绕过 Enigma Protector 2.xx 注册保护

最新推荐文章于 2024-02-01 10:58:04 发布
最新推荐文章于 2024-02-01 10:58:04 发布
阅读量2.5k 收藏
点赞数
分类专栏: 资源共享 文章标签: hook patch dll 多线程 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codegame/article/details/6067065
版权

【文章标题】: 绕过 Enigma Protector 2.xx 注册保护
【文章作者】: CodeGame
【作者邮箱】: CodeGame@Yeah.Net
【作者主页】: http://blog.csdn.net/codegame
【作者QQ号】: 441673604
【软件名称】: windows 计算器
【软件大小】: 669kb
【下载地址】: windows xp 系统自带
【加壳方式】: The Enigma Protector 2.20 正版
【保护方式】: The Enigma Protector  2.20 正版
【编写语言】: VC
【使用工具】: OllyDBG
【操作平台】: Windows XP sp3
【软件介绍】: 1+1=2
【作者声明】: 文笔菜的很请谅解,只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  参考了 http://unpack.cn/thread-59541-1-2.html 定位方式,迅速定位到了 Enigma 注册授权位置:
  010F2CBF    E8 CC76F3FF     call calc_em.0102A390
  010F2CC4    8B45 E8         mov eax,dword ptr ss:[ebp-0x18]
  010F2CC7    E8 FC78F3FF     call calc_em.0102A5C8
  010F2CCC    50              push eax
  010F2CCD    E8 DE90FFFF     call calc_em.010EBDB0     ; Check Registration Key Info
  010F2CD2    85C0            test eax,eax              ; Eax =1 Success!
  010F2CD4    0F95C0          setne al
  010F2CD7    8B15 98FE1001   mov edx,dword ptr ds:[0x110FE98]    
  010F2CDD    8B12            mov edx,dword ptr ds:[edx]
  010F2CDF    8842 50         mov byte ptr ds:[edx+0x50],al     ;<<<跟踪此处[edx+0x50]内存变量
  010F2CE2    A1 98FE1001     mov eax,dword ptr ds:[0x110FE98]

  
  这里010EBDB0 这个CALL负责检测注册码是否正确,正确返回1 否则返回0,并把检测结果直接写入:[edx+0x50]内,于是再继续跟踪:[edx+0x50]的地址发现是在这个地方进行检测:
01162B2D    8D049B          lea eax,dword ptr ds:[ebx+ebx*4]
01162B30    8B5486 10       mov edx,dword ptr ds:[esi+eax*4+0x10]
01162B34    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]           ; HookIt eax=5 and edx=1 and ebx=1 and [ebp-0x4]=0
01162B37    E8 30F8FFFF     call calc_em.0116236C
01162B3C    8945 F4         mov dword ptr ss:[ebp-0xC],eax
01162B3F    E9 09010000     jmp calc_em.01162C4D
01162B44    8D049B          lea eax,dword ptr ds:[ebx+ebx*4]

0116236C的CALL负责读取检测上面写入的标志,但这个位置由于是公用函数N多代码进行调用直接补丁肯定行不通再加上Enigma有多线程内联补丁保护因此不能直接硬写此处代码,经过跟踪分析发现执行到01162B34  处并且eax=5 and edx=1 and ebx=1 and [ebp-0x4]=0此时做补丁是可行的,所以我们采用了硬件断点HOOK来判断实现。
  
  1:定位PatchAddress:
  
  先看此块内存信息:
   地址=01026000
   大小=002F4000 (3096576.)
   属主=calc_em  01000000
   区段=
   类型=Imag 01001002
   访问=R
   初始访问=RWE
  
  这块内存实际是Enigma的内置DLL授权模块,此块DLL是被加密压缩过,因此也无法直patch,通过对比加不同的程序发现这块区域解压后的代码都不变:
 $+13CB2D >  8D049B          lea eax,dword ptr ds:[ebx+ebx*4]
$+13CB30 >  8B5486 10       mov edx,dword ptr ds:[esi+eax*4+0x10]
$+13CB34 >  8B45 FC         mov eax,dword ptr ss:[ebp-0x4]           ; HookIt eax=5 and edx=1 and ebx=1 and [ebp-0x4]=0
$+13CB37 >  E8 30F8FFFF     call calc_em.0116236C
$+13CB3C >  8945 F4         mov dword ptr ss:[ebp-0xC],eax
$+13CB3F >  E9 09010000     jmp calc_em.01162C4D
$+13CB44 >  8D049B          lea eax,dword ptr ds:[ebx+ebx*4]

