[讨论]The Enigma Protector 1.61 正版最大保护 CrackMe-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]The Enigma Protector 1.61 正版最大保护 CrackMe

发表于: 2008-12-29 17:05 15793

[讨论]The Enigma Protector 1.61 正版最大保护 CrackMe

mosker

2008-12-29 17:05

15793

The Enigma Protector 版本:1.61 20081222
该程序为一个简单算法结果显示,使用The Enigma Protector正版进行最大保护,谁能给出该程序算法,提示该算法很简单,其实主要是测试AnitDebug.程序里面有自己写的anitDebug.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

EnigmaProject_EM.rar （581.03kb，245次下载）

收藏・2

免费・0

支持

最新回复 (33) 1 2 ▶
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 2 楼有没人能搞定或者脱掉. 2008-12-29 17:06 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 3 楼 1.55都没人搞定呢 2008-12-29 17:20 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 4 楼 (ASCII "Enigma_Plugin_OnInit") 2008-12-29 17:29 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 5 楼看看这个手脱The Enigma Protector1.55默认保护 http://www.52pojie.cn/thread-14560-1-3.html 2008-12-29 18:01 0
kpeace 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	kpeace 6 楼这么快就出1.6了吗？ 2008-12-29 19:58 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 7 楼才更新的.冒似没有见人脱1.6+了 2008-12-29 21:49 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 8 楼是你没搞定。。。。。。。。。。。。。。。。。。。。。 1.55 没带注册机制和不带注册机制的脱起来不费劲，看了一下 1.61 的加强了一些，写通用脚本 2008-12-30 01:49 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼如果楼主有正版，可以发一个 1.61 自带注册验证的例子吗？我只是想看看，不会做任何事，期待 2008-12-30 02:35 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 10 楼 5楼的仁兄谢谢你的'搜索'了,国内四个有名的破解论坛搜索功能我还是会用的,但你列举的那篇小生的文章,我问过他本人了,不要忘记了默认保护......... 8楼的同学,看了你有关enigma的贴子,但不是很明白如何找到注册按钮那个je,不知道能不能详解我的确是没破了,手上有个用enigma加的壳,而且应该比我自己发的用1.55retail版本加的记事本难度强.....这个壳注册机制是个漏洞,1.61不知道有没有修复 2008-12-30 14:51 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 11 楼 0045B73B 55 PUSH EBP 0045B73C 8BEC MOV EBP,ESP 0045B73E 83C4 F0 ADD ESP,-10 0045B741 C7C0 20A64500 MOV EAX,45A620 0045B747 E8 3CB1FAFF CALL 00406888 ; EnigmaPr.00406888 0045B74C A1 10DA4500 MOV EAX,DWORD PTR DS:[45DA10] 0045B751 8B00 MOV EAX,DWORD PTR DS:[EAX] 0045B753 8B15 0CA24500 MOV EDX,DWORD PTR DS:[45A20C] ; EnigmaPr.0045A258 0045B759 E8 7AB8FFFF CALL 00456FD8 ; EnigmaPr.00456FD8 0045B75E A1 10DA4500 MOV EAX,DWORD PTR DS:[45DA10] 0045B763 8B00 MOV EAX,DWORD PTR DS:[EAX] 0045B765 E8 A6B9FFFF CALL 00457110 ; EnigmaPr.00457110 0045B76A