EN
"The program may respond slowly due to packing. If the console screen appears blank, press ENTER once or twice and the interface will load."

🚀 This C++ tool helps you dump and fix Enigma Protector–protected EXE files (tested from v5.x up to v7.80).

It automatically dumps the main executable from memory, resets critical PE structures like IAT, OEP, relocations, and more.

⚠️ Note: As of Enigma v7.80, the dumped EXE may not run correctly due to deeper anti-dump mechanisms. The tool still extracts valid memory and headers — allowing you to continue manually.

✅ What This Tool Does:

Performs multiple anti-debug checks (PEB, DebugPort, IsDebuggerPresent).

Suspends other threads for stable dumping.

Identifies and validates the main module in memory.

Detects inline hooks to prevent faulty dumps.

Dumps the full memory image of the main EXE.

Rebuilds PE headers:

Sets new OEP

Clears relocations, TLS, and resource sections

Resets checksum

Finds the section where OEP resides and logs it.

Performs a basic Import Address Table (IAT) rebuild.

Dumps all loaded DLLs into a Dumps/ folder for further analysis.

❌ Why the Dumped EXE May Not Work (Especially in 7.x):

Enigma uses dynamic unpacking, loading code in stages.

Real EntryPoint (OEP) may only be valid after several layers finish.

Some APIs remain encrypted or virtualized in memory, and aren’t dumped cleanly.

IAT fixing is basic — no redirection or advanced import fixing is handled.

.reloc, .tls, and .rsrc are cleared to avoid loader errors but may affect app logic.

🛠️ Manual Fixing Instructions:

If the dumped fixed_dump.exe doesn’t run:

Use a debugger like x64dbg:

Run the target until all UI/windows show.

Dump process memory manually from that point.

Get the actual OEP from the execution trace.

Use tools like:

Scylla or ImpREC to rebuild IAT manually.

PE-bear to fix headers or corrupt sections.

Patch anti-debug or integrity checks:

Most failures are due to runtime checks on dumped memory.

Patch .text or .vmp sections if needed.

🔮 Future Improvements:

Full IAT reconstruction with thunk redirection

Delayed import and forwarded DLL fix

Resource rebuild or extraction

VM section cleanup (devirtualizer plugins)

📁 Output Files:

File Description

dump_raw.bin Raw dumped memory of EXE

fixed_dump.exe PE header–repaired executable

Dumps/*.dll All loaded dependent DLLs dumped

🧪 Tested On:

✅ Enigma 5.70

✅ Enigma 6.30

✅ Enigma 7.80

⚠️ Enigma

⚠️ Disclaimer:

This tool is meant for educational and reverse-engineering research purposes only.

Use it only on software you own or have legal rights to reverse-engineer.

Author is not responsible for misuse or any resulting damages.

TR
"Program paketleme nedeniyle yavaş yanıt verebilir. Konsol ekranı boş görünüyorsa, ENTER'a bir veya iki kez basın ve arayüz yüklenecektir."
🚀 Bu C++ Aracı ile Enigma Protector (v5.x–v7.80) Korumalı EXE Dosyalarını Dump ve Fixleyin!
Bu araç, bellekte çalışan Enigma korumalı bir EXE dosyasını otomatik olarak dump'lar, PE yapısını onarır (IAT, OEP, relocations vb.) ve kullanıcının manuel analiz yapabilmesi için uygun bir hale getirir.

⚠️ Not: Enigma Protector v7.80 itibarıyla, dump edilen EXE dosyası her zaman çalışmayabilir. Bunun nedeni, daha derin anti-dump mekanizmalarının uygulanmış olmasıdır. Ancak araç hâlâ geçerli bellek ve başlık bilgilerini çıkararak manuel müdahaleye imkân tanır.

✅ Araç Ne Yapar?
Birden fazla anti-debug kontrolü uygular (PEB, DebugPort, IsDebuggerPresent).

Dump işlemi sırasında kararlılık için diğer thread'leri askıya alır.

Ana modülü tespit eder ve doğrular.

Inline hook olup olmadığını kontrol eder.

EXE’nin tam bellek imajını dump’lar.

PE başlıklarını yeniden yapılandırır:

Gerçek OEP’i ayarlar.

reloc, TLS ve resource dizinlerini temizler.

Checksum sıfırlanır.

OEP'in bulunduğu bölümü belirler ve bildirir.

Temel seviyede IAT (Import Address Table) rebuild işlemi yapar.

Yüklenmiş tüm DLL dosyalarını Dumps/ klasörüne çıkarır.

❌ Neden Dump Edilen EXE Çalışmayabilir? (Özellikle v7.x Sürümlerinde)
Enigma dinamik unpacking yapar, kodu aşama aşama yükler.

Gerçek EntryPoint (OEP), bazı aşamalar tamamlanmadan ortaya çıkmaz.

Bellekte bazı API’ler hâlâ şifreli veya sanallaştırılmış olabilir.

IAT fix işlemi temel seviyededir; yönlendirme veya gelişmiş yapılandırma yapılmaz.

.reloc, .tls ve .rsrc bölümleri sıfırlandığından, uygulama mantığını bozabilir.

🛠️ Manuel Onarma Yöntemleri:
Eğer fixed_dump.exe çalışmazsa:

x64dbg gibi bir debugger ile hedef uygulamayı başlatın.

Tüm UI (arayüz) açılana kadar çalıştırın.

O noktada belleği manuel olarak dump’layın.

Gerçek OEP adresini execution trace’ten tespit edin.

Aşağıdaki araçları kullanarak onarma işlemlerini tamamlayın:

Scylla veya ImpREC ile IAT rebuild.

PE-bear ile PE başlıklarını ve bozuk bölümleri onarın.

Anti-debug kontrollerini veya integrity kontrollerini patch’leyin.

.text veya .vmp section’larını gerektiğinde düzenleyin.

🔮 Gelecek Geliştirmeler:
Tam IAT yeniden yapılandırması (thunk yönlendirmeli)

Gecikmeli import ve forwarded DLL desteği

Resource rebuild veya extraction desteği

VM bölümlerinin temizlenmesi (devirtualizer eklentileri ile)

📁 Oluşturulan Dosyalar:
Dosya Adı Açıklama
dump_raw.bin EXE’nin dump edilmiş ham belleği
fixed_dump.exe PE başlığı onarılmış hali
Dumps/*.dll Tüm yüklü DLL'lerin kopyaları

🧪 Test Edilen Sürümler:
✅ Enigma 5.70
✅ Enigma 6.30
✅ Enigma 7.80

⚠️ Yasal Uyarı:
Bu araç yalnızca eğitimsel ve tersine mühendislik araştırma amaçlıdır.
Yalnızca size ait olan veya tersine mühendisliğini yapma hakkınız olan yazılımlar üzerinde kullanınız.
Yazar, bu aracın kötüye kullanımından veya oluşabilecek zararlardan sorumlu değildir.

[Hidden Content]

What it does

Nuitka .exe / .dll
   └─ RCDATA resource #3  (rcdata_10_3.bin)
         └─ blob header     [CRC32][size]
         └─ .bytecode       → .pyc per module
         └─ __main__        → __main__.pyc
         └─ mypackage.mod   → mypackage/mod.pyc
         └─ ...
                 ↓
         output/
           __main__.pyc   + __main__.hex
           mypackage/
             mod.pyc      + mod.hex

Each .pyc is a proper Python bytecode file: [4B magic][4B flags=0][4B mtime=0][4B srcsize=0][marshal bytes]

Project layout

nuitka_blob_loader/
├── include/
│   └── blob_loader.h        ← public API + complete wire-format docs
├── src/
│   ├── main.c               ← CLI with all flags
│   ├── blob_loader.c        ← verify / find / decode constants
│   ├── blob_export.c        ← .pyc + .hex writer, hex dumper
│   └── crc32.c              ← CRC-32/ISO-HDLC
├── extract_sbox.py          ← dump cipher S-box from the .exe
├── gen_test_blob.py         ← generate a test rcdata_10_3.bin
├── verify_pyc.py            ← verify / disassemble / decompile output
├── Makefile
└── CMakeLists.txt

[Hidden Content]

Feautures;

Handles Themida/Winlicense 2.x and 3.x

Handles 32-bit and 64-bit PEs (EXEs and DLLs)

Handles 32-bit and 64-bit .NET assemblies (EXEs only)

Recovers the original entry point (OEP) automatically

Recovers the (obfuscated) import table automatically

[Hidden Content]

Themida automatic unpacker magicmida
Restored Windows XP compatibility.

Added support for Themida 1.8/early 1.9.

Added support for kernelbase forwards, required by some newer games.

Fixed TLS call detection in some cases.

Increased Themida v3 IAT tracing limit.

[Hidden Content]

Features:

• Automatically resolve trampolines' destination addresses

• Statically deobfuscate mutated functions

• Rebuild fully working binaries

NOTE: Doesn't support ARM64 binaries.

[Hidden Content] 

💥 Dump Encrypted & Packed VMP Protected Executables Easily! 💥
🔹 Description:

This is a high-performance memory dumper tool developed in C++ for advanced reverse engineers and malware analysts. The dumper can extract the full memory or individual loaded modules of a running process — even if it’s packed or protected (e.g., with VMProtect).

🧪 The tool has been tested on VMProtect-protected executables and successfully generated memory dumps of the decrypted, unpacked process in memory.

📌 Features:

✔️ Full process memory dumping (crackfrm_memory_dump.bin)

✔️ Individual module dumps with auto naming (modulename.crackfrm_dump)

✔️ Designed for packed/protected software (e.g., VMProtect)

✔️ Clean Unicode support with centered UI display

✔️ Built with full Windows API compatibility (ReadProcessMemory, VirtualQueryEx, GetModuleFileNameEx)

🧰 How It Works:

🎯 You enter the target process's PID (e.g., 8999).

📦 The tool creates:

A complete binary dump of the process memory.

Individual .dll and .exe module dumps from memory.

💾 Dumped files are saved to the same directory, named appropriately.

🔧 You can then fix and rebuild the dumped .exe using tools like Scylla or PE Bear.

⚠️ Why is the Dumped .exe Broken?

When you dump a protected process like one packed with VMProtect:

The original PE header and section structures are either modified or encrypted.

What’s left in memory after unpacking is not aligned to the original file structure.

Dump tools simply copy memory regions — they don’t rebuild PE headers or imports.

🛠️ How to Fix the Dump?

➡️ Use Scylla or a similar Import Reconstructor:

Launch Scylla, attach to the target process before dumping.

Load the dump file.

Use the "IAT AutoSearch", then "Get Imports".

Finally click "Fix Dump" to regenerate a usable executable.

📁 The fixed dump is saved as: dumpname.exe.bak or similar.

[Hidden Content] [Hidden Content]

Python script to decrypt sourcedefender files.

[Hidden Content]

I now waiting answer from Enigma Protector website. They literally did zero progress since 5.x

[Hidden Content]