Autor Téma: Zkompilovaný exe přes Enigma Protector  (Přečteno 407 krát)

Marek.12

  • Host
Zkompilovaný exe přes Enigma Protector
« kdy: 03-09-2017, 13:18:39 »
Zdravím tu všechný.
Mam exe soubor.
Když ho chcí otevřít přes Resource Tuner nebo ResourceHacker, některé záložky jsou zkomprimované.
https://s26.postimg.org/v55rlm955/vag_en.png

Jsem zjistil že je to zkomprimované přes Enigma Protector
Bude složité to dekomprimovat?
Nenajde se tu nějaký borec co to umí a kdo poradí jak dekomprimovat alespoň jeden soubor v tom exe?
Tu je exe http://leteckaposta.cz/295103601

Online Delfin

  • Hrdina
  • ****
  • Příspěvků: 369
  • Karma: 16
  • SW konzultant
    • Verze Delphi: 2009, Tokyo
    • Ibi Yoyo :)
A co chudinky ovce? Koupíš jim snad plovací vesty? Nebo jim nasadíš chůdy? Ještě lepší, kdybys je zkřížil s delfíny na ovce hopkavé!

Marek.12

  • Host
Re:Zkompilovaný exe přes Enigma Protector
« Odpověď #2 kdy: 03-09-2017, 20:50:09 »
Tak kdo ještě nedělal s assemblerem to asi nedá.  :-\
Kdysi jsem to před 100 lety používal v comodore 64.  ;D

V každem americkem filmu umí každa druha blondýna kreknout cokoliv a nabourat se kamkoliv.  ;)
I  Samantha z hvězdné braný by to určitě dala.  ;)

Ale v české republice se asi nikdo nenajde.   :'(

Ale i snahu pomoct dovedu ocenit, dik.

Offline Vrtule

  • Mladík
  • **
  • Příspěvků: 54
  • Karma: 10
    • Verze Delphi: XE2
    • Jádro systému Windows
Re:Zkompilovaný exe přes Enigma Protector
« Odpověď #3 kdy: 12-09-2017, 19:51:58 »
Spíš bych se zkusil zaměřit na hledání nástrojů, které to umějí rozbalit, než na nalezení někoho, kdo to udělá (ručně). Protože to sebere spoustu času a je to spíš nad rámec klasické pomoci na fórech. Ale ne na všechny packery existuje "protijed". Krom toho, stačí jen lehká modifikace packeru, kterým byl soubor zkomprimován (to se na identifikaci neprojeví) a máte smůlu.

Trochu jsem si hrával s Code Virtualizerem a na něj myslím (na nejnovější verze) nic neexistuje.

Offline JaroB

  • Guru
  • *****
  • Příspěvků: 819
  • Karma: 20
    • Verze Delphi: D2007, XE2, XE6
Re:Zkompilovaný exe přes Enigma Protector
« Odpověď #4 kdy: 13-09-2017, 08:56:37 »
Pokud je nahrávaný komprimovaný program Windows loaderem, tak se nahraje celý do paměti a pak je ho možné přeuložit zpět na disk už rozbalený (umí to některé verze exeinfo pluginu pro total commander). jestliže je to ale nějaká forma protektoru, která má v exe svého dispečera pro nahrávání z resourců, tak to nefunguje (třeba takový měl svého času Orpheus či modernější asprotect)

Online Delfin

  • Hrdina
  • ****
  • Příspěvků: 369
  • Karma: 16
  • SW konzultant
    • Verze Delphi: 2009, Tokyo
    • Ibi Yoyo :)
Re:Zkompilovaný exe přes Enigma Protector
« Odpověď #5 kdy: 13-09-2017, 10:17:00 »
Jak se bude ten protektor chovat kdyz tu apku spustim (CreateProcess), najdu si resource (FindResource) a ten resource zkusim nahrat hostovi? Tohle by mel mit ten protektor osetrene, ale stejne by me to zajimalo :) Mam ted jen 32-bit sandboxy, takze nemam kde testnout :'(
A co chudinky ovce? Koupíš jim snad plovací vesty? Nebo jim nasadíš chůdy? Ještě lepší, kdybys je zkřížil s delfíny na ovce hopkavé!

Marek.12

  • Host
Re:Zkompilovaný exe přes Enigma Protector
« Odpověď #6 kdy: 19-09-2017, 11:44:28 »
Tady je 32 bit verze.
http://leteckaposta.cz/873063712

Mi jeden čipek napsal, že je to lepší udělat přes winhex.

Citace
Normálně spust ten program,vydumpuj ho z pamětí mým oblíbeným editorem (winhex?), uprav sekce tak, aby RAW velikostí a adresy seděli s virtuálním (cffexplorer?)
A upravte první dialog tak, aby se podobal dialogům z jiných programů, které resource hacker může vidět (taktež možná v cff explorer)

winhex a cff explorer už mam.
Vydumpovat z pamětí už také zvládám.
Al to je asi vše  :(

 

S rychlou odpovědí můžete používat BB kódy a emotikony jako v běžném okně pro odpověď, ale daleko rychleji.

Jméno: E-mail:
Ověření:
Kolik je šest plus čtyři (slovem):