E8 7191FAFF CALL 004048E0 ; EnigmaPr.004048E0 0045B76F 8D00 LEA EAX,DWORD PTR DS:[EAX] 0045B771 0000 ADD BYTE PTR DS:[EAX],AL 由于 1.55 和这个对比，明显大家都是 Delphi ，刚脱出来，1.61 的达到了 2 M 多的体积 1.55 （1.2 M ），分明垃圾多了我自己用 1.55 做的已经比上面贴的那个默认记事本加强了（需然同时默认模式）但它只是把 IAT 加密，我写了个难看的脚本，直接就可以脱下来运行 ×××××××××××××××××××××××××××× 楼主发的这个他把函数地址都 X 了，把 IAT 地址（替换了地方），但还是可以反过来 X 它的 2008-12-30 16:48 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 12 楼还有，请把那个软件地址发出来，我看看 2008-12-30 16:51 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 13 楼发在论坛里不方便吧能不能留个邮箱? 2008-12-30 18:24 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 14 楼 vvvvvvaa@tom.com 2008-12-30 18:49 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 15 楼你在线啊,我发了邮件,请看一下 2008-12-31 10:43 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 16 楼想问下你脱了能正常运行否,EDIT里面值还对吗 2008-12-31 11:06 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 17 楼没什么算法吧你自己用 TF ' rdtsc 若查到Debugger则显示 00000CCC 若没查到Debugger则显示 00000DDD 好像还有另外一组. 固定值就是了. 2008-12-31 14:54 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 18 楼 fuck掉rdtsc就可以算对了正常情况下都不一定能稳定跑出那个值另外，你的这个程序在q3机器上正常情况是很难跑出那个值的 2008-12-31 15:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 19 楼请问 q3 是什么意思? 我一台电脑直接被壳报有 Debugger 另一台也是, but 是真的有Debugger就是了. 2台都是古董机. 2008-12-31 15:20 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 20 楼 q3 是他： http://bbs.pediy.com/member.php?u=14376 古董机和多核机是rdtsc的噩梦 2008-12-31 15:21 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 21 楼这个邮箱真强大！！！！！！！ 2008-12-31 15:56 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 22 楼风月姐赶紧去发个专题，终结rdtsc anti时代 2008-12-31 20:24 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 23 楼这壳用这方法来检测调试器, 是他写错还是怎样 ? NtQueryInformationProcess(GetCurrentProcess, 1Fh, p , 4) if byte *p = 0 then found_debugger 搞得无论怎样都说有 Debugger 存在, 只能跳过他. 1F 应该是 ZwQueryInformationProcess 在用的吧有没有人跑LZ的 exe 没出现 "Debugger is found on this machine!" (直接跑, 不用调试器) 2008-12-31 23:19 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 24 楼 q3放出他的古董机就终结了用windows 2000就不怕它了 2009-1-1 00:18 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 25 楼我是win2000 NtQueryInformationProcess( , 7, test eax,eax ZwQueryInformationProcess( , 1F, p if byte *p == 0 这二种, 他刚好交错. 2009-1-1 00:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mosker

