Как удалить enigma protector из файла
Enigma (также известный как вирус Enigma) представляет собой вирус, что всплывающие окна предупреждение на экране вашего компьютера и просит заплатить определенную сумму, чтобы расшифровать все заблокированные файлы. Enigma — имя обнаружения вредоносного по, которое блокирует компьютер и шифрует файлы в нем. Затем он назначит закрытый ключ, необходимый для расшифровки всех файлов.
Пользователи компьютеров должны знать, что Enigma и большую часть своего рода были разработаны онлайн преступниками, чтобы заработать прибыль через мошенничество. Как правило вымогателей являются программы, которые будут блокировать доступ к файлам, программам и компьютер для сбора оплаты от жертв. Отправка денег к такого рода злоумышленник аналогичным образом дает им шанс заработать легко прибыль через Интернет мошенников. Следовательно эта деятельность никогда не остановится. Другие разработчики вредоносных программ, видя успех через эту схему могут осуществлять же атака скоро.
Для того, чтобы остановить деятельность вымогателей, включая Enigma вируса, лучше удалить угрозы, вирус или вредоносное по, который бросил его в компьютер. Далее вам нужно иметь дело с зашифрованными файлами, используя действительный инструменты от известных безопасности поставщика. Один из упомянутых инструментов, которые мы использовали на удаление руководства на этой странице может помочь разблокировать файлы, которые были зашифрованы при Enigma вредоносных программ.
поведение Enigma
- Устанавливает себя без разрешений
- Enigma деактивирует установленного программного обеспечения.
- Изменение рабочего стола и параметры браузера.
- Enigma показывает коммерческой рекламы
- Интегрируется в веб-браузере через расширение браузера Enigma
- Enigma подключается к сети Интернет без вашего разрешения
- Общее поведение Enigma и некоторые другие текст emplaining som информация связанные с поведением
- Распределяет через платить за установку или в комплекте с программным обеспечением сторонних производителей.
Enigma осуществляется версий ОС Windows
- Windows 8 29%
- Windows 7 29%
- Windows Vista 12%
- Windows XP 30%
Предупреждение, множественные антивирусные сканеры обнаружили возможные вредоносные программы в Enigma.
Антивирусное программное обеспечение | Версия | Обнаружение |
---|---|---|
McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
VIPRE Antivirus | 22224 | MalSign.Generic |
Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
Dr.Web | Adware.Searcher.2467 | |
VIPRE Antivirus | 22702 | Wajam (fs) |
ESET-NOD32 | 8894 | Win32/Wajam.A |
Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
География Enigma
Удалить из Windows Enigma
Удалите Enigma из Windows XP:
Удалить Enigma с Windows Vista или Windows 7:
Удалите Enigma из Windows 8:
Удалите из вашего браузеров Enigma
Удалить Enigma из Internet Explorer
- Идти на Alt + T и нажмите Свойства обозревателя.
- В этом разделе перейдите на вкладку «Дополнительно» и затем нажмите на кнопку «Сброс».
- Перейдите → «Сброс настроек Internet Explorer» потом «Удалить личные настройки» и нажмите на опцию «Сброс».
- После этого нажмите на «Закрыть» и перейдите на кнопку ОК, чтобы сохранить изменения.
- Нажмите на вкладки Alt + T и перейти на Управление надстройками. Перейти к панели инструментов и расширения и здесь, чтобы избавиться от нежелательного расширения.
- Нажмите на Поиск поставщиков и установить любую страницу как ваш новый инструмент поиска.
Удалить Enigma из Mozilla Firefox
- Как у вас есть ваш браузер открыт, введите about:addons в поле URL показано.
- Перемещение по списку расширений и дополнений, удалить элементы, имеющие что-то общее с Enigma (или те, которые вы можете найти незнакомые). Если расширение не предусмотрено Mozilla, Google, Microsoft, Oracle или Adobe, вы должны быть почти уверен, что вам придется удалить его.
