son varios, ejemplo en enigma basta que veas el Hardware lock
 refiere:
System Volume Serial Number
System Volune Name
Computer Name
CPU type
Motherboard
Windows Serial Key
Hard Disk Serial Number
Windows User Name

respecto a vmprotect
Hardware locking
The licensing system allows the developer to receive a hardware identifier of user's PC based on information about CPU, network card and OS. The licensing system can produce a serial number that will be only valid on that hardware only. This option allows you to limit usage of the application to several computers.

en el faq  hay tutoriales, el primer packer que se toma es el upx, no debe ser complejo anímate
hay hasta descompresores como upx.exe -d nombredel prograam.exe

yo en lo personal prefiero usar pexplorer, abro el programa, lo guardo (y el plugin de upx ) ya lo descomprimió )

Saludos Apuromafo

pd: en general lo cargas en el depurador, buscas desde pushad..hasta popad, luego hay un salto que se da a una nueva zona, y ese es el salto al oep, luego de ello hay que dumpear(importrec/scylla) y reparar iat confirmando inicio y fin de la tabla de importaciones ...segun se guia en muchos tutoriales, la gran mayoría es automático

la unica gran diferencia entre unpacked entre herramienta y otra de unpack manual, es que el unpack manual quedan las secciones como upx1 upx2 o la que tenia originalmente, el unpacked por tool , recupera el nombre de todas sus secciones ...

Saludos Apuromafo

upx
http://manualinux.eu/upx.html
si fuera por modificar, tendrias que usar IDA o bien un editor hexadecimal..bueno es tema de cada uno como va haciendo las modificaciones.
Saludos

eso es otro nombre xD, estas confundiendo la herramienta con lo que ha presentado, al depurar no se ve ninguna forma maliciosa de trabajar


...por otro lado una vez que uno accede a la rama de regedit y se renombra desde "regedit no se puede eliminar" , busqué varias formas, la mejor seria esta herramienta gratuita
http://registry-finder.com/  vamos a la rama a eliminar , colocas eliminar y listo, se elimina sin problema

el tema debe ir en el "flag" , normalmente hay ramas de regedit que se pueden virtualizar inclusive, asi que asumo que el autor lo ha hecho intencionalmente para evitar que le quitaramos el trial ? bueno, sea como sea, funciona por el minuto

instrucciones hechas para hacer un resumen
0 tenemos un programa que si no  se registra el programa, los botones de la interfáz de usuario se deshabilitan, y los nodos del treeview también. En resumen, que no se puede usar ninguna funcionalidad del programa.
1) ingresamos usuario y serial valido de 3 dias..e intentamos analizar todo lo que parezca llamativo (creacion de ramas, acceso a regedit entre otros)
se logra ver hay muchas send... y valores entre 0 y 1, valores a comparar en cada segmento, asi que aburrido de mirarlo, elegi las peores condiciones

2) expired y no funcional: elimine la rama de regedit que tenia la rama, el programa sigue siendo trial

3)  sobre el programa desempacado buscamos tantas referencias del trial como podemos,vemos una cantidad de saltos necesarios (al menos 4),  llegamos al dword que apuntamos  60FA4C  y buscamos todas las referencias, y el lugar mas vulnerable era ecx
0056E808 | A1 4C FA 60 00            | mov eax, dword ptr ds:[0x60FA4C]                                  |
0056E80D | 41                        | inc ecx                                                           | apuromafo
0056E80E | 90                        | nop                                                               |

el valor nuevo en bytes es 41 90 , dado que toda escritura es al revez desde el depurador es mov word (tamaño de 2 bytes), y los bytes 9041

cuando salta al oep (packed) es asi:
jmp 0x54e4a2

la nueva instruccion quedó asi en el packed:
00690ABC  mov word ptr ds:[0x56E80D], 0x9041     
00690AC5   jmp 0x54E4A2       

eso fue todo, programa ha quedado parcialmente operativo ?, aun no se si hay mas cosas

Saludos Apuromafo

paso 1:
regedit en la rama, (renombre la principal a apuromafo)
luego probe denuevo el programa, y al parecer es que funciona mejor en el packed

pero si o si debe tener sus 2 ramas de regedit
aqui en mi pc me esta funcionando todo operativo (sobre el packed)
espero te sirva en el tuyo
http://rgho.st/6pDNmpLz8

lo baje, coloque la clave, hoy muestra expirado (pasaron los 3 dias desde entonces),  
creo que pille donde cambiar xD

0056E805 | 8B 4D DC                  | mov ecx, dword ptr ss:[ebp - 0x24]                                |
0056E808 | A1 4C FA 60 00            | mov eax, dword ptr ds:[0x60FA4C]                                  |
0056E80D | 41                        | inc ecx                                                           | apuromafo
0056E80E | 90                        | nop                                                               |
0056E80F | 1B C9                     | sbb ecx, ecx                                                      |
0056E811 | 83 E1 38                  | and ecx, 0x38                                                     |
0056E814 | 83 C1 08                  | add ecx, 0x8                                                      |
0056E817 | 09 08                     | or dword ptr ds:[eax], ecx                                        |
0056E819 | 8D 75 D8                  | lea esi, dword ptr ss:[ebp - 0x28]                                |

el cambio de logica es que el valor de ecx trabaja el contador de dias o bien la habilitacion de los botones, solo revise 2 minutos, si el valor no es cero (or ecx), entonces tienes mas tiempo, algo asi asumo el algoritmo, al cambiar con inc ecx, el programa inicia de lo mas bien ya que tiene su clave (trial full ?)



Saludos Apuromafo
 
pd: en caso x que quieras probarlo, aqui va adjunto
http://rgho.st/7wG5ySwrm

aún falta el mensaje que dice que detecta que esta corrupto (que ha sido modificado)

Executable file seems corrupted

casi siempre en programas asi, es mejor dejarlo dentro de una maquina virtual y con el serial activarlo en sus 3 dias,se vuelve a restaurar su maquina virtual y asi ganar 3 dias mas..solo en caso de necesitarlo

en lo que es personal, hay muchisimas formas que puede validar el dia real que está, asi que si atacas a todas las posibilidades, aveces logres hacerle pensar que esta recien en el dia 1 de 1, por siempre

por otro lado, en tu rama de regedit se logra apreciar algunos campos en = (terminacion muy comun en base64 ,quizas además debas ver como funciona ese cifrado en el programa y que valores le da al programa (environment variables u otro)

si no fuera que no manejo mucho tiempo libre, lo hubiera bajado y probado, pero las ideas son las que deben estar para comenzar..
"En tiempos de crisis la imaginación es más efectiva que el intelecto."

Saludos Apuromafo

No quiero fastidiar a tu investigación, pero bueno, a primera vista parece un keygen de private exe protector  (en general conozco muchos packers )

no es algo facil de hacer pero no deberia ser imposible

el mejor escrito respecto a este packer está aqui
http://ricardonarvaja.info.info/WEB/OTROS/HERRAMIENTAS2/L-M-N-O-P/Private_exe_Protector_unpacking_deep0.raro

debes renombrar a .rar (está en inglés) y usa ollydbg +windows xp entre otros.

baje desde youtube para confirmar mi  teoria del packer y mira en Protection id que dice:


-=[ ProtectionID v0.6.6.7 DECEMBER]=-
(c) 2003-2015 CDKiLLER & TippeX
Build 24/12/14-22:48:13
Ready...
Scanning -> C:\Users\PC\Desktop\ST-4905_1Pc\ST-4905.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 3314984 (0329528h) Byte(s)
Compilation TimeStamp : 0x0127F14B -> Thu 13th Aug 1970 11:28:11 (GMT)
[TimeStamp] 0x0127F14B -> Thu 13th Aug 1970 11:28:11 (GMT) | PE Header | - | Offset: 0x00000108 | VA: 0x00400108 | -
[File Heuristics] -> Flag #1 : 00000000000101011000000000100000 (0x00158020)
[Entrypoint Section Entropy] : 7.27 (section #0) ".CODE   " | Size : 0x3202 (12802) byte(s)
[DllCharacteristics] -> Flag : (0x0000) -> NONE
[SectionCount] 5 (0x5) | ImageSize 0x31E57000 (837120000) byte(s)
[!] Private EXE Protector v3.4.0 (or newer) protected !
- Scan Took : 0.344 Second(s) [000000158h (344) tick(s)] [315 of 573 scan(s) done]

tambien dice lo mismo :S

bueno un saludo, no dispongo de mucho tiempo sino seguiría viendo más, pero con esto ya sabes donde buscar

Saludos Apuromafo

te resumo lo visto
el programa usa un stub propio en tls para ejecutar antes de ejecutar verifica que tiene las dll, una vez resuelto eso corre el programa, sin el oep el programa no corre

una vez reparado el oep viene el problema real...las nanomites, este programa tiene mas de 2mil ints3 en el programa y deben ser manejados por el padre, yo no se como solucionarlos, pero no falta el que pueda tener mas experiencia que yo (leer tutoriales al respecto) o usar otra estrategia como el uso de inline

Saludos Apuromafo