الدرس العاشر (فك ضغط الملف وحمايته)

المصدر: الدرس العاشر (فك ضغط الملف وحمايته)
في منتدى : منتدى نقاشات واختبارات برامج الحماية

-تحيه طيبه لجميع اعضاء وزوار منتدي زيزوم

-بعد ان تحدثنا بالدرسين السابقين عن ادوات تحديد نوع الملف وضغطه وحمايته اليوم باذن الله سوف نستعرض كيف نفك ضغط هذه الملفات ولكن السؤال (لماذا نفك ضغط ملف ما؟)

*السبب الاول

لاننا لا يمكننا فحص ملف (static analysis ) بدون فك ضغطه اذ سيعطينا نتائج غير دقيقه وغير كامله عن الملف

*السبب الثاني

بعض طرق ضغط الملف تستطيع تخطي برامج الحمايه فاذا اخرجنا الملف من مخباه صار مكشوفا لبرامج الحمايه

*السبب الثالث

بعض الهكر يقومون بتلغيم ملف تنفيذي مثل ملفات التفعيل بملف اختراق ثم يقومون بعمل دمج للملفين بحيث يصعب علي المستخدم

كشف هذا التلغيم (نبهنا اليه اخونا alan neo )



هناك طريقتان -في العموم-لفك ضغط ملف ما

الطريقه الاولي (يدويا)

وهنا نستخدم 3 برامج اساسيه لعمليه فك الضغط

البرنامج الاول هو المنقح- debugger- واشهرهم ollydbg

البرنامج الثاني هو المكثف-dumper- واشهرهم LordPE والاضافه الخاصه ب ollydbg وهي OllyDumpEx

البرنامج الثالث المثبت -fixer-واشهرهم ImpREC

الطريقه اليدويه لفك الملفات هي الادق ولكنها صعبه وتستغرق وقتا خاصه اذا الملف به تخطيات

ولكن لمن يحب هذه النوعيه من الدروس فيمكنه تعلم هذا الفك من خلال هذا الموقع (به مئات الدروس تقريبا لجميع برامج ضغط الملفات وبجميع اصداراتها)

-هناك بعض الادوات التي تكون مخصصه لنوعيه معينه من الملفات مثل المبرمجه dotnet تقوم بعمليه

الفك هذه بطريقه سهله مثل NET Generic Unpacker



الطريقه الثانيه (اليا)

-هناك ادوات مبرمجه خصيصا لعمل هذا الفك بدلا من عناء الفك اليدوي وهي ادوات مفيده للغايه ولا يمكن الاستغناء عنها

-اول شئ كما ذكرنا بالدرس السابق نستخدم اداه تحديد نوع الملف



كما بالصوره الاداه تخبرنا بنوع الضغط والاصدار وترشدك للاداه التي يمكن استخدامها في فك الضغط



بالصوره الاداه التي اقترحتها اداه تحديد نوع الملف



الاداه نجحت في فك ضغط الملف كما هو بين بالصوره



وهنا النتيجه الملف لم يعد مضغوطا وظهر لغه برمجه الملف



السؤال هنا (كيف احصل علي الاداه المناسبه لفك ضغط ملف ما؟)

-اولا اداه تحديد نوع الملف سترشدك الي الاداه المناسبه

-اذا لم تستطع الاداه ارشادك استخدم محرك بحث جوجل فمثلا هنا الضغط كان pecompact

نكتب بمحرك البحث pecompact unpacker

والنتيجه



-اذا لم تنجح الطريقتين فبامكانك استخدام الادوات المخصصه لفك العديد من الضغط وهذه روابط باشهرها

http://rce.su/tag/unpacker/

http://www.woodmann.com/collaborative/tools/index.php/GUnPacker

http://www.woodmann.com/collaborative/tools/index.php/FUU_(Faster_Universal_Unpacker)

http://www.woodmann.com/collaborative/tools/index.php/PackerBreaker

اذا لم تنجح اي من الطرق السابقه فليس امامك الا الطريقه اليدويه



تنبيه للاهميه

ادوات فك الضغط لا تستخدم الا علي الوهمي او النظام مجمد لانها تقوم بتشغيل الملف فانتبه

اي استفسار لا تتردد

 

سؤال للنقاش

طبعا كلنا نعرف برامج الضغط winrar & winzip وغيرها من برامج فك الضغط

الاستفسار هنا لماذا لا نستخدم هذه البرامج في فك ضغط هذا النوع من الملفات المضغوطه او بعباره

اخري ما الفرق بين هذا الضغط والضغط الذي يستخدم فيه برامج فك الضغط العاديه

 

