eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: 3ton
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› The Enigma Protector 2.xx Unpacking + Devirtualizer by DizzY_D Fully defeating Enigma
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 6 августа 2011 04:34 New!
Цитата · Личное сообщение · #1

The Enigma Protector 2.xx Unpacking + Devirtualizer by DizzY_D Fully defeating Enigma
http://www.file-upload.net/download-3640029/The-Enigma-Protector-2.xx-32bit-Unpacking---Devirtualizer-by-DizzY_D.rar.html

| Сообщение посчитали полезным: Gideon Vi, ClockMan, linhanshi, SReg, Dart Raiden, _ruzmaz_, BAHEK, AKAB, antipod, obfuskator, 4kusNick, hlmadip, plutos, ff0h, yagello, stas_02, pertican, arnix, Abraham


Ранг: 8.5 (гость)
Статус: Участник

Создано: 6 августа 2011 05:49 · Поправил: Модератор New!
Цитата · Личное сообщение · #2

Thank for sharing

Edited by moderator: There is a "Good message" button, use it instead of posting Thank you messages


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 6 августа 2011 14:48 · Поправил: Nightshade New!
Цитата · Личное сообщение · #3

Попробовал по тутору распаковать програмку до оеп дошел. Импорт тоже получил чистый. Но в ехе есть часть кода который идет в секцию энигмы. Причем это не вм. Чистый код, но в другой секции. Вот в этом коде дамп падает.
http://sderni.ru/78555
Code:
  1. 0059D21F    6A 00           PUSH 0
  2. 0059D221    8D4D FC         LEA ECX,DWORD PTR SS:[EBP-4]
  3. 0059D224    51              PUSH ECX
  4. 0059D225    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+C]
  5. 0059D228    52              PUSH EDX
  6. 0059D229    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]
  7. 0059D22C    50              PUSH EAX
  8. 0059D22D    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
  9. 0059D230    8B91 2C010000   MOV EDX,DWORD PTR DS:[ECX+12C]
  10. 0059D236    52              PUSH EDX
  11. 0059D237    E8 E3169E02     CALL 02F7E91F !!!!!!!!!!!!!!!!!!!!!! (вставка вместо реад файл. Тут функа расшифровки на лету)
  12. 0059D23C    90              NOP
  13. 0059D23D    85C0            TEST EAX,EAX
  14. 0059D23F    75 21           JNZ SHORT 0059D262
  15. 0059D241    8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
  16. 0059D244    8B88 2C010000   MOV ECX,DWORD PTR DS:[EAX+12C]
  17. 0059D24A    51              PUSH ECX
  18. 0059D24B    FF15 8CA18500   CALL DWORD PTR DS:[<&kernel32.CloseHandl>; kernel32.CloseHandle


Code:
  1. 0052E08C    66:8B4D 14      MOV CX,WORD PTR SS:[EBP+14]
  2. 0052E090    51              PUSH ECX
  3. 0052E091    8B55 10         MOV EDX,DWORD PTR SS:[EBP+10]
  4. 0052E094    52              PUSH EDX
  5. 0052E095    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
  6. 0052E098    50              PUSH EAX
  7. 0052E099    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
  8. 0052E09C    51              PUSH ECX
  9. 0052E09D    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
  10. 0052E0A0    81C1 30010000   ADD ECX,130
  11. 0052E0A6    E8 2107A502     CALL 02F7E7CC
  12. 0052E0AB    8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
  13. 0052E0AE    837D FC 00      CMP DWORD PTR SS:[EBP-4],0
  14. 0052E0B2    75 20           JNZ SHORT 0052E0D4

Кто видел такие вставки? Что это за фигня? Я б сказал, что это плагин для энигмы от Cerberus, но не уверен в этом...(хотя их защита точно есть и должна быть на функах чтения зашифрованных файлов и отправки пакетов в сеть)


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 6 августа 2011 17:39 New!
Цитата · Личное сообщение · #4

pavka, откуда дровишки? Хотелось бы со статьей ознакомиться, когда выйдет.


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 6 августа 2011 18:47 New!
Цитата · Личное сообщение · #5

http://forum.tuts4you.com/index.php?showtopic=26896

| Сообщение посчитали полезным: Gideon Vi


Ранг: 516.1 (!)
Статус: Участник

Создано: 6 августа 2011 21:17 New!
Цитата · Личное сообщение · #6

Nightshade, дампим этот регион, куда идет вызов, прикручиваем новой секцией, меням все вызовы E8, что-то похожее было с армой (codesplicing)


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 6 августа 2011 22:11 · Поправил: Nightshade New!
Цитата · Личное сообщение · #7

Нет. Эти куски и так в ехе. Смотри дамп


Ранг: 512.8 (!)
Статус: Участник
оптимист

Создано: 7 августа 2011 02:15 New!
Цитата · Личное сообщение · #8

0059D237> походу не восстановленая айпи.
0052E0A6>похож на код антидампа.

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 7 августа 2011 03:54 New!
Цитата · Личное сообщение · #9

Nightshade пишет:
Я б сказал, что это плагин для энигмы от Cerberus, но не уверен в этом

0047C382: CERBERUS Error
0047C394: CERBERUS Init Ok

энигма похоже старенькая, полный комплект программы большой?


