تشفيرة عينه سريعه للتحليل

المصدر: عينه سريعه للتحليل
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

كيف حال الشباب ان شاء الله الجميع بخير

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

باس

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع

 

تم التخطى bitdefender 2017 internet security

 

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

 

اسف لم الحظ وجود هذه الجمله قبل بدايه التجربه

 

بارك الله فيك أخي مصطفى وجزاك الله خير على حبك وسعيك لمساعدة أخوانك في التعليم

تم ولله الحمد وضع العينه بالخلاط وسكب السورس بالكوب وباقي التقديم فقط

وبإذن الله سأضع الطريقة اللي استخدمتها بعد التأكد من صحة البيانات

يالله أخواني ورونا إبداعاتكم

تراني شعرت بفقدان الأمل مبدأياً ومع عدة محاولات توصلت لنتيجة​

 

يمكنك تحليل ان استطعت


او خذلك عينة من هنا هههههههههههههههههههه

عـيـنة 862 ملف بتاريخ 17-04-21

في انتظار تجاربك

 

ربما

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

البيانات صحيحه

احسنت

اذا ما فيها ازعاج اشرح الطريقه للشباب حتى يستفادوا

 

لم اقم للاسف ب تحليل الملف بشكل يدوى اخى الكريم
ولكن تحليل موقع اون لاين حيث يعرض لك كل ما بالملف من بيانات والاتصالات التى يقوم بها .

 

كنت افضل ان تعتمد على نفسك بدون الاعتماد على موقع للتحليل

فهذا سيعزز قدراتك على كشف الملفات اذا كنت مهتم بالتحليل فعلا

ايضا سيقلل بشكل كبير من الاعتماد على برامج الحمايه

عموما شكر لك على المشاركه الطيبه وبانتظار الشباب لكى يحاولوا مع الملف

 

لك كل الشكر أخي الحبيب مصطفى ولكن للأسف ليس لي سابق معرفة بالتحليل اليدوي

 

السلام عليكم شباب
أولا شكرا للاخ black007 على مثل هذه المواضيع
التي بصراحة ستزيد من نشاط القسم أظن لأن الكثير يبحث على مثل هذه المواضيع البنائة و التي تدخل العضو في صميم الموضوع
حتى و ان كان الجانب النظري لا بد منه الا أنه يزرع نوع من الملل في التعلم .
ثانيا صراحة حللت يدويا بكل الطرق لم أجد شيء
لا اتصال و زرع للملفات ممكن الطريقة المتبعة لاستخراج المعلومات
شكرا مسبقا

 

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

الملف به خدعه رائعه والصراحه

حيث انه قام بوضع دونلودر مشفر ومقسم

من الناحيه النظريه ستجد انه قام بتشفير الملف الهدف السرفر الذى سيخترق بيه

و قام بتحويله الى اسرنج بخوارزميات BASE64 وقام بخفائها داخل الملف الاساسى

طيب كيف قام باخفاء الاسترنج وانه من المفترض الحصول عليها بسهوله

حتى اذا قمت بتحليل الملف ستجد ان الرابط مشفر وغير ذلك مقسم

وغير مرتب

لاحظوا هنا هذه الداله



هذه هى الداله التى اعتمد عليها المخترق فى وضع روابط الاسترنج BASE64 وكما هو ملاحظ

مشفر الفكره كيف تقوم بفك تشفير تلك الروابط وتجمعها

هذا يعتبر طرف الخيط فى الملف

اتمنى الاستكمال من هنا والمحاوله مره اخرى

 

بارك الله فيكم أخواني

أخي مصطفى هل تأذن لي بإيضاح الطريقة اللي استخدمتها​

 

تفضل اخى الغالى سليمان

قم بشرح الطريقه لكى تفيد الجميع

 

بارك الله فيك أخي


-----


أخواني هذا الشرح بإذن الله راح يوفر عليكم جهد كبير في التحليل

فقط أحتاج منكم تطبقونه عشان تكتشفون النتيجة بأنفسكم

وهذا الشيء راح يعزز من معنويات أخواننا اللي حابين يتعلمون

ومع التطبيق والممارسة المستقبلية بإذن الله راح يكون لكم طرق خاصة فيكم

وبعدها يجي دوركم في نشر هذي الطرق عشان نتعلم جميعنا ونستفيد

نبدأ

بعد تشغيلي للعينه اللي وضعها أخونا مصطفى

حاولت أستخدم تطبيق ( MegaDumper ) عشان أستخرج الملفات الموجودة بالذاكرة

ولاكن مع الأسف فشلت هذي المحاولة لأني كنت مغلق الاتصال بالإنترنت أثناء تجربة العينه