الله يعطيك الف عافية اخي
هذا ماكنت انتظره فكثير من صانعي الباتشات يقومون بدمج تلغيم مع التفعيل ومن يجيد هذه الطريقة يستطيع الحصول على التفعيل نظيفا عبر فك ضغطه .
اما لماذا لاتستطيع البرامج العادية من برامج الضغط فعل ذلك فلاأعرف الا ان 7zip ينجح في فك بعضها وانتظر التعليل
بارك الله فيك وبعلمك

 

بارك الله فيك

 

شرح مميز --- بارك الله فيك

 

بارك الله فيك اخي الغالي موضوع رائع ومهم



لماذا

السبب هناك الاف صيغ الضغط لا يتعرف عليها ونرار واي شخص محترف يمكنه صنع صيغة صعبة الفك ولا يمكن فكها الا يدويا والبعض الاخر تحتاج الى خبرة عميقة في عملية فك الضغط


بعيدا عن الهكر و التشفير معربو البرامج يستخدمون فك التشفير كثيرا وعادة يكون مضغوظ بشكل بسيط ويمكن فكة بسهولة وهذا البرنامج مشهور عند المعربين universal extractor يقوم على فك اكثر من 70 صيغة ضغط

لكن تجد هناك من يقوم بضغط بصيغ جديدة او هو من قام بصناعتها وايضا يقوم بسد الثغرات عن طريق لغة اسمبلي لمنع التخطي ويستخدم هذا البرنامج لذالك ollydbg البرنامج متعدد الاستخدامات وهو موسوعة بحق ويحتاج دورات ليتم شرحة ويوجد مؤلفات لشرحة في سد الثغرات لمنع فك التشفير

على سبيل المثال :defenswall والكمودو يتم فك الضغط عنة بالونرار انا اتحدث عن ملف التنصيب وليس ملفات البرنامج ومنها تتطلب معرفة نوع التشفير مثل trastport

مثلا الكهيو في فترة من الفترات كانت قد عملت تشفير لملفات اللغة ولم يستطع احد ان يقوم بفك الضغط عنها سواء عرب او اجانب



مشكور على الموضوع الرائع في ميزان حسناتك

 

الله يبارك فيك اخي

والله انت نبهتني الي نقطه في غايه الاهميه غفلت عن ذكرها وسيتم التنبيه لها بالموضوع وهي مسئله دمج ملف اختراق مع ملف اخر وضغطه بصيغه دمج مما اشرنا اليه

وبالنسبه ل 7zip لان به خصائص استخراج resources من الملفات التنفيذيه الا انه محدود للغايه

وهنا اداه نفس طريقه عمل 7zip الا انها تدعم الكثير من الصيغ اضافه الي 7zip

http://legroom.net/software/uniextract

الصيغ التي تدعمها الاداه

http://legroom.net/software/uniextract#formats

هذه ادوات استخراج resources وليست فك دمج -unpacker

 

كالعادة موضوع مميز
وشرح في قمة الابداع

بالرغم من قلة خبرتي في مجال الحماية

الا اني متابع لدوره كشف اختراق الاجهزة​

 

اهلا بالغالي

ليس السبب كثره صيغ الضغط فبعض الادوات تستطيع فك عشرات الصيغ مما لا يستطيع الوينرار او غيره من نفس النوع من برامج فك الضغط علي فك صيغه واحده منه

واتفق معك في

واي شخص محترف يمكنه صنع صيغة صعبة الفك ولا يمكن فكها الا يدويا والبعض الاخر تحتاج الى خبرة عميقة في عملية فك الضغط

 

تسلم بارك الله فيك

من المواضيع الهامه والواجب على كل عضو زيزومي الاطلاع عليها
لو تحقق هذا راح يتشكل قروب فحص وتفكيك ملفات بالاضافه لقروب التلحليل بقسم النقاشات
بالاضافه لقروب الصيانه
بيتشكل بعد فتره هيكل جديد من الاعضاء
ممكن نسميهم قروب فحص / قروب تحليل / قروب صيانه

من يدري يمكن يتحقق الحلم

 

باذن الله سيتحقق يا غالي

 

انا لا اتكلم عن خصوصيه كل نوع من انواع الضغط فقد اشرت بالموضوع ان هناك العديد من ادوات ضغط الملفات منها السهل الذي يتم فكه اليا وبسهوله تامه ومنه ما لا ينفك الا يدويا

انا اتكلم في عموم انواع الضغط

عندنا نوعان

نوع يحتاج لادوات خاصه لفكه بل احيانا لا يمكن فكه الا بطرق معقده

ونوع كليك يمين ونعمل للملف استتخراج مثل winrar & winzip الخ

اظن كده وضحت

 

ليس هذا ما اقصده

واضح اني مش عارف اوصل السؤال

لمزيد من التوضيح

ليه هذا النوع من الضغط لكي نفك ضغطه بنعمله dumping -تكثيف-من الذاكره بخلاف الضغط العادي

 

او ... زيزوم للامن و الحمايه ... و ليس زيزوم للاختراق