للخبراء فقط :: مساعدة في ملف مشبوه

متع نظرك يا حاتم و شوف كلامي مقنع ام لا

http://hotfile.com/dl/106530796/49b93ff/1.rar.html
​

 

تم الارسال
​

 

انت k:

الان اخي الكريم يوجد برامج معينة لحماية الاكواد

و بالتالي افضل مبرمجين الفجيوال بيسك لن يستطيعوا معرفة كود او سورس البرنامج
​

 

ننتظر من يحللو الملف و كل الاحترام لهم على وقتهم و جهدهم :king:
​

 

ارسل للتحليل

 

مافهمت اش الي تقصده يامحمود بصراحة بالفيديو
تريد ان تثبت انه انه هناك اشئ اخفاه عني Online Armor
طيب هل هناك خطاء في تحليلي عشان اراجع اوراقي قبل فوات الاوان


​

 

عــــودة لنقطة ، انا استطيع جلب السورس كود لبرنامجك ..

ما دام مشفره بـ Smart Assembly .. //

وللفائدة ، جرب الـ .NET Reactor ، بس مشكلته الـ HEX >> , وأعتقد انحلت بالإصدار الجديد ..

--

 

تحليل موقع threatexpert يؤكد كل كلمة قالها : أبو العباس

http://www.threatexpert.com/report.aspx?md5=d70f116f15fa5759366557b6b5bddf4c

شغلته على الجهاز الوهمي ولكنه لم يعمل
عندي مشاكل في الجهاز الوهمي .

وجهازي الحقيقي ويندز 7 بت 64 ما أظنه يعمل عليه .


​

 

بدون التحليل يافهد عن طريق الموقع ياريد الاخ ابو العباس
تحليل عن طريق المكافحات مع العلم انه نفس الاي بي الموقع + رابط الموقع
في تحليلك بنفس النتيجة الي وصل اليه Online Armor
​

 

يا حاتم
أنا ذكرت أني شغلته على الوهمي ولكنه مارضي يشتغل بشكل صحيح
يظهر رسالة أن فيه مشكلة بالنت فريم مع أني مثبت النت فريم

وهذا كله مسجل عندي بشرح فديو .

بس حبيت أنصف أبو العباس لأنه تعب وبعض الأخوه كأن عندهم شك بصدق كلامه
​

 

الملف الاول انا بنفسي شككت بكلامه وجاري ارسال الك الملف الاول وقم بعمليه التحليل على كيفك
حتى حلله بنفس شركة threatexpert
وشوف النتيجة بنفسك ^_^
​

اما الملف الثاني تصنيفه على حسب التحليل threatexpert
Trojan-Dropper.MSIL

نرجع لردي السابق شوف الاسكوريد ماذا صنفه Trojan-Dropper.MSIL!IK

في الرد هذا
http://www.zyzoom.org/vb/showpost.php?p=2882883&postcount=141


ايضا عندك هنا شوف التحليل threatexpert ماذا كتب 64.62.181.46 الاي بي والبورت 80

والرابط h1.ripway.com

طيب شاهد هنا




في الرابط هنا
http://www.zyzoom.org/vb/showpost.php?p=2884540&postcount=151


طبعا من هذا الكلام يافهد تستنج ماذا
تحليلي خطاء وتحليل threatexpert خطاء ؟

!! مع العلم لم اشاهد threatexpert التحليل حقه الا الحين لما انت رفعته

وبصراحة لحتى الان يالغالي
مااعرف اش بده مع اني جبت تفصيل الملف الثاني بادق التفاصيل
ولااعرف ماذا يريد اكثر من هيك

 

متابع بصمت وللعلم أنا رأيي

مع راي أبو العباس ..

موفقين ..

 

مع الأسف جميع التحاليل حتى الآن خاطئة ، واصلا ما في غير حاتم :d: .. //

يعني انت ايش حللت ، ان البرنامج يعتمد على حزمة فريم وورك 2 ، طيب الله يعطيك الف عافية .. //

ايش بعد ، ااه صح ، البرنامج يعتمد على الاكسبلورر ، طيب الله يعطيك الف عافية .. //

ونقطة أخيرة ، يعدل قيمة في الريجيستري ، والله يعطيك الف عافية .. //

طيب انا الى الآن ما شاهدت اي تحليل منطقي للبرنامج / مع اني متأكد من وجود ثغرة بسيطة جدا ، لو كشفت ، رااح تنحل المشكلة بكل بساطة .. //

