Exe empacado con Enigma Protector imposible poner breakpoints

Iniciado por rantamplan9556, 6 Noviembre 2019, 11:08 AM

0 Miembros y 1 Visitante están viendo este tema.

rantamplan9556

Estoy intentando debugear un exe que está empacado con Enigma Protector usando X32dbg con el plugin ScyllaHide

Desde el depurador el programa se ejecuta perfectamente sin problema alguno, pero cuando intento poner un breakpoint por ejemplo en <ReadFile> el programa rompe y te sale el mensaje "El programa dejo de funcionar correctamente xxxx" y solo deja la opción de cerrar programa
Aunque estoy intentando aprender como hacerlo no tengo por el momento los conocimientos necesarios para poder desempacar y eliminar el enigma me pregunto si es posible de alguna forma poder debugear el exe protegido y colocar breakpoints sin que se rompa

apuromafo CLS

enigma es un protector, sin embargo hay scripts y información en foros ingleses, no comparto como se desempaca, porque no he estudiado este packer, pero de que hay información la hay, favor intentar aprender mas, por otro lado no solo existe bp, tambien puedes usar hw bp, saludos Apuromafo

pd: en mi caso siempre que tenia un enigma , pedia ayuda a gautam, o bien leia por tuts4you
un titulo:
Enigma Script LCF Shadow By Giv  4.xx -5.xx-5.5


Saludos Apuromafo
pd: desempacar, es complejo, es un packer que lleva años y lleva muchas versiones, aveces puedes ir estudiando de menor a mayor (desde la 1 a la 3 se parecen mucho, ya de la 4 hacia arriba llevan vm compleja...)

rantamplan9556

Gracias apuromafo por tu respuesta

Cuantas mas vueltas le doy a esto y mas intento aprender mi cacao mental va en aumento
Continuo buscando y leyendo sin parar en inet sobre enigma y investigo sobre el exe comprimido objeto de mis quebraderos de cabeza

Por si sirve de algo aporto mas datos sobre el tema
Utilizando el setup original del programa en cuestion lo instalé en mi disco duro
Este programa arranca, pero me da un error de que no encuentra el certificado de licencia y por tanto la licencia es inválida
Para que el programa funciona hay que reemplazar el exe original por el crackeado y empacado con enigma y además de esto reemplazar un archivo java por otro que incluye el crack en una carpeta, además de un archivo llamado license.dat que tambien incluye el crack
Una vez hecho esto hago doble click sobre el exe crackeado y este me da una especie de serial separado por guiones, que me da que es un calculo que hace el enigma y usando esta ristra de numeros arranco otro programita tambien incluido en el crack donde tengo que poner un nombre y este serial separado por guiones.
Una vez hecho esto le doy a calcular y se ve que calcula algo como un sha por su aspecto y lo incluye en el registro de windows
Es ahora al fin cuando arranca el prgrama crackeado
Por todo lo anterior esto tiene toda la pinta de ser algo similar al Themida o Winlicense que generaba un programita donde se generaba un archivito licencia unica para un pc

Utilizando el OllyDump he hecho un volcado de memoria y con un editor hexadecimal he visto en ascii The Enigma Protector version 1.31

No se si todo el tocho anterior servirá para aclarar algo, pero dado el cacao mental que tengo cualquier ayuda seria bien recibida y si es posible algun consejo de apuromafo o gautam

Perdon por el tocho

Saludos


xor.pt

Probablemente alguien hecho y protegido con Enigma.
¿Está protegido el exe original?
Si no, mejor trabaje en el crack desde cero.
En el binario original, que tratar con el Enigma.
Saludos.

rantamplan9556

Hola

Gracias por tu respuesta

Efectivamente el exe original no está empaquetado y arranca perfectamente. Eso si, solo hasta que sale el mensaje de que el certificado no es válido y por tanto la licencia tampoco

El crackeado trae un certificado .jar modificado para que funcione con la licencia genérica que incluye

Continuo investigando como hacer para saltarme ese tema de la licencia, pero me da que voy a tener que averiguar como hace el empaquetado para saltarse la comprobación

Me da que en el propio exe incluye dos programas. Uno el exe original y otro para capturar ciertas llamadas de este al registro y una vez que el exe original lee el entorno donde está instalado ,( procesador, disco duro, placa base, etc), reemplaza en memoria estos valores leidos por los suyos para que el certificado que incluye sea válido
Pero dado que este está comprimido con enigma no puedo verlo

Por tanto no me queda otra que continuar investigando y aprendiendo mas sobre este mundo de la ingenieria inversa y agradeceros a quienes me dais vuestra opinión y consejos porque esto siempre anima a continuar cuando uno se estrella una y otra vez

Repito las gracias

Saludos