- Затем, сброс Firefox, делая это: двигаться- Firefox -> Help (Справка в меню для пользователей OSX) ->Сведения об устранении неполадок. Наконец,сбросить Firefox.
Прекратить Enigma от Chrome
- В поле отображаемый URL-адрес введите chrome://extensions.
- Посмотрите на предоставленные расширения и заботиться о тех, которые вы найдете ненужных (связанные с Enigma), удалив его. Если вы не знаете, является ли один или другой должны быть удалены раз и навсегда, временно отключить некоторые из них.
- Затем перезапустите Chrome.
- При необходимости вы можете ввести в chrome://settings в URL-бар, переместить Дополнительные параметры, перейдите в нижнюю и выбрать Сброс настроек браузера.
Довелось на днях познакомиться с очередной разновидностью вирусной гадости, которая приводит к потере всех полезных пользовательских данных. Речь пойдет о вирусе-шифровальщике, который рассылается по почте, шифрует файлы разных форматов и ставит расширение .enigma. Я расскажу о принципе его работы и о том, как бороться с подобными вирусами.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курcе по администрированию MikroTik. Автор курcа, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Рекомендую после прочтения этой статьи посмотреть на лечение и расшифровку файлов после вируса da_vinci_code. Там более подробно описан сам процесс восстановления файлов. Приведены конкретные программы и показано, в том числе на видео, как ими пользоваться.
Описание вируса шифровальщика enigma
Этот вирус очень похож на тот, что я уже описывал - вирус-шифровальщик vault. В технические детали нового вируса enigma я не вникал, но внешне для пользователя все выглядит примерно так же.
Начинается все с того, что вам на почту приходит письмо. В моем случае содержание было следующим:
Моя мама приобрела у вас 5 назад продукцию
Ваша конторка пересчитала нас!
Прошу вас, разберитесь eще раз справку о покупкe. Жду отвeта
В письме вложение счет.html. Оно представляет собой страничку html. Если ее открыть в браузере, то увидите следующее содержание:
счет_покупки.doc является гиперссылкой, по которой "скачивается" вирус. Реально он не скачивается, он уже у вас на компьютере, но его надо запустить. До этого момента он еще не запущен. Если вы нажимаете на эту ссылку, то вам предлагается "скачать" zip файл счет_покупки.zip. В нем находится файл счет_покупки(распечатка текстового документа).js, он и является непосредственно вирусом. Только после его запуска у вас начнется процесс шифрования файлов.
При этом выскочит первое окошко:
Вы нажали Да при выводе предупреждения от системы контроля учетных записей:
На самом деле, если вы тут согласитесь на выполнение команды, то потеряете все ваши теневые копии и не сможете восстановить данные. Если у вас отключен UAC, то вирус автоматом удалит теневые копии и восстановление данных с помощью них станет невозможным.
После нескольких запросов от UAC они прекратятся. В это время вирус уже зашифровал все ваши данные, которые посчитал полезными. В моем случае это были все форматы microsoft office (xlsx, docx и др.), pdf файлы, изображения различных форматов, архивы.
В моем случае по сетевым папкам вирус не прошел. Не знаю по какой причине, либо не умеет, либо не успел. Как только на компьютере заметили вирус, сразу его выключили.
Если хотите получить файлы обратно:
C:\Users\user\Desktop\ENIGMA_338.RSA - Путь к файлу-ключу на рабочем столе
C:\Users\user\AppData\Local\Temp\ENIGMA_338.RSA - Путь к файлу-ключу в TMP папке
На рабочем столе появляются 2 файла:
Вот описание принципа работы нового вируса шифровальщика enigma. Если бы мне кто-нибудь рассказал, что люди сами проделывают все описанные выше операции, я бы не поверил, если бы сам это не наблюдал. Секретарю пришло письмо и она выполнила всю последовательность описанных действий. В итоге все ее файлы на компьютере зашифровались. Не помог антивирус Kaspersky с свежими базами на день заражения. Я потом вручную просканировал все файлы, которые имеют отношение к этому вирусу, антивирус не нашел ничего подозрительного ни в одном из них. Спрашивается, какой в них смысл. В предыдущей моей встрече с шифровальщиком vault на компьютерах стоял лицензионный актуальный nod32, но он тоже не помог. После этих двух случаев я вообще считаю современные антивирусы бесполезными. Они не дают защиты от современных угроз.