  
  因此PatchAddress = BaseAddress+PatchOffsetAddress,通过上面分析得到 Enigma Protector 2.20 的PatchOffsetAddress =  0x13CB34,不同版本的PatchOffsetAddress 有可能不一样,BaseAddress 的获取就更简单了,直接搜索区段判断VirtualSize为0x002F4000的VirtualAddress+GetModuleHandle(0)即为BaseAddress,整理公式PatchAddress = GetModuleHandle(0)+VirtualAddress+0x13CB34 定位完毕。
  
  2.硬件Hook:
  这里我们采用AddVectoredExceptionHandler向量化异常API来实现,具体细节请自己google,重点讲下Hook触发后的过程
由于我们Patch点为
$+13CB34 >  8B45 FC         mov eax,dword ptr ss:[ebp-0x4]           ; HookIt eax=5 and edx=1 and ebx=1 and [ebp-0x4]=0
$+13CB37 >  E8 30F8FFFF     call calc_em.0116236C
因此需要先判断eax,edx,ebx 和 [ebp-0x4]地址内的地址变量:

  if (pException^.ContextRecord^.Eax = 5) and (pException^.ContextRecord^.Ebx = 1)  and (pException^.ContextRecord^.Edx = 1) and (pdword(pdword(pException^.ContextRecord^.Ebp - 4)^)^ = 0) then
  begin
    pdword(pdword(pException^.ContextRecord^.Ebp - 4)^)^ := 1;
  end;
  pException^.ContextRecord^.Eax := pdword(pException^.ContextRecord^.Ebp - 4)^;
  PException^.ContextRecord^.Eip := PException^.ContextRecord^.Eip + 3; //Next


3.整体封装:
这里我们采用是把硬件HOOK和处理的过程都封装成DLL 然后导出一个GoPatch的函数供目标程序调用,那么如何使目标程序加载并执行我们的GoPatch函数呢, 办法很多比如注入,远线程等等。。这里我采用了劫持EIP的方式使目标程序加载我们的DLL并执行GoPatch函数。

到这里已经全部完成,运行程序直接拖拽需要Patch的exe到窗口即可直接绕过Enigma 的注册保护直接执行。
附件为跳保护程序和计算器DEMO,理论上使用2.xx版本加壳的程序都适用。

--------------------------------------------------------------------------------
【经验总结】
  该方法很明显的暴露了Enigma的不足,建议把这些代码都VM了并且加入硬件断点检测。
  此方法我已经通知了Enigma的作者相信他会在下个版本修正:)
 
--------------------------------------------------------------------------------
【版权声明】: 转载请注明作者并保持文章的完整, 谢谢!

                                                       2010年12月10日 10:01:33

 

EnigmaPatch下载:http://download.csdn.net/source/2898088

Reverse.King
关注
专栏目录
Enigma Protector 2.xx 注册保护
12-10
【文章标题】: 绕过 Enigma Protector 2.xx 注册保护 【文章作者】: CodeGame 【作者邮箱】: CodeGame@Yeah.Net 【作者主页】: http://blog.csdn.net/codegame 【作者QQ号】: 441673604 【软件名称】: windows 计算器 【软件大小】: 669kb 【下载地址】: windows xp 系统自带 【加壳方式】: The Enigma Protector 2.20 正版 【保护方式】: The Enigma Protector 2.20 正版 【编写语言】: VC 【使用工具】: OllyDBG 【操作平台】: Windows XP sp3 【软件介绍】: 1+1=2 【作者声明】: 文笔菜的很请谅解,只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】 参考了 http://unpack.cn/thread-59541-1-2.html 定位方式,迅速定位到了 Enigma 注册授权位置: 010F2CBF E8 CC76F3FF call calc_em.0102A390 010F2CC4 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] 010F2CC7 E8 FC78F3FF call calc_em.0102A5C8 010F2CCC 50 push eax 010F2CCD E8 DE90FFFF call calc_em.010EBDB0 ; Check Registration Key Info 010F2CD2 85C0 test eax,eax ; Eax =1 Success! 010F2CD4 0F95C0 setne al 这里010EBDB0 这个CALL负责检测注册码是否正确,正确返回1 否则返回0,由于 Enigma多线程内联补丁保护因此不能 直接硬写此处代码,所以我们采用了硬件断点HOOK来实现。 1:定位PatchAddress: 先看此块内存信息: 地址=01026000 大小=002F4000 (3096576.) 属主=calc_em 01000000 区段= 类型=Imag 01001002 访问=R 初始访问=RWE 这块内存实际是Enigma的内置DLL授权模块,此块DLL是被加密压缩过,因此也无法直接patch,通过对比加不同的程序 发现这块区域解压后的代码都不变: $+CCCBF > E8 CC76F3FF call calc_em.0102A390 $+CCCC4 > 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] $+CCCC7 > E8 FC78F3FF call calc_em.0102A5C8 $+CCCCC > 50 push eax $+CCCCD > E8 DE90FFFF call calc_em.010EBDB0 ; Check Registration Key Info $+CCCD2 > 85C0 test eax,eax ; Eax =1 Success! $+CCCD4 > 0F95C0 setne al 因此PatchAddress = BaseAddress+PatchOffsetAddress,通过上面分析得到 Enigma Protector 2.20 的 PatchOffsetAddress = 0xCCCD2 ,不同版本的PatchOffsetAddress 有可能不一样,BaseAddress 的获取就更简单了, 直接搜索区段判断VirtualSize为0x002F4000的VirtualAddress+GetModuleHandle(0)即为BaseAddress,整理公式: PatchAddress = GetModuleHandle(0)+VirtualAddress+0xCCCD2 定完毕。 2.硬件Hook: 这里我们采用AddVectoredExceptionHandler向量化异常API来实现,具体细节请自己google,重点讲下Hook触发后的过程 由于我们Patch点为$+CCCD2 > 85C0 test eax,eax ,因此只需要模拟操作EFlags然后跳过此段指令即可: pException^.ContextRecord^.EFlags := $202; //TEST eax,eax pException^.ContextRecord^.Eax := 1; //TEST eax,eax PException^.ContextRecord^.Eip := PException^.ContextRecord^.Eip + 2; //Nex 3.整体封装: 这里我们采用是把硬件HOOK和处理的过程都封装成DLL 然后导出一个GoPatch的函数供目标程序调用,那么如何使目标程序 加载并执行我们的GoPatch函数呢,我想办法很多注入,远线程等等。。这里我采用了劫持EIP的方式使目标程序加载我们的 DLL并执行GoPatch函数。 到这里已经全部完成,执行GoPatch后任意输入或者不输入用户名、注册码都可以直接绕过Enigma注册保护直接执行。
The_Enigma_Protector_Professional_v2.0.rar
07-16
The_Enigma_Protector_Professional_v2.0破解版
The Enigma Protector v7.40x86 x64一款非常实用的(双架构)一机一码软件加密工具
china365love的博客
12-19 4828
The Enigma Protector是一款口碑相当好的加密工具,适合保护软件和实现一机一码注册。最新版本7.4可能遇到一些问题,但通过修正图谱可以解决。该工具具有文件加密保护、授权系统和文件打包等特点。支持64位程序文件加密保护,兼容x86和x64系统。Enigma Protector是一款功能强大的软件保护工具,适合开发者使用。
使用加密软件Enigma Protector,可以轻松获得软件许可!
励志做最业余的专业博主,控件产品可以私我~
12-12 315
在这篇文章中,我将解释什么是软件许可证以及如何使用Enigma Protector将其应用到现有软件。
he Enigma Protector一字节过注册
樱*夜精灵
05-22 2935
好久没做教程了,这些时间在UPK学习了老前辈的心得总结脱壳知识与破解和各种壳过注册的方法,当然也学到了不少。 今天就阐述下The Enigma Protector一字节过注册。 TEP的注册窗口   我们用PEID查看下有什么信息    我们知道是TEP加密保护我们载入OD F9运行   OD载入后的入口,F9运行后 ALT+M 打开内存窗口   我们对双击00464000 这
Enigma所有版本过注册 高版本通过PATCH HWID方式
zhw309的专栏
07-16 1万+
软件打开界面: V2.0以下的貌似只要跳过注册框即可,无需解码。(以下内容摘自本人发自upk的原创,并非抄袭) 以下以V3.7为例子PATCH HWID: 一,查找HWID生成地址: 1, 先在.rsrc和.data中间的这个区段(0101B000)下内存写入断点,这个区段其实就是Enigma自己验证的一个dllDLL_Loader.dll)。, 2,
Enigma脱壳、Enigma注册各个版本总结
热门推荐
zhw309的专栏
06-09 1万+
Enigma脱壳、Enigma注册各个版本总结 一,Enigma壳的识别: 区段特征: http://my.csdn.net/uploads/201206/08/1339142514_1193.jpg 推荐一款识别率超高的enigma识别软件: EnigmaInfo.exe 这软件我跟其它文件放在一起在CSDN中供下载。 一,Enigma脱壳: 1,OEP查找: 这种方法就不说
Enigma注册inline patch HWID详解
01-08
文章http://blog.csdn.net/zhw309/article/details/7645694的配套工具和例子 里面有: 过Enigma注册 inline patch详解.pdf Inline Hook GetModuleHandleA for enigma.exe (过Enigma注册的模板工具,可利用来快速做各种Enigma版本的补丁) EnigmaInfo.exe (探测Enigma壳版本的最好工具,准确率高) NOTEPAD_protected.EXE 该文例子 enigma script.txt 该文过enigma注册的脚本
正版64位The Enigma Protector 6.70.rar
01-27
3.The Enigma Protector 中文注册保护的软件能在最大程度上防止非法复制、反编译、修改代码等。而且支持格式广泛,包括几乎所有的32位、64位程序(如exe,src,dll,ocx,bpl等)和使用不同开发工具开发的 .NET程序, ...
软件加壳一机一码enigma protector 6.6.rar
09-26
1.如果您在使用 Enigma Protector 加壳保护工具。 2.支持制作一机一码。 3.暂时不支持NET程序。 4.enigma protector安全性高。
Enigma注册inline patch HWID详解
06-09
文章http://blog.csdn.net/zhw309/article/details/7645694的配套工具和例子 里面有: 过Enigma注册 inline patch详解.pdf Inline Hook GetModuleHandleA for enigma.exe (过Enigma注册的模板工具,可利用来快速做各种Enigma版本的补丁) EnigmaInfo.exe (探测Enigma壳版本的最好工具,准确率高) NOTEPAD_protected.EXE 该文例子 enigma script.txt 该文过enigma注册的脚本
The Enigma Protecto 专门针对Exe与dll的加壳 防报毒 防破解
03-30
The Enigma Protecto 专门针对Exe与dll的加壳 防报毒 防破解 The Enigma Protecto 专门针对Exe与dll的加壳 防报毒 防破解
The.Enigma.Protector.v5.20.x86_Crack
04-22
The.Enigma.Protector.v5.20.x86_Crack 好用
The Enigma Protector 汉化
09-30
The Enigma Protector 汉化 把文件解压缩得到的 keygen.bin 文件复制到 The Enigma Protector v1.96 目录下的 system 中,覆盖原文件即可
The_Enigma_Protector_v6.80_x64.rar
08-09
1.英格玛文件加密工具 The Enigma Protector 6.8 x64 中文多语。 2.正式版。 3.The Enigma Protector 中文注册保护的软件能在最大程度上防止非法复制、反编译、修改代码等。而且支持格式广泛,包括几乎所有的32位、64位程序(如exe,src,dll,ocx,bpl等)和使用不同开发工具开发的 .NET程序, 如 MS Visual Studio C#/C++/VB/VB.NET, Borland Delphi/C++, FreePascal, MASM, TASM 等工具。保护后的程序能兼容所有Windows版。
正版32位The Enigma Protector 6.70.zip
01-27
3.The Enigma Protector 中文注册保护的软件能在最大程度上防止非法复制、反编译、修改代码等。而且支持格式广泛,包括几乎所有的32位、64位程序(如exe,src,dll,ocx,bpl等)和使用不同开发工具开发的 .NET程序, ...
Enigma Protector3.10.rar
09-12
Enigma Protector3.10是英格玛软件加密工具 可以加密EXE和DLL很实用 安全性也很好
使用 Enigma Protector 无需管理员权限即可注册 ActiveX/COM 组件
最新发布
励志做最业余的专业博主,控件产品可以私我~
02-01 1060
我们的客户对如何保护 .NET 应用程序免遭破解和转储提出了许多问题。在本文中,我们将尝试描述保护此类特定文件的所有薄弱环节和细节。
Enigma Protector脱壳
樱*夜精灵
05-21 4438
标 题: 【原创】Enigma Protector脱壳 作 者: smokewind 时 间: 2011-09-27,00:19:36 链 接: http://bbs.pediy.com/showthread.php?t=140629 【文章标题】: Enigma Protector脱壳 【文章作者】: Smoke 【编写语言】: delphi7 【操作平台】: window
the enigma protector 注册标题修改
07-05
### 回答1: "The Enigma Protector" 是一个专业的软件保护工具,可用于保护和加密软件应用程序。 注册标题修改是指在软件保护过程中修改注册表中的软件标题,使其在用户的计算机上显示不同的信息。这样做的目的是为了防止未经授权的使用及盗版行为,同时也可以增加软件的安全性。 在"The Enigma Protector"中进行注册标题修改非常简单。首先,打开软件的保护项目文件,然后选择“注册信息”选项卡。在这里,您可以查看和编辑软件的注册标题相关设置。 为了修改注册标题,您可以通过两种方式进行操作。第一种是手动更改注册标题文本框中的内容,然后保存更新后的项目文件。请确保所填写的注册标题能够准确反映您的软件名称或其他想要展示给用户的信息。 第二种方法是使用变量。通过使用变量,您可以动态地设置注册标题,以便根据需要对其进行更改。在软件保护项目文件中,您可以找到“常用变量”标签页,这里提供了一些常用的变量选项,可以在注册标题中使用。 总之,使用"The Enigma Protector"进行注册标题修改是一项重要的操作,可以为您的软件提供额外的保护,并防止未经授权的访问。无论是手动编辑还是使用变量,都可以根据您的需要和偏好来自定义软件的注册标题。 ### 回答2: the enigma protector 是一款强大的软件保护工具,用于保护软件著作权和防止非法复制。该工具不仅提供了程序保护功能,还支持对软件的注册信息进行修改。 当我们需要修改 the enigma protector 的注册标题时,我们可以通过以下步骤进行操作: 1. 打开 the enigma protector 软件,并选择需要修改注册标题的程序。 2. 在软件主界面左侧的菜单栏中,找到"注册及序列号"或类似的选项。 3. 点击该选项后,会出现一个编辑框,显示当前的注册信息,包括注册标题。 4. 在编辑框中,找到注册标题所在的位置,并将光标移动到该位置。 5. 删除或修改当前的注册标题,并输入新的注册标题。 6. 点击保存或应用按钮,使修改后的注册标题生效。 7. 关闭 the enigma protector 软件,并重新运行修改后的程序,验证注册标题是否修改成功。 需要注意的是,修改注册标题可能需要管理员权限或特殊密码,以确保修改的合法性和安全性。另外,修改注册标题可能会影响软件的授权和正常运行,建议在做出修改之前备份原始程序,以防止意外情况的发生。 总的来说,对于 the enigma protector 用户来说,修改注册标题是一个相对简单的操作,通过上述步骤可以轻松实现。这一功能使得用户可以根据具体需求自定义软件的注册信息,提供了灵活性和便利性。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值