والعينه هي أساساً تحتاج لإتصال بالإنترنت عشان تحمل بعض الأكواد كما ذكر أخونا مصطفى

فاللي جعلني أتنبه لهذا الأمر

بعد ما أغلقت العينه ظهرت لي الرسالة التالية واللي كان فيها عنوان موقع ( Pastebin )



وهذا الموقع أخواني يمكن من خلاله وضع أكواد نصية ثم استدعائها من الصفحة من خلال التطبيق


-----


فلسهولة استخراج السيرفر راح نستخدم تطبيق ( dnSpy )

ثم نسحب العينه ونسقطها في المساحة المحددة




-----


بعدها ننتقل للدالة اللي راح تنفذ التعليمات بعد غلق العينه



ولو نلاحظ بالكود السابق هو نفس الكود اللي أشار له أخونا مصطفى


-----


طيب الآن راح نتتبع الأسطر اللي تنفذها هذي الدالة

فالمطلوب نضع نقاط على جميع الأسطر التالية ثم ننقر على زر ( Start )




-----


ثم ننقر على زر ( OK ) للبدء في التتبع




-----


الآن راح يبدأ من أول انطلاقه للعينه

فالمطلوب منا نتابع الأحداث اللي تحصل في الجدول المحدد في الرقم ( 2 )

ثم ننقر على زر ( Continue ) والمحدد بالرقم ( 3 )




-----


الآن راح تعمل العينه فننقر على زر إغلاق النافذة عشان تعمل الدالة اللي ذكرناها مسبقاً




-----


لاحظوا في الجدول التالي

بدأ في عرض الروابط فخليه يعقد المسأله على راحته لأن أنا ما يهمني اللي سواه

أنا فقط أبي الناتج والناتج ظاهر لي بالجدول




ف نكمل تتبع وننقر على ( continue ) كما هو محدد بالصورة السابقة

ونتابع الأحداث اللي تحصل بالجدول


-----


وأهم حاجه واللي يهمنا هو الناتج النهائي أي بيانات السيرفر واللي مضافه في ( rawAssembly )

فننقر بالماوس يمين على القيمة ثم نختار ( Save )




-----


وبعدها نكتب أي اسم للحفظ مع وضع الامتداد ( exe )




-----


وهذا هو السيرفر أخواني

وعشان نستخرج بياناته نستخدم أي منقح كـ ( Net Reflector. )




-----


والنتيجة

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

-----


وأتمنى أن أكون قد وفقت بالشرح

وإن كان في خطأ في أي نقطة ذكرتها

فأفيد أخواني بأني لا زلت أحاول أن أتعلم وأستفيد

فيرجى تصحيحها لي​

 

ابدعت فى الشرح اخى سليمان وتحليل رائع جدا منك

الطريقه المتبعه فى التتبع تخص الاجزء الاكبر فى التحليل وهو تتبع رابط الدونلودر المشفر

فالاتجاه الان من ناحيه التلغيم هو وضع رابط مشفر حيث عندما قمت باستخدام MegaDumper فى اول مره لم تحصل على اى شى

لان فى الاصل هناك دونلودر وليس دونلودر عادى بل ومشفر ايضا فمهما فعلنا لن نسطيع الحصول على عليه

اتمنى ان تفيد الطريقه جميع الشباب

 

السلام عليكم
هذا ما كنت بحاجته فكم من مرة اود تعلم التحليل لكن لا اتبع الطرق الصحيحة
الف شكر اخي مصطفة على هذه الفرصة القيمة التي منحتنا ايا وشكرا للاخ سليمان على الشرح
سأحاول اتباعه ان شاء الله

 

جميل .... و شرح أجمل
شكرا لك أخي سليمان على التوضيح
حيث عندما استعملت universal extractor لم أجد أي سرفر فهمت أنه مشفر
لكن طريقة استدعاء الروابط عبر pastebin بصراحة هي طريقة ذكية لأنه في Cports لاحظته
فقلت هو لا علاقة له بالسيرفر
و الله هكذا مواضيع تفتح الشهية ، حبذا لو يتم تكوين مدرسة لمثل المواضيع من طرف الاخوة المحترفين و الادارة
تقبلوا مروري شباب