Пользователи имели включенные антивирусы с последними базами, но это их нисколько не спасло от полной потери всей своей информации. Я, конечно, понимаю, что они сами себе виноваты в том, что запускают вирусы. Но тем не менее, это достаточно типичное поведение для большой группы пользователей. Почему нельзя выводить хотя бы предупреждение от антивируса о том, что у вас начался процесс шифрования файлов, мне не понятно.
Вирус ставит расширение enigma на doc, jpg, xls и других файлах
Вирус шифровальщик enigma у нас поработал и зашифровал все документы и картинки различных форматов. Все файлы теперь имеют расширение .enigma. Я на всякий случай попробовал удалить расширение enigma вручную на стандартное в надежде, что это какая-то подделка под настоящий шифровальщик. Такая надежда у меня теплилась из-за полного отсутствия реакции от антивируса. Но ожидания не оправдались. Смена расширения ни к чему не привела, файл не открывался. Судя по всему он действительно зашифрован с помощью AES-RSA.
После того, как вирус зашифрует все файлы и выведет оповещение о своей работе, шифрование прекратится. Все новые файлы, созданные после этого зашифрованы не будут. По крайней мере в той версии вируса, что попала ко мне. Я специально это проверил, создав новые файлы и перезагрузившись. Новые файлы остались не тронутыми. Вирус удаляет exe файл после окончания своей работы. Если вы еще раз не будете запускать шифровальщик, новые файлы не пострадают.
Как удалить вирус enigma и вылечить компьютер
Был еще исполняемый файл 6afee960284667dab3f5430f708f58ce.exe, его вирус сам подчищает после завершения работы. Файлы RSA и html дополнительно копировались на рабочий стол пользователя.
Создаются 2 ключа:
Их нужно удалить вместе с приведенным выше файлами. Этого достаточно для лечения компьютера и полного удаления вируса enigma.
Как восстановить и расшифровать файлы после вируса enigma
Что делать,чтобы восстановить зашифрованные файлы? Я поискал информацию об этом вирусе в интернете. Упоминания есть, но не так много. Скорее всего эта модификация не очень популярна, но все же встречается. В тот момент, когда я первый раз столкнулся с вирусом enigma, в интернете не было информации об успешной расшифровке файлов либо о существовании дешифратора enigma.
Когда я сел писать эту статью, проверил интернет еще раз. На форуме esetnod32 появились свежие записи о том, что техподдержка может предоставить дешифратор: "Техподдержка прислала дешифратор, расшифровал все. Спасибо."
Можно попробовать купить этот антивирус и написать в техподдержку с просьбой расшифровать файлы с расширением .enigma. Но не факт, что конкретно в вашем случае это поможет. Сейчас такое количество этих шифровальщиков с одними и теми же названиями, что гарантировать расшифровку невозможно.
Самостоятельно расшифровать файлы не получится. На помощь могут прийти только архивные копии, сделанные либо вручную, либо автоматически с помощью теневых копий windows. Узнать, включены ли у вас теневые копии можно в свойствах компьютера, в разделе "Защита системы".
Если у вас защита включена, тогда можете попытаться вручную восстановить файл с расширением .enigma. Для этого вам нужно самим поменять расширение файла, удалив у него приставку .enigma. Если этого не сделать, то система посчитает, что это совершенно другой файл и не предложит его предыдущие версии, хотя реально они будут существовать. Меняете сами расширение фала, выбираете файл и жмете правой кнопкой мышки по нему, выбирая последний пункт "свойства". Далее выбираете вкладку "Предыдущие версии"
Если у файла есть предыдущие версии, то выбираете последнюю и восстанавливаете.
