Autor
|
Tema: Exe empacado con Enigma Protector imposible poner breakpoints (Leído 3,866 veces)
|
rantamplan9556
Desconectado
Mensajes: 3
|
Estoy intentando debugear un exe que está empacado con Enigma Protector usando X32dbg con el plugin ScyllaHide
Desde el depurador el programa se ejecuta perfectamente sin problema alguno, pero cuando intento poner un breakpoint por ejemplo en <ReadFile> el programa rompe y te sale el mensaje "El programa dejo de funcionar correctamente xxxx" y solo deja la opción de cerrar programa Aunque estoy intentando aprender como hacerlo no tengo por el momento los conocimientos necesarios para poder desempacar y eliminar el enigma me pregunto si es posible de alguna forma poder debugear el exe protegido y colocar breakpoints sin que se rompa
|
|
|
En línea
|
|
|
|
apuromafo CLS
|
enigma es un protector, sin embargo hay scripts y información en foros ingleses, no comparto como se desempaca, porque no he estudiado este packer, pero de que hay información la hay, favor intentar aprender mas, por otro lado no solo existe bp, tambien puedes usar hw bp, saludos Apuromafo
pd: en mi caso siempre que tenia un enigma , pedia ayuda a gautam, o bien leia por tuts4you un titulo: Enigma Script LCF Shadow By Giv 4.xx -5.xx-5.5
Saludos Apuromafo pd: desempacar, es complejo, es un packer que lleva años y lleva muchas versiones, aveces puedes ir estudiando de menor a mayor (desde la 1 a la 3 se parecen mucho, ya de la 4 hacia arriba llevan vm compleja...)
|
|
|
En línea
|
Apuromafo
|
|
|
rantamplan9556
Desconectado
Mensajes: 3
|
Gracias apuromafo por tu respuesta
Cuantas mas vueltas le doy a esto y mas intento aprender mi cacao mental va en aumento Continuo buscando y leyendo sin parar en inet sobre enigma y investigo sobre el exe comprimido objeto de mis quebraderos de cabeza
Por si sirve de algo aporto mas datos sobre el tema Utilizando el setup original del programa en cuestion lo instalé en mi disco duro Este programa arranca, pero me da un error de que no encuentra el certificado de licencia y por tanto la licencia es inválida Para que el programa funciona hay que reemplazar el exe original por el crackeado y empacado con enigma y además de esto reemplazar un archivo java por otro que incluye el crack en una carpeta, además de un archivo llamado license.dat que tambien incluye el crack Una vez hecho esto hago doble click sobre el exe crackeado y este me da una especie de serial separado por guiones, que me da que es un calculo que hace el enigma y usando esta ristra de numeros arranco otro programita tambien incluido en el crack donde tengo que poner un nombre y este serial separado por guiones. Una vez hecho esto le doy a calcular y se ve que calcula algo como un sha por su aspecto y lo incluye en el registro de windows Es ahora al fin cuando arranca el prgrama crackeado Por todo lo anterior esto tiene toda la pinta de ser algo similar al Themida o Winlicense que generaba un programita donde se generaba un archivito licencia unica para un pc
Utilizando el OllyDump he hecho un volcado de memoria y con un editor hexadecimal he visto en ascii The Enigma Protector version 1.31
No se si todo el tocho anterior servirá para aclarar algo, pero dado el cacao mental que tengo cualquier ayuda seria bien recibida y si es posible algun consejo de apuromafo o gautam
Perdon por el tocho
Saludos
|
|
|
En línea
|
|
|
|
xor.pt
Desconectado
Mensajes: 67
|
Probablemente alguien hecho y protegido con Enigma. ¿Está protegido el exe original? Si no, mejor trabaje en el crack desde cero. En el binario original, que tratar con el Enigma. Saludos.
|
|
|
En línea
|
|
|
|
rantamplan9556
Desconectado
Mensajes: 3
|
Hola
Gracias por tu respuesta
Efectivamente el exe original no está empaquetado y arranca perfectamente. Eso si, solo hasta que sale el mensaje de que el certificado no es válido y por tanto la licencia tampoco
El crackeado trae un certificado .jar modificado para que funcione con la licencia genérica que incluye
Continuo investigando como hacer para saltarme ese tema de la licencia, pero me da que voy a tener que averiguar como hace el empaquetado para saltarse la comprobación
Me da que en el propio exe incluye dos programas. Uno el exe original y otro para capturar ciertas llamadas de este al registro y una vez que el exe original lee el entorno donde está instalado ,( procesador, disco duro, placa base, etc), reemplaza en memoria estos valores leidos por los suyos para que el certificado que incluye sea válido Pero dado que este está comprimido con enigma no puedo verlo
Por tanto no me queda otra que continuar investigando y aprendiendo mas sobre este mundo de la ingenieria inversa y agradeceros a quienes me dais vuestra opinión y consejos porque esto siempre anima a continuar cuando uno se estrella una y otra vez
Repito las gracias
Saludos
|
|
|
En línea
|
|
|
|
|
|