешься, там изменено все что можно.

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 22 мая 2014 18:47 New!
Цитата · Личное сообщение · #5

Vovan666 о как.. ну тогда вопрос в стоящей жертве и в наличии времени

Ранг: -0.5 (нарушитель)
Статус: Участник

Создано: 2 июня 2014 19:06 New!
Цитата · Личное сообщение · #6

Так же столкнулся с таким же вопросом, есть ли решение?

Ранг: 328.8 (мудрец)
Статус: Участник

Создано: 9 июня 2014 07:43 New!
Цитата · Личное сообщение · #7

Разобрался немного с ручной распаковкой Enigma v4.
1. Разработчик включил в свои последние версии два метода защиты импорта:
a) полностью эмулированные функции из библиотеки kernel32.dll. Эти функции полностью выполняются в секции Энигмы, и понять, какие это функции - весьма сложно. Только хорошо зная структуру PE-файла, и на каком языке написана программа, можно определить, какие функции эмулированы.
b) переадресованные функции. Машина переадресации функций практически та же, и имеет волшебный прыжок, заменив который инструкцией JMP, можно полностью восстановить фактический адрес переадресованных функция на конкретной машине.
2. Разработчик применил два метода обфускации кода программы:
a) первый метод сравнительно простой - код просто разбавлен условными и безусловными прыжками, но может очень легко восстановлен вручную, при необходимости.
b) второй метод обфускации очень сложен, вынесен за пределы файла, и расположен за границей области памяти, где размещены стандартные библиотеки Windows. Этот код настолько замусорен, что для примера могу привести такие данные - чтобы восстановить две простые инструкции MOV EAX,DWORD [CONST] и MOV EAX,DWORD [EAX], я выполнил трассирование этого кода с заданным параметром значения регистра EAX, и было выполнено 239000 разных мусорных инструкций.
3. Вынесение части кода за границы области памяти размещения стандартных библиотек Windows, является мощным средством от дампирования памяти программы. Тем более, что эта часть кода размещена в нескольких блоках памяти с разными размерами этих блоков.

Таким образом, разработчик очень сильно усилил свой инструмент, который может стать очень сильным методом защиты программ.

| Сообщение посчитали полезным: Hellspawn, deniskore, kampaster, CyberGod, plutos, 4kusNick, ff0h


Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 9 июня 2014 08:48 New!
Цитата · Личное сообщение · #8

vnekrilov Проверьте пожалуйста ЛС, я не знаю, получаете ли вы сообщения...


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 9 июня 2014 10:53 · Поправил: Nightshade New!
Цитата · Личное сообщение · #9

vnekrilov пишет:
3. Вынесение части кода за границы области памяти размещения стандартных библиотек

С этим научились давно бороться. Первый раз такое заметили в секуроме.
Как бороться:
Клеится к файлу новая большая секция. Все вызовы VirtualAlloc перенаправляются в нее.
Другой вариант - хук виртуалаллок и многократный вызов, пока область памяти не будет рядом с ехе.
Еще есть флаг в виртуалаллоке MEM_TOP_DOWN. В хуке надо его сбрасывать.
П С
Учитывайте, что на форуме есть пользователь Enigma. И он активно будет читать этот тред.

| Сообщение посчитали полезным: VodoleY, ajax, vnekrilov, ==DJ==[ZLO]


Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 9 июня 2014 18:42 New!
Цитата · Личное сообщение · #10

Nightshade пишет:
3. Вынесение части кода за границы области памяти размещения стандартных библиотек
С этим научились давно бороться. Первый раз такое заметили в секуроме.

Помниться, оно только в 7м и было, когда вм в выделенной памяти висела. После вм стал уже не торт, и ...
vnekrilov пишет:
разработчик очень сильно усилил свой инструмент,

и естественно оно стало ЕЩЕ МЕДЛЕННЕЙ работать! И слоган таков: "Enigma v4 - преврати своего жалкого сапера в настоящий Crysis".

Ну да ладно. Киньте кто нить, пожалуйста, линк на запротекченный сабж, хоть взгляну шо за фрукт.

Ранг: 617.3 (!)
Статус: Участник

Создано: 9 июня 2014 18:57 · Поправил: Vovan666 New!
Цитата · Личное сообщение · #11

ELF_7719116
unpackme
4.10
https://forum.tuts4you.com/topic/35765-unpackme-enigma-410-maximum-protection-hwid/#entry164649
http://rghost.ru/56271222
4.0
https://forum.tuts4you.com/topic/34883-unpackme-enigma-400/
http://rghost.ru/56271241

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 9 июня 2014 19:40 New!
Цитата · Личное сообщение · #12

кстати не знаю насколько рационально было вылаживать анпакми...
но если кто не в курсе, то Enigma эмбидит в тело файла 2 мд5 хеша (юзернейм и лиц.кей) на кого зареган прот

Ранг: 617.3 (!)
Статус: Участник

Создано: 9 июня 2014 20:04 New!
Цитата · Личное сообщение · #13

SReg пишет:
кстати не знаю насколько рационально было вылаживать анпакми...
но если кто не в курсе, то Enigma эмбидит в тело файла 2 мд5 хеша (юзернейм и лиц.кей) на кого зареган прот

Т.е. прот покупается чтоб самому себе файлы протектить? не думаю, что это что-то нарушает.

Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 9 июня 2014 20:22 New!
Цитата · Личное сообщение · #14

мдя. великий протектор - у мну на Windows Server 2003 SP2 анпакми банально не запускается (4.10)
Nightshade пишет:
Учитывайте, что на форуме есть пользователь Enigma. И он активно будет читать этот тред.

пусть прочтет, я напишу, что он - пид.. гомосексуалист

| Сообщение посчитали полезным: Hellspawn, ARCHANGEL, sivorog


Ранг: 328.8 (мудрец)
Статус: Участник

Создано: 10 июня 2014 01:00 New!
Цитата · Личное сообщение · #15

ELF_7719116 пишет:
мдя. великий протектор - у мну на Windows Server 2003 SP2 анпакми банально не запускается (4.10)


Я столкнулся с файлом (почему и открыл эту тему), который прекрасно запускается под Windows XP SP3. Мало того, для проверки эмулированных APIs, я защитил один файл Энигмой, версии 4.10, и программа так же нормально запускается. Видимо, что-то неправильно было защищено.

Ранг: 23.3 (новичок)
Статус: Участник

Создано: 26 июля 2014 21:29 New!
Цитата · Личное сообщение · #16

Записал видео по распаковке UnpackME, защищенного Enigma Protector 4.10
https://www.youtube.com/watch?v=DKKsdEX4LCI

| Сообщение посчитали полезным: Jaa, Hellspawn, uncleua, 4kusNick, ELF_7719116, Mishar_Hacker, Gauri, MarcElBichon, BlackArting, PuL9, MasterSoft, Carpe DiEm, Qbik



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 26 июля 2014 23:12 New!
Цитата · Личное сообщение · #17

SHADOW785 только у меня на видео переодически черный квадрат вместо картинки?

Ранг: 23.3 (новичок)
Статус: Участник

Создано: 26 июля 2014 23:29 New!
Цитата · Личное сообщение · #18

Hellspawn
У всех. Проблема в самом видео.

Ранг: 29.3 (посетитель)
Статус: Участник

Создано: 1 августа 2014 14:25 New!
Цитата · Личное сообщение · #19

SHADOW785 OEP откуда взят? Это константа, что ли?

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 1 августа 2014 14:31 New!
Цитата · Личное сообщение · #20

Gauri пишет:
OEP откуда взят?

Ахахахах.Зная версию компилятора и среду, в которой скомпилен эксе, найти OEP не трудно.Это так, на будущее.
Gauri пишет:
Это константа, что ли?

Ну....Как сказать.В конкретной проге OEP всегда один, чем бы она не была накрыта.

Ранг: 29.3 (посетитель)
Статус: Участник

Создано: 1 августа 2014 14:42 · Поправил: Gauri New!
Цитата · Личное сообщение · #21

unknownprojectНу что для конкретной проги он один - это понятно. Меня удивило, что просто из блокнотика копируется без малейших пояснений, откуда взято. Как в анекдоте: "-Откуда деньги? -Из тумбочки."

Добавлено спустя 1 час
Пятница, называется. Думал, в блокнотике адрес OEP готовый был. Кажись, принцип дошёл, но проблема в том, что искомая последовательность у меня нигде не встречается(
2 раза VirtualAlloc ведёт в msjt3032Patch.dll, затем только в exe, но там вот это:
Code:
  1. CPU Disasm
  2. Address   Hex dump          Command Comments
  3. 009D3591    6A 01           PUSH 1
  4. 009D3593    68 00200000     PUSH 2000
  5. 009D3598    56              PUSH ESI
  6. 009D3599    6A 00           PUSH 0
  7. 009D359B    E8 34FDFFFF     CALL <JMP.VirtualAlloc>                  ; Jump to kernel32.VirtualAlloc
  8. 009D35A0    8BF8            MOV EDI,EAX
  9. 009D35A2    893B            MOV DWORD PTR DS:[EBX],EDI
  10. 009D35A4    85FF            TEST EDI,EDI
  11. 009D35A6    74 23           JE SHORT 009D35CB
  12. 009D35A8    8BD3            MOV EDX,EBX
  13. 009D35AA    B8 EC65A000     MOV EAX,00A065EC
  14. 009D35AF    E8 DCFDFFFF     CALL 009D3390
  15. 009D35B4    84C0            TEST AL,AL
  16. 009D35B6    75 13           JNE SHORT 009D35CB
  17. 009D35B8    68 00800000     PUSH 8000
  18. 009D35BD    6A 00           PUSH 0
  19. 009D35BF    8B03            MOV EAX,DWORD PTR DS:[EBX]
  20. 009D35C1    50              PUSH EAX
  21. 009D35C2    E8 15FDFFFF     CALL <JMP.VirtualFree>                   ; Jump to kernel32.VirtualFree
  22. 009D35C7    33C0            XOR EAX,EAX
  23. 009D35C9    8903            MOV DWORD PTR DS:[EBX],EAX
  24. 009D35CB    5F              POP EDI
  25. 009D35CC    5E              POP ESI
  26. 009D35CD    5B              POP EBX
  27. 009D35CE    C3              RETN

