Mensajes

te lo explicare facil y bonito, tu programa debes instalarlo para que corra bien

sigue todas las instrucciones que me has puesto, solo que al lado del exe principal (packed con armadillo), colocas el unpacked y sin necesidad de depurador necesitas editar nada...
directamente en los editores de recursos..

ahora bien

ahi luego modificas a gusto, recuerda que el ejecutable necesita por defecto haber instalado las runtimes, sin las existencias de esas no corre, en una maquina virtual u otra puede que te falten dll o bien aun no sabes manejar las excepciones de wow64
en tu olly

por otro lado si es posible, intenta usar mas x64dbg si estas usando windows 7 en adelante, para usar ollydbg en esos sistemas operativos debes tener primero el plugin que fixea las excepciones propiamente tal del wow64 ...

en principio es como http://foro.elhacker.net/ingenieria_inversa/tutorial_usar_cheat_engine_para_modificar_juegos_inyeccion_de_codigo-t382181.0.html

http://foro.elhacker.net/ingenieria_inversa/tutorial_cheat_engine_nivel_avanzado_tutorial_completo-t413372.0.html

favor verlos

tuts4you..en general se dice que es mas facil crear un inline para vmprotect que desempacarlo.. hay herramientas automaticas para unpack como zeus (para ollydbg), otras como vmprotect 1.4 ultra unpacker de lcf, entre otros..

en lo personal prefiero personas que sepan desempacar ejemplo sound (ret), y poder preguntarles en caso de dudas, o lcf-at

Saludos Apuromafo

los binarios exe, msi y otros son llamados nativos, dado que el codigo es hecho directamente por el ensamblador provocando un codigo no legible, generar el codigo original es prácticamente imposible en su teoria, en la práctica se usan depuradores y tambien alguna herramienta de análisis estáticos que permiten entender su funcionamiento
el más famoso en su tipo diria que es IDA (de hexrays)

conforme mas lenguajes sepas mas sabes que hacer ...no es lo mismo depurar archivos .net donde son codigos interpretados (como una maquina virtual), en lenguaje intermedio (.il) 

lo haré explicito con un exe cualquiera
tengo 2 opciones o es x86 o es x64, luego verifico  yo suelo usar pid protection id, rdg packer detector, que usan firmas para analizar el encabezado y parte del ejecutable , si me indica que es .net uso directamente dnspy o alguna similar, si es un nativo uso x64dbg/x32dbg/ollydbg/IDA entre otros


ahora bien, hablas de funciones, eso se llaman parser?, bueno un parser de xml seria asi
https://support.microsoft.com/es-cl/help/307548/how-to-read-xml-from-a-file-by-using-visual-c


si ves kms pico o los activadores para office, son hechos en .net asi que puedes ver como ejecuta o carga diferentes cosas para ejecutables

si eres mas de ver en google, es dependiendo de lo que necesites, ejecutarlos
https://social.msdn.microsoft.com/Forums/es-ES/d28234b6-4d8f-4ad7-8660-2a284afa6c73/ejecutar-exe-desde-c?forum=vcses

editor hexadecimal
https://www.codeproject.com/Articles/11705/Hex-Editor-in-c

etc


en lo particular yo haria un gui para subir el archivo a https://retdec.com/decompilation/
y lo demas es cosa de cada uno.::


Saludos Apuromafo

pues en general todo programa tiene sus herramientas,
bajado el programa (main) descompreso con 7zip, ,luego instalado el de accesorios..al parecer no tiene exes o es la mascara..? bueno
comienzo sabiendo la version:(armaversion.osc) disponible en mi github

en general es de los pocos armadillo que no usa debugblocker :O

---------------------------
MSG ODbgScript
---------------------------
Armadillo Version = 9.64
---------------------------
Aceptar   Cancelar  
---------------------------