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 7 августа 2011 18:14 New!
Цитата · Личное сообщение · #10

полный комплект около 4 гб. Ну или кусок файлов
http://files.mail.ru/ZNQ14R

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 8 августа 2011 05:07 New!
Цитата · Личное сообщение · #11

Nightshade пишет:
полный комплект около 4 гб. Ну или кусок файлов

4 это хорошо ))) А в этих кусках файла накрытого энигмой я так и не нашёл.


У кого есть различные версии энигмы, поделитесь пожалуйста, можно в личку.


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 8 августа 2011 18:23 New!
Цитата · Личное сообщение · #12

rfonline.bin накрыт энигмой

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 18 августа 2011 22:32 New!
Цитата · Личное сообщение · #13

Nightshade а чем ты вм восстановил?


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 19 августа 2011 07:45 · Поправил: Nightshade New!
Цитата · Личное сообщение · #14

Тем же, что описанно в туторе

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 19 августа 2011 16:24 New!
Цитата · Личное сообщение · #15

Можешь подробней рассказать я что-то на танке не въеду. Там кстати не все прыжки восстановлены.
Выложили фикс:

{ Атач доступен только для участников форума } - Enigma Devirtualizer v1.1 by DizzY_D (15.08.2011).rar


Ранг: 240.2 (наставник)
Статус: Участник

Создано: 19 августа 2011 19:27 · Поправил: Nightshade New!
Цитата · Личное сообщение · #16

Какие прыжки не восстановленны?
Я так то понял в чем косяк.
Плаггин для энигмы использует иат энигмы. В распакованном файле иат естественно в другом месте и получается я падаю при попытке вызвать апи из девиртуализованного кода.
Code:
  1. 02C84A40  - FF25 74B5DA02   JMP DWORD PTR DS:[2DAB574]               ; shell32.76EDDCC2
  2. 02C84A46    8BC0            MOV EAX,EAX
  3. 02C84A48  - FF25 70B5DA02   JMP DWORD PTR DS:[2DAB570]               ; iertutil.77849AC5
  4. 02C84A4E    8BC0            MOV EAX,EAX
  5. 02C84A50  - FF25 6CB5DA02   JMP DWORD PTR DS:[2DAB56C]               ; shell32.76ED4382
  6. 02C84A56    8BC0            MOV EAX,EAX
  7. 02C84A58  - FF25 68B5DA02   JMP DWORD PTR DS:[2DAB568]               ; shell32.76ED16EF
  8. 02C84A5E    8BC0            MOV EAX,EAX
  9. 02C84A60  - FF25 64B5DA02   JMP DWORD PTR DS:[2DAB564]               ; shell32.76EDB925
  10. 02C84A66    8BC0            MOV EAX,EAX
  11. 02C84A68  - FF25 60B5DA02   JMP DWORD PTR DS:[2DAB560]               ; iertutil.778377A0
  12. 02C84A6E    8BC0            MOV EAX,EAX
  13. 02C84A70  - FF25 5CB5DA02   JMP DWORD PTR DS:[2DAB55C]               ; shell32.76EF7A7A
  14. 02C84A76    8BC0            MOV EAX,EAX
  15. 02C84A78  - FF25 58B5DA02   JMP DWORD PTR DS:[2DAB558]               ; shell32.76EEBBE2
  16. 02C84A7E    8BC0            MOV EAX,EAX
  17. 02C84A80  - FF25 54B5DA02   JMP DWORD PTR DS:[2DAB554]               ; shell32.76F1EEC8
  18. 02C84A86    8BC0            MOV EAX,EAX
  19. 02C84A88  - FF25 50B5DA02   JMP DWORD PTR DS:[2DAB550]               ; shell32.76ED3581
  20. 02C84A8E    8BC0            MOV EAX,EAX
  21. 02C84A90  - FF25 4CB5DA02   JMP DWORD PTR DS:[2DAB54C]               ; shell32.76EDBDDD
  22. 02C84A96    8BC0            MOV EAX,EAX
  23. 02C84A98  - FF25 48B5DA02   JMP DWORD PTR DS:[2DAB548]               ; shell32.76EE4C24
  24. 02C84A9E    8BC0            MOV EAX,EAX
  25. 02C84AA0  - FF25 44B5DA02   JMP DWORD PTR DS:[2DAB544]               ; shell32.76EDBF53
  26.  

Ну и здесь косяк
Code:
  1. 02DDECB9    68 E32F0000     PUSH 2FE3                > nop
  2. 02DDECBE  ^ E9 D152FFFF     JMP 02DD3F94         >nop - здесь я прерывался по тутору
  3. и плаг из-за бряка не убрал этот вызов
  4.  

Надо было бы пройтись UIF и было бы все ок. Я просто не знал что виртуализированный код будет использовать другую IAT

Ранг: 13.0 (новичок)
Статус: Участник

Создано: 13 октября 2011 10:17 New!
Цитата · Личное сообщение · #17

Чот я не пойму как ээтот плаг к ольке подключить?


