🔧 C++ Enigma Protector 5.x–7.x Dumper & PE Fixer Tool [Dump + Auto IAT + EP Repair]

[cracktop1 0]

good

 

[pkedpker 0]

good release

[cambaz 487]

link updated

[sckeer 0]

thx bro

[saufitz77 0]

On 6/26/2025 at 5:58 AM, cambaz said:

EN
"The program may respond slowly due to packing. If the console screen appears blank, press ENTER once or twice and the interface will load."

🚀 This C++ tool helps you dump and fix Enigma Protector–protected EXE files (tested from v5.x up to v7.80).

It automatically dumps the main executable from memory, resets critical PE structures like IAT, OEP, relocations, and more.

⚠️ Note: As of Enigma v7.80, the dumped EXE may not run correctly due to deeper anti-dump mechanisms. The tool still extracts valid memory and headers — allowing you to continue manually.

✅ What This Tool Does:

Performs multiple anti-debug checks (PEB, DebugPort, IsDebuggerPresent).

Suspends other threads for stable dumping.

Identifies and validates the main module in memory.

Detects inline hooks to prevent faulty dumps.

Dumps the full memory image of the main EXE.

Rebuilds PE headers:

Sets new OEP

Clears relocations, TLS, and resource sections

Resets checksum

Finds the section where OEP resides and logs it.

Performs a basic Import Address Table (IAT) rebuild.

Dumps all loaded DLLs into a Dumps/ folder for further analysis.

❌ Why the Dumped EXE May Not Work (Especially in 7.x):

Enigma uses dynamic unpacking, loading code in stages.

Real EntryPoint (OEP) may only be valid after several layers finish.

Some APIs remain encrypted or virtualized in memory, and aren’t dumped cleanly.

IAT fixing is basic — no redirection or advanced import fixing is handled.

.reloc, .tls, and .rsrc are cleared to avoid loader errors but may affect app logic.

🛠️ Manual Fixing Instructions:

If the dumped fixed_dump.exe doesn’t run:

Use a debugger like x64dbg:

Run the target until all UI/windows show.

Dump process memory manually from that point.

Get the actual OEP from the execution trace.

Use tools like:

Scylla or ImpREC to rebuild IAT manually.

PE-bear to fix headers or corrupt sections.

Patch anti-debug or integrity checks:

Most failures are due to runtime checks on dumped memory.

Patch .text or .vmp sections if needed.

🔮 Future Improvements:

Full IAT reconstruction with thunk redirection

Delayed import and forwarded DLL fix

Resource rebuild or extraction

VM section cleanup (devirtualizer plugins)

📁 Output Files:

File Description

dump_raw.bin Raw dumped memory of EXE

fixed_dump.exe PE header–repaired executable

Dumps/*.dll All loaded dependent DLLs dumped

🧪 Tested On:

✅ Enigma 5.70

✅ Enigma 6.30

✅ Enigma 7.80

⚠️ Enigma

⚠️ Disclaimer:

This tool is meant for educational and reverse-engineering research purposes only.

Use it only on software you own or have legal rights to reverse-engineer.

Author is not responsible for misuse or any resulting damages.

 

Hidden Content

• Reply to this topic to see the hidden content.

 

TR
"Program paketleme nedeniyle yavaş yanıt verebilir. Konsol ekranı boş görünüyorsa, ENTER'a bir veya iki kez basın ve arayüz yüklenecektir."
🚀 Bu C++ Aracı ile Enigma Protector (v5.x–v7.80) Korumalı EXE Dosyalarını Dump ve Fixleyin!
Bu araç, bellekte çalışan Enigma korumalı bir EXE dosyasını otomatik olarak dump'lar, PE yapısını onarır (IAT, OEP, relocations vb.) ve kullanıcının manuel analiz yapabilmesi için uygun bir hale getirir.

⚠️ Not: Enigma Protector v7.80 itibarıyla, dump edilen EXE dosyası her zaman çalışmayabilir. Bunun nedeni, daha derin anti-dump mekanizmalarının uygulanmış olmasıdır. Ancak araç hâlâ geçerli bellek ve başlık bilgilerini çıkararak manuel müdahaleye imkân tanır.

✅ Araç Ne Yapar?
Birden fazla anti-debug kontrolü uygular (PEB, DebugPort, IsDebuggerPresent).

Dump işlemi sırasında kararlılık için diğer thread'leri askıya alır.

Ana modülü tespit eder ve doğrular.

Inline hook olup olmadığını kontrol eder.

EXE’nin tam bellek imajını dump’lar.

PE başlıklarını yeniden yapılandırır:

Gerçek OEP’i ayarlar.

reloc, TLS ve resource dizinlerini temizler.

Checksum sıfırlanır.

OEP'in bulunduğu bölümü belirler ve bildirir.

Temel seviyede IAT (Import Address Table) rebuild işlemi yapar.

Yüklenmiş tüm DLL dosyalarını Dumps/ klasörüne çıkarır.

❌ Neden Dump Edilen EXE Çalışmayabilir? (Özellikle v7.x Sürümlerinde)
Enigma dinamik unpacking yapar, kodu aşama aşama yükler.

Gerçek EntryPoint (OEP), bazı aşamalar tamamlanmadan ortaya çıkmaz.

Bellekte bazı API’ler hâlâ şifreli veya sanallaştırılmış olabilir.

IAT fix işlemi temel seviyededir; yönlendirme veya gelişmiş yapılandırma yapılmaz.

.reloc, .tls ve .rsrc bölümleri sıfırlandığından, uygulama mantığını bozabilir.

🛠️ Manuel Onarma Yöntemleri:
Eğer fixed_dump.exe çalışmazsa:

x64dbg gibi bir debugger ile hedef uygulamayı başlatın.

Tüm UI (arayüz) açılana kadar çalıştırın.

O noktada belleği manuel olarak dump’layın.

Gerçek OEP adresini execution trace’ten tespit edin.

Aşağıdaki araçları kullanarak onarma işlemlerini tamamlayın:

Scylla veya ImpREC ile IAT rebuild.

PE-bear ile PE başlıklarını ve bozuk bölümleri onarın.

Anti-debug kontrollerini veya integrity kontrollerini patch’leyin.

.text veya .vmp section’larını gerektiğinde düzenleyin.

🔮 Gelecek Geliştirmeler:
Tam IAT yeniden yapılandırması (thunk yönlendirmeli)

Gecikmeli import ve forwarded DLL desteği

Resource rebuild veya extraction desteği

VM bölümlerinin temizlenmesi (devirtualizer eklentileri ile)

📁 Oluşturulan Dosyalar:
Dosya Adı Açıklama
dump_raw.bin EXE’nin dump edilmiş ham belleği
fixed_dump.exe PE başlığı onarılmış hali
Dumps/*.dll Tüm yüklü DLL'lerin kopyaları

🧪 Test Edilen Sürümler:
✅ Enigma 5.70
✅ Enigma 6.30
✅ Enigma 7.80

⚠️ Yasal Uyarı:
Bu araç yalnızca eğitimsel ve tersine mühendislik araştırma amaçlıdır.
Yalnızca size ait olan veya tersine mühendisliğini yapma hakkınız olan yazılımlar üzerinde kullanınız.
Yazar, bu aracın kötüye kullanımından veya oluşabilecek zararlardan sorumlu değildir.

 

Hidden Content

• Reply to this topic to see the hidden content.

 

you rock sir thanks