aqui te presento un log como se ve desempacando.
OS--> Microsoft, 64-bit (build
9200)
<------- 08/15/2017 02:21:12 ------->
Loading target:
rpg2003.exe
Process ID: 18B8
Processing target...
==========================================
IAT Fixed Redirection Disabled!
VM address: 042BE290
VM variable: 0435CA20
==========================================
IAT Variable Redirection Disabled!
VM address: 04219CED
VM variable: 04345284
==========================================
No splices found.
==========================================
Dumping target...
Dump done!
Saved to: rpg2003_unpacked.exe
==========================================
Rebuilding Imports...
Rebuilding Imports completed
Return code: 0
Now, you should test your target. Good luck
==========================================
IAT RVA: 001931A4
IAT Size: 000007F8
OEP VA: 00406CEC
OEP RVA: 00006CEC
OEP call return VA: 005B7CD3
Exit Process ID: 18B8


en general esto significa que ha desempacado, pero que tenga un return va significa que no pilló el oep real..
solo basta ejecutar el programa en el depurador (sin que sea detectado) bp en CreateThread, al retornar..buscar mas abajo el cal ebx (es casi a 2 scroll de abajo)
el oep real es
005B7000 | E9 BB 0C 00 00            | jmp rpg2003.5B7CC0                             |
este salta a otra direccion eso si::

a
005B7CC0 | 55                        | push ebp                                       |
005B7CC1 | 8B EC                     | mov ebp, esp                                   |
005B7CC3 | 83 EC 04                  | sub esp, 0x4                                   |
005B7CC6 | 53                        | push ebx                                       |
005B7CC7 | 56                        | push esi                                       |
005B7CC8 | 57                        | push edi                                       |
005B7CC9 | 68 70 7D 5B 00            | push rpg2003_unpacked_1b7cc0 _no oep.5B7D70    | 5B7D70:"kernel32"
005B7CCE | E8 19 F0 E4 FF            | call <rpg2003_unpacked_1b7cc0 _no oep.GetModul |
005B7CD3 | 68 79 7D 5B 00            | push rpg2003_unpacked_1b7cc0 _no oep.5B7D79    | 5B7D79:"VirtualProtect"
005B7CD8 | 50                        | push eax                                       |
005B7CD9 | E8 1E F0 E4 FF            | call <rpg2003_unpacked_1b7cc0 _no oep.GetProcA |
005B7CDE | 8D 55 FC                  | lea edx, dword ptr ss:[ebp - 0x4]              |
005B7CE1 | 52                        | push edx                                       |
005B7CE2 | 6A 40                     | push 0x40                                      |
005B7CE4 | 68 00 00 10 00            | push 0x100000                                  |
005B7CE9 | 68 00 70 5B 00            | push rpg2003_unpacked_1b7cc0 _no oep.5B7000    |
005B7CEE | FF D0                     | call eax                                       |
005B7CF0 | 68 88 7D 5B 00            | push rpg2003_unpacked_1b7cc0 _no oep.5B7D88    | 5B7D88:"ultimate_eb.dll"
005B7CF5 | E8 BA F0 E4 FF            | call <rpg2003_unpacked_1b7cc0 _no oep.LoadLibr |
005B7CFA | 85 C0                     | test eax, eax                                  |
005B7CFC | 0F 85 0A 00 00 00         | jne rpg2003_unpacked_1b7cc0 _no oep.5B7D0C     |
005B7D02 | 68 98 7D 5B 00            | push rpg2003_unpacked_1b7cc0 _no oep.5B7D98    | 5B7D98:"The required file \"ultimate_eb.dll\" could not be found! You might need to reinstall RPG Maker 2003."


en general, valida que esten las dll del programa, antes de llegar a ejecutar propiamente tal el programa...asi que si lo cambio a ese entrypoint (voilá...corre unpacked), se puede cambiar tambien al jmp lugar, pero siento que le queda mejor ese oep xD

lo comprimi en winrar , asi que espero que te sirva
http://rgho.st/7Hlv2Bx76


insisto, no he visto nada mas que quitar el packer..