Ранг: 534.6 (!)
Статус: Uploader
retired

Создано: 13 октября 2011 10:21 New!
Цитата · Личное сообщение · #18

matrix пишет:
Чот я не пойму как ээтот плаг к ольке подключить?

Это не плагин, это независимая длл. Посмотри мувик(если смотрел, то смотри внимательнее) как это использовать.

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 18 октября 2011 01:24 · Поправил: NikolayD New!
Цитата · Личное сообщение · #19

Nightshade извиняюсь у меня видео почему-то воспроизводится только до места где он доходит до OEP


Nightshade пишет:
Какие прыжки не восстановленны

вот этот я просто не знаю как это правильно по науке называется )))

Nightshade пишет:
# 02DDECB9 68 E32F0000 PUSH 2FE3 > nop
# 02DDECBE ^ E9 D152FFFF JMP 02DD3F94

Ранг: 8.5 (гость)
Статус: Участник

Создано: 3 апреля 2012 16:45 New!
Цитата · Личное сообщение · #20

How to use "Enigma Devirtualizer v1.1 by DizzY_D"? Can somebody give me a hint?

Ранг: 22.4 (новичок)
Статус: Участник

Создано: 18 апреля 2012 03:45 New!
Цитата · Личное сообщение · #21

выложили сурс , компиляция в 2010 студии , фиксить ентот http://forum.tuts4you.com/topic/26896-the-enigma-protector-2xx-unpacking-devirtualizer-by-dizzy-d/page__st__20#entry135147 и ещё два.

{ Атач доступен только для участников форума } - Enigma DeVirtualizer.rar


Ранг: 56.8 (постоянный)
Статус: Участник

Создано: 21 мая 2012 10:58 · Поправил: -Sanchez- New!
Цитата · Личное сообщение · #22

Raham решил продолжить дело DizzY_D и уже выложил версию 1.2.

DizzY_D don't work on this project, so i decided to continue his project.
also i made Version 1.2 of DeVirtualizer plugin with bug fix & new engima Support.

Enigma Devirtualizer 1.2 Change log:

Support Recent Version of Enigma (tested on 2.05,2.7,3.6 & 3.7)
Bug Fix on JMP to bad Entry (was reported by LCF-AT)

your feedback & bug report are welcome;)

Kind Regards
Raham/SnD

{ Атач доступен только для участников форума } - Enigma Devirtualizer 1.2.rar

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 21 мая 2012 11:27 New!
Цитата · Личное сообщение · #23

-Sanchez-
требует библиотеку TitanEngine.dll Или может я делаю что то не так???
положил к плагинам для ольки

Ранг: 617.3 (!)
Статус: Участник

Создано: 21 мая 2012 11:33 New!
Цитата · Личное сообщение · #24

schokk_m4ks1k
Ну так скачай http://www.reversinglabs.com/products/TitanEngine.php

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 21 мая 2012 11:44 · Поправил: schokk_m4ks1k New!
Цитата · Личное сообщение · #25

Vovan666
-Sanchez-
ошибка вроде исчезла но плагин не опознано! для какой ольки этот плаг вообще и как установить его??? растолкуйте плиз

NikolayD
-Sanchez-
я уже все понял!!! спасибо за разьяснения!!!

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 21 мая 2012 11:55 New!
Цитата · Личное сообщение · #26

schokk_m4ks1k, ты бы видео что ли посмотрел. Я поначалу тоже не въехал, у меня плеер не показывал полностью видео DDD


Ранг: 56.8 (постоянный)
Статус: Участник

Создано: 21 мая 2012 11:58 New!
Цитата · Личное сообщение · #27

BoRoV пишет:
Это не плагин, это независимая длл. Посмотри мувик (если смотрел, то смотри внимательнее) как это использовать.

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 21 мая 2012 12:06 · Поправил: SReg New!
Цитата · Личное сообщение · #28

schokk_m4ks1k
это не плагин, и библиотека должна лежать рядом с прогой, так же как и TitanEngine
з.ы. инжектить можно стронгом например

tihiy_grom пишет:
Эх, было не была, тоже напишу

я просто кнопал на тот час;)

Ранг: 434.4 (мудрец)
Статус: Участник

Создано: 21 мая 2012 12:10 New!
Цитата · Личное сообщение · #29

Эх, было не была, тоже напишу

schokk_m4ks1k
Это не плагин, а библиотека. Посмотри мувик.

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 22 мая 2012 01:51 · Поправил: SReg New!
Цитата · Личное сообщение · #30

Updated to Version 1.3
Code:
  1. *2012/May/22 V1.3
  2. *Fix IMUL Handling
  3. *FIX MUL Handling
  4. *Include GUI;)

тутор --> Link <--
{ Атач доступен только для участников форума } - Enigma DeVirtualizer 1.3.rar

| Сообщение посчитали полезным: NikolayD, mak, obfuskator, stas_02, schokk_m4ks1k

. 1 . 2 . >>
 eXeL@B —› Софт, инструменты —› The Enigma Protector 2.xx Unpacking + Devirtualizer by DizzY_D Fully defeating Enigma

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS