首页
社区
课程
招聘
[讨论]The Enigma Protector 1.61 正版最大保护 CrackMe
发表于: 2008-12-29 17:05 15794

[讨论]The Enigma Protector 1.61 正版最大保护 CrackMe

2008-12-29 17:05
15794
The Enigma Protector 版本:1.61 20081222
该程序为一个简单算法结果显示,使用The Enigma Protector正版进行最大保护,谁能给出该程序算法,提示该算法很简单,其实主要是测试AnitDebug.程序里面有自己写的anitDebug.

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (33)
雪    币: 128
活跃值: (20)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
2
有没人能搞定或者脱掉.
2008-12-29 17:06
0
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
1.55都没人搞定呢
2008-12-29 17:20
0
雪    币: 192
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
(ASCII "Enigma_Plugin_OnInit")
2008-12-29 17:29
0
雪    币: 564
活跃值: (12)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
看看这个
手脱The Enigma Protector1.55默认保护
http://www.52pojie.cn/thread-14560-1-3.html
2008-12-29 18:01
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这么快就出1.6了吗?
2008-12-29 19:58
0
雪    币: 128
活跃值: (20)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
7
才更新的.冒似没有见人脱1.6+了
2008-12-29 21:49
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
是你没搞定。。。。。。。。。。。。。。。。。。。。。

1.55 没带注册机制和不带注册机制的脱起来不费劲,看了一下 1.61 的加强了一些,写通用脚本
2008-12-30 01:49
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
如果楼主有正版,可以发一个 1.61 自带注册验证的 例子吗? 我只是想看看,不会做任何事 ,期待
2008-12-30 02:35
0
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
5楼的仁兄谢谢你的'搜索'了,国内四个有名的破解论坛搜索功能我还是会用的,但你列举的那篇小生的文章,我问过他本人了,不要忘记了默认保护.........
8楼的同学,看了你有关enigma的贴子,但不是很明白如何找到注册按钮那个je,不知道能不能详解
我的确是没破了,手上有个用enigma加的壳,而且应该比我自己发的用1.55retail版本加的记事本难度强.....这个壳注册机制是个漏洞,1.61不知道有没有修复
2008-12-30 14:51
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
0045B73B    55              PUSH EBP
0045B73C    8BEC            MOV EBP,ESP
0045B73E    83C4 F0         ADD ESP,-10
0045B741    C7C0 20A64500   MOV EAX,45A620
0045B747    E8 3CB1FAFF     CALL 00406888                            ; EnigmaPr.00406888
0045B74C    A1 10DA4500     MOV EAX,DWORD PTR DS:[45DA10]
0045B751    8B00            MOV EAX,DWORD PTR DS:[EAX]
0045B753    8B15 0CA24500   MOV EDX,DWORD PTR DS:[45A20C]            ; EnigmaPr.0045A258
0045B759    E8 7AB8FFFF     CALL 00456FD8                            ; EnigmaPr.00456FD8
0045B75E    A1 10DA4500     MOV EAX,DWORD PTR DS:[45DA10]
0045B763    8B00            MOV EAX,DWORD PTR DS:[EAX]
0045B765    E8 A6B9FFFF     CALL 00457110                            ; EnigmaPr.00457110
0045B76A    E8 7191FAFF     CALL 004048E0                            ; EnigmaPr.004048E0
0045B76F    8D00            LEA EAX,DWORD PTR DS:[EAX]
0045B771    0000            ADD BYTE PTR DS:[EAX],AL

由于 1.55 和这个对比 ,明显 大家都是 Delphi ,刚脱出来,1.61 的达到了 2 M 多的体积
1.55 (1.2 M ),分明垃圾多了

我自己用 1.55 做的 已经比 上面贴的那个默认记事本加强了(需然同时默认模式)

但它只是把 IAT 加密,我写了个难看的脚本,直接就可以脱下来运行

××××××××××××××××××××××××××××

楼主发的这个他把函数地址都 X 了,把 IAT 地址(替换了地方),但还是可以反过来 X 它的
2008-12-30 16:48
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
还有,请把那个软件地址发出来,我看看
2008-12-30 16:51
0
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
发在论坛里不方便吧
能不能留个邮箱?
2008-12-30 18:24
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
vvvvvvaa@tom.com
2008-12-30 18:49
0
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
你在线啊,我发了邮件,请看一下
2008-12-31 10:43
0
雪    币: 128
活跃值: (20)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
16
想问下你脱了能正常运行否,EDIT里面值还对吗
2008-12-31 11:06
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
17
没什么算法吧
你自己用 TF ' rdtsc 若查到Debugger则显示 00000CCC
若没查到Debugger则显示 00000DDD

好像还有另外一组. 固定值就是了.
2008-12-31 14:54
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
18
fuck掉rdtsc就可以算对了

正常情况下都不一定能稳定跑出那个值

另外,你的这个程序在q3机器上正常情况是很难跑出那个值的
2008-12-31 15:14
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
19
请问 q3 是什么意思?
我一台电脑直接被壳报有 Debugger
另一台也是, but 是真的有Debugger就是了.
2台都是古董机.
2008-12-31 15:20
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
20
q3 是他:
http://bbs.pediy.com/member.php?u=14376

古董机和多核机是rdtsc的噩梦
2008-12-31 15:21
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
21
这个邮箱真强大!!!!!!!
2008-12-31 15:56
0
雪    币: 192
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
风月姐赶紧去发个专题,终结rdtsc anti时代
2008-12-31 20:24
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
23
这壳用这方法来检测调试器, 是他写错还是怎样 ?

NtQueryInformationProcess(GetCurrentProcess, 1Fh, p , 4)
if byte *p = 0 then found_debugger

搞得无论怎样都说有 Debugger 存在, 只能跳过他.

1F 应该是 ZwQueryInformationProcess 在用的吧

有没有人跑LZ的 exe 没出现 "Debugger is found on this machine!"
(直接跑, 不用调试器)
2008-12-31 23:19
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
24
q3放出他的古董机就终结了



用windows 2000就不怕它了
2009-1-1 00:18
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
25
我是win2000

NtQueryInformationProcess( , 7,
test eax,eax

ZwQueryInformationProcess( , 1F, p
if byte *p == 0

这二种, 他刚好交错.
2009-1-1 00:36
0
游客
登录 | 注册 方可回帖
返回
//