se ve que es un delphi y puedes por lo cual usar idr , pexplorer, resource hacker y otros para editar

Saludos Apuromafo


PD: para el RPGMV de la misma compañia (rpg maker mv o algo asi) tambien tiene armadillo, el procedimiento es el mismo
OS--> Microsoft, 64-bit (build
9200)
<------- 08/15/2017 03:23:51 ------->
Loading target:
RPGMV.exe
Process ID: 1938
EnumWindows: ArmaGeddon v2.2 for WinXP (32-bit final)
EnumWindows: armag 2.2 - Everything
EnumWindows: Armadillo Find Protected 2.1
Processing target...
==========================================
IAT Fixed Redirection Disabled!
VM address: 058DE290
VM variable: 0597CA20
==========================================
IAT Variable Redirection Disabled!
VM address: 05839CED
VM variable: 05965284
==========================================
No splices found.
==========================================
Dumping target...
Dump done!
Saved to: unpacked.exe
==========================================
Rebuilding Imports...
Rebuilding Imports completed
Return code: 0
Now, you should test your target. Good luck
==========================================
IAT RVA: 00023000
IAT Size: 00000718
OEP VA: 0041F68F
OEP RVA: 0001F68F
OEP call return VA: 05867F5A
Exit Process ID: 1938

el oep

si usas telegram, en una de esas puedes conocer un poco mas el tema de tener al alcance hasta hablar con ricardonarvaja..

en lo personal, no es engargolar o juntar mas cursos, sino practicarlos y leerlos, hoy en dia practico con x64dbg/x32dbg y no tiene nada que envidiarle a ollydbg, ademas hay tutoriales nuevos para usar IDA

estoy seguro que lo lograrás una vez logres entender un poco mas sobre lo que haces

Saludos Apuromafo
pd:la clave no es encontrar los strings, sino entender donde los crea, como se pueden evitar o que cosas se pueden digirir mejor

enigma protector en general es un buen protector comercial, es sugerible que mas que enviar un packed a desproteger , estudies y veas como desempacar (hay script) y tutoriales en tuts4you, que están en inglés al respecto, son poco o nada lo que comentan, pero algunos lo tienen como buen tema...

dado que no estoy interesado en desempacar enigmas  te puedo comentar que todos han sido tarde o temprano desempacados ...asi que si te lo propones demás que lo lograrás, saludos

se llaman parchadores , que ademas pueden hacer loader, los 2 mas utiles son dup (diablo ultimate patcher ) y at4re patcher

el at4re lo pillas en exetool
https://forum.exetools.com/showpost.php?p=103611&postcount=36
o en aore
http://www.aoreteam.com/vb/showthread.php?t=11404

respecto el dup, es preferible que lo busques por google, hay muchos lugares dispersos jeje

Saludos Apuromafo

es mucho mas facil que uses armaggedon en windows xp  para desempacarlo, a que lo desempaques...
en general yo podria desempacarlo, pero tampoco se que me pueda enfrentar..por el poco tiempo que pillo armadillos jeje

una vez desempacado, es editar a gusto lo que gustes..Si tu idea es solo inlinear puedes usar tools como la creada por mr.exodia llamada akt (armadillo keygen tool, osea tambien puedes keygenear..) pero es tema de conocimiento

saludos Apuromafo
pd: he escrito algunos escritos de armadillo , pero no he apuntado todo aun por temas de tiempo

aqui te dejo una de ejemplo
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1501-1600/1576-Armadillo%209%20flowcode%20Tute%2017-07-15%20by%20Apuromafo.docx

hackman en principio  es un set de herramientas
Hackman Suite is a multi-module all purpose debugging tool. It includes a hex editor, a disassembler, a template editor, a hex calculator and other everyday useful tools to assist programmers and code testers with the most common tasks.

nada que con entender como funciona ciertas herramientas puedes complementar sin lio, ejeplo buscar un editor hexadecimal, depurador (como x32dbg entre otros)..etc

Saludos Apuromafo