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 2 楼有没人能搞定或者脱掉. 2008-12-29 17:06 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 3 楼 1.55都没人搞定呢 2008-12-29 17:20 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 4 楼 (ASCII "Enigma_Plugin_OnInit") 2008-12-29 17:29 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 5 楼看看这个手脱The Enigma Protector1.55默认保护 http://www.52pojie.cn/thread-14560-1-3.html 2008-12-29 18:01 0
kpeace 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	kpeace 6 楼这么快就出1.6了吗？ 2008-12-29 19:58 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 7 楼才更新的.冒似没有见人脱1.6+了 2008-12-29 21:49 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 8 楼是你没搞定。。。。。。。。。。。。。。。。。。。。。 1.55 没带注册机制和不带注册机制的脱起来不费劲，看了一下 1.61 的加强了一些，写通用脚本 2008-12-30 01:49 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼如果楼主有正版，可以发一个 1.61 自带注册验证的例子吗？我只是想看看，不会做任何事，期待 2008-12-30 02:35 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 10 楼 5楼的仁兄谢谢你的'搜索'了,国内四个有名的破解论坛搜索功能我还是会用的,但你列举的那篇小生的文章,我问过他本人了,不要忘记了默认保护......... 8楼的同学,看了你有关enigma的贴子,但不是很明白如何找到注册按钮那个je,不知道能不能详解我的确是没破了,手上有个用enigma加的壳,而且应该比我自己发的用1.55retail版本加的记事本难度强.....这个壳注册机制是个漏洞,1.61不知道有没有修复 2008-12-30 14:51 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 11 楼 0045B73B 55 PUSH EBP 0045B73C 8BEC MOV EBP,ESP 0045B73E 83C4 F0 ADD ESP,-10 0045B741 C7C0 20A64500 MOV EAX,45A620 0045B747 E8 3CB1FAFF CALL 00406888 ; EnigmaPr.00406888 0045B74C A1 10DA4500 MOV EAX,DWORD PTR DS:[45DA10] 0045B751 8B00 MOV EAX,DWORD PTR DS:[EAX] 0045B753 8B15 0CA24500 MOV EDX,DWORD PTR DS:[45A20C] ; EnigmaPr.0045A258 0045B759 E8 7AB8FFFF CALL 00456FD8 ; EnigmaPr.00456FD8 0045B75E A1 10DA4500 MOV EAX,DWORD PTR DS:[45DA10] 0045B763 8B00 MOV EAX,DWORD PTR DS:[EAX] 0045B765 E8 A6B9FFFF CALL 00457110 ; EnigmaPr.00457110 0045B76A E8 7191FAFF CALL 004048E0 ; EnigmaPr.004048E0 0045B76F 8D00 LEA EAX,DWORD PTR DS:[EAX] 0045B771 0000 ADD BYTE PTR DS:[EAX],AL 由于 1.55 和这个对比，明显大家都是 Delphi ，刚脱出来，1.61 的达到了 2 M 多的体积 1.55 （1.2 M ），分明垃圾多了我自己用 1.55 做的已经比上面贴的那个默认记事本加强了（需然同时默认模式）但它只是把 IAT 加密，我写了个难看的脚本，直接就可以脱下来运行 ×××××××××××××××××××××××××××× 楼主发的这个他把函数地址都 X 了，把 IAT 地址（替换了地方），但还是可以反过来 X 它的 2008-12-30 16:48 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 12 楼还有，请把那个软件地址发出来，我看看 2008-12-30 16:51 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 13 楼发在论坛里不方便吧能不能留个邮箱? 2008-12-30 18:24 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 14 楼 vvvvvvaa@tom.com 2008-12-30 18:49 0
eddieson 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	eddieson 15 楼你在线啊,我发了邮件,请看一下 2008-12-31 10:43 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 16 楼想问下你脱了能正常运行否,EDIT里面值还对吗 2008-12-31 11:06 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 17 楼没什么算法吧你自己用 TF ' rdtsc 若查到Debugger则显示 00000CCC 若没查到Debugger则显示 00000DDD 好像还有另外一组. 固定值就是了. 2008-12-31 14:54 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 18 楼 fuck掉rdtsc就可以算对了正常情况下都不一定能稳定跑出那个值另外，你的这个程序在q3机器上正常情况是很难跑出那个值的 2008-12-31 15:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 19 楼请问 q3 是什么意思? 我一台电脑直接被壳报有 Debugger 另一台也是, but 是真的有Debugger就是了. 2台都是古董机. 2008-12-31 15:20 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 20 楼 q3 是他： http://bbs.pediy.com/member.php?u=14376 古董机和多核机是rdtsc的噩梦 2008-12-31 15:21 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 21 楼这个邮箱真强大！！！！！！！ 2008-12-31 15:56 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 22 楼风月姐赶紧去发个专题，终结rdtsc anti时代 2008-12-31 20:24 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 23 楼这壳用这方法来检测调试器, 是他写错还是怎样 ? NtQueryInformationProcess(GetCurrentProcess, 1Fh, p , 4) if byte *p = 0 then found_debugger 搞得无论怎样都说有 Debugger 存在, 只能跳过他. 1F 应该是 ZwQueryInformationProcess 在用的吧有没有人跑LZ的 exe 没出现 "Debugger is found on this machine!" (直接跑, 不用调试器) 2008-12-31 23:19 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 24 楼 q3放出他的古董机就终结了用windows 2000就不怕它了 2009-1-1 00:18 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 25 楼我是win2000 NtQueryInformationProcess( , 7, test eax,eax ZwQueryInformationProcess( , 1F, p if byte *p == 0 这二种, 他刚好交错. 2009-1-1 00:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复