أتمنى لكم التوفيق ، وحاتم ترى انت قريب منها ... :hh:

سلام

 

بدي اقلكم اشئ قبل ماابو العباس
ينهي الموضوع بكلمته الجميله
بصراحة وبكل صدق اني استمتعت في هذا النقاش
مع انه كان حاد قليلا وانحرف عن مساره ايضا قليلا ايضا
الا ان كان الملف كان من اجمل الملفات التي توقعته
وكان من صعب تحليله .. احييه على هذا الملف
على رغم انكم انتم لاتعرفون انه قد زرته في يوما ما وتلقايا مع بعضنا البعض
وانه زارني في بيتي ^_^ وهذا كان شرف الي بصراحة
وبما انه وعد اليوم انه راح يضع الفيديو ماهي الا دقائق راح يضع الفيديو
ويطلب باغلاق الموضوع
كما وضح هنا
اعلن انسحبي من هذا الموضوع اذا جاب الاخ محمود
اشئ جديد غير الي انا قلته هنا
ويكون تفوق علي ب 1 صفر لصالحه ^_^
(اش رايك برو ح الرياضيه تبعتي ياابو العباس )
​

 

Smart Assembly الاصدار 5 لا يوجد لحتي اللحظة برنامج يستطيع فك تشويشه للاكواد :no:

.NET Reactor راح يعطي رسالة انه البرنامجي محمي بوراسطته لانه لا يوجد بالانترنت اصدار مرخص

او مفتاح للترخيص للاصدار الاخير

 

يالغلا لاهنت تزور الرابط هذا

http://www.zyzoom.org/vb/showpost.php?p=2727531&postcount=2

 

الاون لاين ارمور لم يقم بتحليل الملف
اي برنامج لتحميل المفاتيح سيقوم بهذه السلوكيات

وخاصه انه سيطلب الاتصال على الانترنت واستخدام عمليات اخرى ك NETFRAMEWORK وغير ذلك
ما الغريب في ذلك !!




تنبيه اكثر من طبيعي
كيف سيتم تحميل المفاتيح ان لم يتصل بالانترنت ان كان فعلا برنامج حقيقي لتحميل المفاتيح
​

 

وجدي وريني مكافحاتك اش بدها تساوي امام هذا الملف :d:
وريني تحليلك الخاص
ابدعنا .. هل عندك الملف ولاتحب ارسله الك يالغالي

 

فعلاً للاسف حتى الفيجوال بيسك لا حول له ولا قوه بعد يصير المشروع بصيغة exe

:f:حاولت تتبع الاوامر والملفات والمفاتيح التي يقوم بإنشائها البرنامج لكن للاسف لاني لم استطع كسر التشفير وكانت القيم في برنامج اولي تظهر ان البرامج يعمل بالفريمورك والخ لكن الاوامر المصيريه التي تقوم بالتغيير لم تظهر,, الشي الوحدي الذي ظهر ان هناك تتغيير لكن كيفية هذا التغيير او مسار هذا التغيير لم يظهر اكيد بسبب التشفير ما شاء الله علي بس .:hh::hh:


على ما شفت ان في البرنامج وقد اكون مخطئ اول شي يقوم به البرناج ينشئ ملف dll في التيمب وملف regdll.tem بعدين يقوم الفيروس باستدعاء ملف الدي ال ال الذي انشئه في التمب ويشغله بعدين يقوم الفيروس بالتعديل على mscoree.dll الي هو موجود في السيستم 32 وهو من ملفات النظام


بالنسبه الي العمليات الاخرى التي يقوم بها الفيروس لا اريد التطرق لها لانني لم ارها بوضوح كافي لشرحها
والله اعلم

تحيــــاتي لك استاذ محمود

 

:d::d: شغلته بدون اي مكافح ولم توضع اي قيمه في بدء التشغيل msconfig

وجربته على الكومودو رصد فقط مثل هذه السلوكيات الطبيعيه واضافة قيمة ريجيستري هنا




وملف من نوع dat في Documents and Settings وتم السماح بانشاءه :i:
والعمليات التي يستخدمها هي فقط لضمان تشغيل الملف بشكل صحيح
لاشيء اكثر من ذلك حتى يقوم ابو العباس برفع السيرفر لان الملف المرفوع حاليا من نوع text فقط



​