и байты, обозначенные как "OEP jump pointer" нигде не находятся.

Ранг: 29.3 (посетитель)
Статус: Участник

Создано: 4 августа 2014 08:53 New!
Цитата · Личное сообщение · #22

Отбой, подопытный оказался Enigma Virtual Box (пока насколько я понял, без протектора), накрытым фемидой.

Ранг: 114.5 (ветеран)
Статус: Участник

Создано: 4 августа 2014 17:19 New!
Цитата · Личное сообщение · #23

Gauri
анпакер Enigma Virtual Box

{ Атач доступен только для участников форума } - EnigmaVBUnpacker_v0.11.zip

| Сообщение посчитали полезным: unknownproject, BlackArting, crc


Ранг: 23.3 (новичок)
Статус: Участник

Создано: 12 ноября 2014 17:35 New!
Цитата · Личное сообщение · #24

В дополнение к этому посту - https://exelab.ru/f/index.php?action=vthread&forum=13&topic=22795#16

Написал небольшой скрипт, который восстанавливает все виртуализированные апишки в Enigma 4.xx (не эмулированные). Запускать на OEP.



{ Атач доступен только для участников форума } - Enigma_4.xx_VMAPI_Fixer.zip

| Сообщение посчитали полезным: ELF_7719116, Mishar_Hacker, Vamit, v00doo, Jaa, vnekrilov, FeliXW


Ранг: 2.7 (гость)
Статус: Участник

Создано: 3 января 2015 19:07 New!
Цитата · Личное сообщение · #25

Всем привет.
Кто сможет более доступно обяснить как сею распаковывать, наставте на путь истинный

Ранг: 114.5 (ветеран)
Статус: Участник

Создано: 3 января 2015 19:15 New!
Цитата · Личное сообщение · #26

vova25305
чем тебе видео --> видео <-- не нравится? Выше твоего поста скрипт восстанавливающий виртуализированые апишки (не всегда работает кстати)

Ранг: 23.3 (новичок)
Статус: Участник

Создано: 4 января 2015 14:55 New!
Цитата · Личное сообщение · #27

Jaa пишет:
(не всегда работает кстати)

Забыл выложить сюда последнюю версию скрипта.



{ Атач доступен только для участников форума } - Enigma_4.xx_VMAPI_Fixer_v0.4.1.zip

| Сообщение посчитали полезным: Jaa, 4kusNick


Ранг: 17.0 (новичок)
Статус: Участник

Создано: 5 января 2015 20:58 New!
Цитата · Личное сообщение · #28

Чо видео косячное какое то?
8:39 - 12:26 вообще ничего не показывает, потом черные квадратики постоянно

Ранг: 114.5 (ветеран)
Статус: Участник

Создано: 6 января 2015 13:19 New!
Цитата · Личное сообщение · #29

neoBlinXaker
С видео все нормально!
Бывает конечно черный экран, несколько раз за видео, но на 1-2 секунды не более (ищите проблему у себя в браузере)
Самое главное что суть понятна
вот скачанное видео --> Enigma Protector 4.10 Unpacking <--

| Сообщение посчитали полезным: neoBlinXaker


Ранг: 2.7 (гость)
Статус: Участник

Создано: 11 января 2015 01:32 · Поправил: vova25305 New!
Цитата · Личное сообщение · #30

Подскажите пожалуйста, по видео (1 мин 05 секунд) дохожу до момента HARDWARE ON EXECUTING . Но програма не останавливается на брекпоинте а уходит на другой адрес.

И с плагинами STRONGOD,PHANTOM процес TERMINATED, без плагинов происходит вход в програму
. 1 . 2 . >>
 eXeL@B —› Протекторы —› Распаковка Enigma v4

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS