Enigma所有版本過注冊高版本通過PATCH HWID方式

發(fā)布時間：2020-04-05 09:43:52 來源：網(wǎng)絡(luò) 閱讀：1493 作者：凌風設(shè)計欄目：軟件技術(shù)

軟件打開界面：

V2.0以下的貌似只要跳過注冊框即可，無需解碼。（以下內(nèi)容摘自本人發(fā)自upk的原創(chuàng)，并非抄襲）
以下以V3.7為例子PATCH HWID：
一，查找HWID生成地址：
1，
Enigma所有版本過注冊高版本通過PATCH HWID方式

先在.rsrc和.data中間的這個區(qū)段（0101B000）下內(nèi)存寫入斷點，這個區(qū)段其實就是Enigma自己驗證的一個dll（DLL_Loader.dll）。,
2，
Enigma所有版本過注冊高版本通過PATCH HWID方式

類似1428B2C 行的REP ……就是解碼部分。解碼完畢后：

3，存為DLL文件：
雙擊0101B000區(qū)段，保存數(shù)據(jù)到文件，選擇為dll文件。此時即可把
Enigma自身的DLL_Loader.dll給保存起來，如果輸出表打不開，那么需要修正RAW地址。（3.7版本的保存后可以直接打開不用修正）
Enigma所有版本過注冊高版本通過PATCH HWID方式

4，在DLL_Loader.dll中可以看到EP_RegHardwareID的RVA，
V3.7版本以下的：
0C80F4 +0101B000 （IMAGE BASE）即是程序中的地址，下斷點，斷完之后可以通過慢慢跟蹤獲得機器碼的位置。
也可以使用搜索所有 MOV EAX,DWORD PTR DS:[EDI]命令，下全部斷點后運行，中斷后可獲得機器碼位置。
V3.7版本： EP_RegHardwareID的實際偏移地址為：0x0C253C。而不是dll所看到的偏移值。
下斷 IMAGEBASE + 0xC253C 即可斷在實際的EP_RegHardwareID函數(shù)上。
如這個例子實際應(yīng)該下斷： HE 0C253C + 0101B000
斷點后通過搜索MOV EAX,DWORD PTR DS:[EDI]命令即可斷在機器碼生成處。

以上只是一種快捷方法，通過一步步跟蹤也可到達。