Других вариантов восстановить файлы у вас нет, если вы не делали резервных копий на другой компьютер, внешний диск или флешку. Крайний вариант - обратиться к злоумышленникам за расшифровкой. Чаще всего они дают реально работающий дешифратор, я знаю несколько таких примеров.Обращаться или нет - решать вам в зависимости от степени важности зашифрованных файлов.
Касперский, drweb и другие антивирусы в борьбе с шифровальщиком enigma
Что же предлагают современные антивирусы в борьбе против вируса-шифровальщика enigma? У всех антивирусов рекомендации стандартные - если у вас есть лицензионная версия программы, то вы можете обратиться в техподдержку и ждать ответа. На момент написания статьи я видел только от антивируса eset nod32 информацию о том, что они могу расшифровать файлы.
На форуме drweb есть информация, что они в подавляющем большинстве случаев расшифровывают файлы.
Судя по датам, это тот же вирус, что и у меня.
На форуме Касперского я не нашел информации о enigma, кроме одного топика в англоязычном разделе. Ничего полезного и содержательного там не было. Можно создать запрос на расшифровку файлов, по ссылке подробно описано как это сделать.
Методы защиты от вируса enigma
Ничего нового и оригинального по защите от вирусов шифровальщиков я не посоветую. Enigma принципиально не отличается от всех остальных шифровальщиков, которые лавинообразно атакуют пользователей интернета. Все примеры шифровальщиков, которые я видел, проникали на компьютер пользователя через почту и при этом пользователь сам запускал шифрование.
Главная рекомендация по защите от вирусов шифровальщиков - внимательно смотрите письма, которые получаете по электронной почте. Не запускайте сомнительные вложения. Шифровальщиков прекрасно видно, они отличаются от обычных документов, нужно просто внимательнее смотреть.
Обязательно делайте резервные копии важной информации и не храните эти копии на том же компьютере, за которым работаете. Заведите для этого отдельную флешку и внешний жесткий диск и периодически подключайте их к компьютеру, копируйте информацию и отключайте. Отключать нужно обязательно. Я знаю пример, когда для резервного копирования использовалась флешка, которая в рабочее время была воткнута в компьютер. вирус зашифровал все документы на компьютере и НА ФЛЕШКЕ.
Видео по восстановлению файлов .enigma
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, научиться непрерывной поставке ПО, мониторингу и логированию web приложений, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров.
Проверьте себя на вступительном тесте и смотрите подробнее программу ссылке.
Do you have trouble in completely uninstalling The Enigma Protector 3.110 from your system? Are you looking for an effective solution to thoroughly get rid of it off the computer? Do not worry! You came to the right place, and you will be able to uninstall The Enigma Protector 3.110 without any difficulty.
However, many users have difficulties and problems away from the computer. Below we have listed possible problems when uninstalling The Enigma Protector 3.110. If you also have this problem, you can find a useful solution for this.
It seems that there are many users who have difficulty in uninstalling software like The Enigma Protector 3.110 from the system. And some of them get into trouble when uninstalling the software, and some of them can uninstall the software, but to get problems after removal. Some possible problems that people run into:
- The Enigma Protector 3.110 does not work as good as you thought.
- The Enigma Protector 3.110 can not be uninstalled
- The Enigma Protector 3.110 can not be completely uninstall and removed
- The Enigma Protector 3.110 or other similar software can not be installed or updated again on the computer
- The computer system runs much slower after The Enigma Protector 3.110 is uninstalled
Causes of the above problems :
- The Enigma Protector 3.110 does not appear in the program list of Add/Remove Programs
- The uninstaller of The Enigma Protector 3.110 can not completely remove all associated files
- There is some software that is not compatible with The Enigma Protector 3.110
- There are many remnants left in the registry and hard drive
- The .dll, .sys or other files shared with other software are deleted
Manually Uninstall The Enigma Protector 3.110 with Windows Add/Remove Programs.
Windows "Add/Remove Programs" offers users a way to uninstall the program, and each Operating system has a "Add/Remove programs" function.
- Click "Start menu" and run "Control Panel".
- Locate The Enigma Protector 3.110 (or The Enigma Protector Developers Team) and click "Change/Remove" to uninstall the program.
- Follow the uninstall wizard and uninstall the program.
Manually Uninstall The Enigma Protector 3.110 with Build-in Uninstaller.
Most computer programs are installed with its build-in uninstaller that can also help uninstall the program.
- Click Start menu and move your mouse to All Programs.
- Find Search The Enigma Protector 3.110 folder and click on its Uninstaller.
- Follow its uninstaller and uninstall the program.
To run its uninstaller, you can also
- Go to the folder where the program is installed.
- Locate its uninstaller usually named as unins000.exe or uninstall.exe
- Double click on its uninstaller and follow it to uninstall the program.
Please know that Windows "Add/Remove Programs" and its build-in uninstaller can remove only the main executable program files, but not all program files and components. Some invalid files can be left in the registry and folders. To completely uninstall The Enigma Protector 3.110, you need to get rid of these remnants, otherwise, it will slow down your computer and block the installation of other incompatible programs.
To thoroughly delete its files, please follow the steps:
- Run Registry Editor
- Find and delete all registry entries of the program in HKEY_CURRENT_USER\Software\The Enigma Protector Developers Team\, HKEY_LOCAL_MACHINE\SOFTWARE\The Enigma Protector Developers Team\ and HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
- Find and delete all files of the program in system folders C:\Program Files\The Enigma Protector Developers Team\, C:\Document and Settings\All Users\Application Data\The Enigma Protector Developers Team\ and C:\Documents and Settings\%USER%\Application Data\The Enigma Protector Developers Team\.
NOTE: We recommend only for advanced computer users, manually edit the registry and remove The Enigma Protector because deleting any single registry error leads to a serious problem or even a system crash.
Мы неоднократно публиковали развернутые статьи по дизассемблированию приложений и не собираемся останавливаться на достигнутом. Однако многие программы используют различные механизмы антиотладки, из‑за которых подступиться к ним становится непросто. Сегодня мы поговорим о том, как вскрыть популярную у разработчиков защиту Enigma версии 5 и выше, использующую продвинутые инструменты противодействия анализу и взлому.
Бытует распространенное мнение, что к категории крутых, хороших годных защит относятся VMProtect и Themida. В них, мол, и криптование, и виртуальные машины, и антиотладка. Все остальное — так, для лохов и младших школьников. Например, для какой‑нибудь «Энигмы» в сети можно найти кучу туториалов и видосов с инструкциями по взлому, воспользовавшись которыми, любой нуб может почувствовать себя кулхакером.
Отчасти утверждение справедливо: туторов, включая видео, в интернете действительно полно, а при желании можно найти и однокликовые тулзы для взлома приложений. Некоторые из них даже работают. С небольшой оговоркой — это касается старых версий защиты, которая была, мягко говоря, не очень. В последних версиях Enigma создатели постарались как можно сильнее осложнить жизнь хакерам.
Большинство решений они позаимствовали у «взрослых» защит (ниже читатель сможет в этом убедиться). Однако, как известно, в этом мире нет ничего нового, и использование известных решений не делает взлом защиты более простым и приятным. Скорее наоборот. Давай убедимся в этом, хорошенько пощупав Enigma собственными руками.
Эксперимент
Ради эксперимента скачаем какую‑нибудь программу (для простоты — дотнетовскую) и натравим на нее, например, Exeinfo. Предположим, анализатор опознал упаковщик как Enigma Protector x64 [v.5.0 — 7.0]. Вот и отлично, мысленно выдыхаем мы: не VMProtect и не Themida, а по Enigma точно что‑то можно найти на YouTube. Лезем в гугл — и правда, видосов полно, однако максимальная ломаемая версия — 4, а по x64 нет вообще ничего.
Ну что ж, думаем мы, не боги горшки обжигают: не могли же они придумать что‑то принципиально новое? Попробуем действовать по образу и подобию, авось получится. И вот тут нас поджидает неприятный сюрприз.
Придется браться за дело основательно. Для начала установим плагины ScyllaHide и Scylla, чтобы хоть как‑то заработала отладка. Благодаря первой тулзе программа наконец‑то позволяет загрузить себя в отладчик. Однако радость оказывается преждевременной: после прерывания в процессе никакие настройки ScyllaHide не позволяют нам продвинуться дальше, программа захлопывается с завидным упорством. Scylla придет на помощь чуть позже, пока же попробуем извлечь всю выгоду из маленькой победы, которую мы только что одержали.
Итак, программа загружена в отладчик и пошагово трассируется. Потихоньку двигаемся, минуя несколько саморасшифровывающихся участков кода, и обнаруживаем, что они — всего лишь обвязка для огромной упакованной и зашифрованной секции, стартовая точка которой выглядит так:
Популярный среди разработчиков софта протектор Enigma предлагает несколько вариантов защиты приложений. Один из них — установить пробный режим с ограничением на количество запусков, дней использования или рабочего времени. Кажется, преодолеть такую защиту непросто. Однако для настоящего исследователя нет преград!
warning
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Постоянным читателям «Хакера», знакомым с моей предыдущей статьей, могло показаться, что взлом защиты Enigma представляет собой какое‑то архисложное действие, доступное лишь избранным специалистам, обладающими навыками работы с отладчиками и вооруженными специальными инструментами. Правильно показалось, именно такого эффекта я и собирался добиться. Однако я недаром делал оговорку о наличии слабых мест, которыми пользуются многочисленные сетевые авторы обучающих видео и «однокликовых утилит». Сегодня мы рассмотрим одно из таких слабых мест защиты Enigma — триальный режим.
Защищенные с помощью Enigma приложения можно дизассемблировать — об этом подробно рассказывалось в статье «Больше не энигма. Ломаем защиту приложений Enigma x64 актуальных версий».
Очень часто перед покупкой разработчики дают пользователю возможность поиграть с программой ограниченное время или определенное число запусков, чтобы он оценил все возможности софтины. И конечно же, защита Enigma имеет в своем джентльменском наборе такую фичу. Ленивые разработчики могут создавать триальные версии своих программ фактически нажатием одной кнопки. Однако такое доверие Enigma Protector может оказаться неоправданным, и сейчас я расскажу почему.
Для понимания процесса скачаем с официального сайта последнюю демоверсию защиты, благо они ее свободно раздают. Запустив программу, мы увидим в меню Settings вкладку Trial Control. Здесь находятся нужные нам разделы: Limitation by Executions Count (ограничение на количество запусков), Limitation by Days Count (ограничение на количество дней), Limitation of Execution Time (ограничение на количество программного времени) и Time Control (проверка мухлежа с переводом времени).
Вкладка Trial Control утилиты Enigma Protector
Особенности этих режимов заключаются в том, что при первом запуске программа «привязывается» к текущему моменту и ведет отсчет своей работы именно от него. Технология сброса подобного триала заключается в том, чтобы вернуть систему в состояние, предшествующее запуску, после чего программа будет стартовать как будто в первый раз после установки. Например, с режимом Limitation from Date till Date (ограничение на запуск в конкретный временной отрезок) такой номер не пройдет, поскольку приложение уже не привязано к моменту первого запуска. Защита проверяет лишь текущее системное время, независимо от того, запускалась программа до этого на данном компьютере или нет. Хотя, конечно, можно обмануть и этот метод защиты, сбросив триал (чтобы исключить запоминание текущего времени с целью обмануть Time Control, если этот режим также включен) и переведя часы на нужный временной интервал.
Однако хватит лирических отступлений, пора браться за дело! Давай защитим любое приложение, ограничив количество его запусков, а потом сбросим эту защиту. По счастью, разработчики Enigma и здесь пошли нам навстречу, бесплатно предоставив такую возможность в демоверсии своего протектора. Для этого открываем вкладку Limitation by Executions Count, устанавливаем верхний чекбокс и в окошке Maximal count of executions указываем нужное количество запусков (скажем, три).
Настраиваем ограничение на количество запусков
Теперь соберем защищенную версию программы, которая при каждом старте будет показывать пятисекундное окошко рекламы Enigma (что поделать, за халяву приходится платить) и считать запуски. Через три запуска вместо программы ты увидишь сообщение о превышении лимита, означающее, что халява закончилась.
Для начала попробуем пойти самым тернистым путем — попытаемся снять защиту совсем. Как я уже писал в предыдущей статье, программа, защищенная Enigma версии старше 4, просто не дампится. Вернее, дампится, но на выходе получается только слепок кода реализации защиты, который нам не сильно нужен. Попробуем разобраться, как сдампить программу руками, благо незащищенная версия у нас есть. Открыв исходную программу, мы увидим в ней 12 секций:
Name VirtSize RVA PhysSize Offset Flag
.text 00E8CEBC 00001000 00E8D000 00001000 60D00060
.data 000103F8 00E8E000 00010400 00E8E000 C0700040
.rdata 003C0A80 00E9F000 003C0C00 00E9E400 40600040
.qtmetad 00000620 01260000 00000800 0125F000 40600040
.eh_fram 002B5648 01261000 002B5800 0125F800 40300040
.bss 00003AC0 01517000 00000000 00000000 C0600080
.edata 00000E04 0151B000 00001000 01515000 40300040
.idata 000055C4 0151C000 00005600 01516000 C0300040
.CRT 00000038 01522000 00000200 0151B600 C0300040
.tls 00000008 01523000 00000200 0151B800 C0300040
.rsrc 000428B0 01524000 000428B0 0151BA00 C0300040
.reloc 00062CFC 01567000 00062E00 0155E400 42300040
В защищенной программе эти секции тоже присутствуют, правда без названий, флагов и в зашифрованном виде:
1 00E8D000 00001000 0061CC00 00000600 E0000040
2 00011000 00E8E000 00001A00 0061D200 E0000040
3 003C1000 00E9F000 001E8E00 0061EC00 E0000040
4 00001000 01260000 00000200 00807A00 E0000040
5 002B6000 01261000 000BFA00 00807C00 E0000040
6 00004000 01517000 00000000 00000000 C0600080
7 00001000 0151B000 00000000 008C7600 E0000040
8 00006000 0151C000 00000800 008C7600 E0000040
9 00001000 01522000 00000200 008C7E00 E0000040
10 00001000 01523000 00000000 008C8000 E0000040
11 00043000 01524000 00000000 008C8000 E0000040
12 00063000 01567000 00000000 008C8000 E0000040
То, что они зашифрованы, — еще полбеды, поскольку по мере загрузки секции расшифровываются: в этом мы можем убедиться, «всплыв» отладчиком во время работы уже загруженной программы. Однако здесь нас ожидает неприятный сюрприз — жизненно необходимые нам секции импорта и экспорта (в нашем примере . edata и . idаta ) заполнены нулями. Зловредная Enigma очищает их после загрузки приложения в память, чтобы осложнить нам жизнь. В принципе, таблица экспорта у нас есть, но импорт, оригинальные названия и флаги секций отсутствуют, не говоря уже о точке входа в приложение.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Читайте также: