تشفيرة عنيه بتاريخ 26/4/2017

المصدر: عنيه بتاريخ 26/4/2017
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الباس

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع

 

​

 

وعليكم السلام ورحمة الله وبركاته

بارك الله فيك أخي مصطفى

كم كيلو باقي ونوصل ؟

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

​

 

السلام عليكم ورحمة الله وبركاته
أخي الكريم أريد أن اتعلم منكم ومعكم طرق التحليل
ولكن لا أعرف كيف
فهل من الممكن توفير البرامج المذكورة وشروحات لها
وطرق العمل عليها
بارك الله فيك وجزاك الله خيراً وجعله الله فى ميزان حسناتك
أفادنا الله بعلمك وعملك
​

 

بمجرد قرائتى للعباره والاطلع على الصوره

فطست على روحى من كثر الضحك

ما احبه فيك سليمان انك تعطى نكهه خاصه للموضوع لترويق الاجواء من حولنا

وتاخذ الامور كلها ببساطه

تذكرنى بالغالى ميدو

اسال الله ان يعود الينا من الدراسه ويوفق ان شاء الله

استمر فى التحليل فانت فى الطريق الصحيح

اهلا بيك اخى الغالى

كما ذكرت فى اول الموضوع بعض المواضيع التى يتم كتابتها تجعل من يطلع عليها يمل منها

على الرغم من ان الاسلوب المتبع فى الشرح بسيط

ولكنها لا بد منها كما ذكرت حضرتك لانها تعتبر الشى الاساسى للتعلم

حيث ان تلك المواضيع واعزرنى انى لم اقوم بعد بعمل دوره مكتمله ربما قمت بكتابه موضوعين فيها وتركتها وذلك بسبب الظروف الخاصه بى

حيث ان يجب على ان اقوم بشرح طرق الفحص بشكل موسع اكثر ولا اهمل اى جزء كما تفعل بعض الدورات الاخرى التى ليس فيها اى شى من الاحترافيه

مجرد شرح لاستخدام الادوات دون فهم ما هيه PE تحديدا ( PE مصطلح خاص يطلق عليه portable executable فى مجال الحاسب الالى ) وانا لا اريد فعل ذلك

ولا يمكنن ان اقوم بشرح جميع الادوات التى ذكرتها ربما تاخذ وقت طويل نسيبا لفهم الاداه

لان ادوات الفحص الديناميكيه فى تتزايد يوميا بل وايضا يمكنك صناعه ادواتك الخاصه للفحص اذا كان عندك خبره برمجيه

الفكره تتمحور فى الطريقه والاسلوب المتبع فى استخدام تلك الادوات وجمعها كلها لكى تعطيك نتيجه نهائيه فى النهايه

على الرغم من ان بعض ادوات التحليل الديناميكى لا يعتمد عليها بشكل اساسى

انا شخصيا قمت بابتكار طريقتى الخاصه فى فحص واستكشاف الملفات ( مزج بين الطريق الديناميكى والاستاتيكى )

واعزرنى لان اشرح كيف فعلت ذلك لانها نابعه من عده تجارب واسلوب اكتسبته مع الوقت

حيث ان هناك بعض اجزاء من الملف عليك قرائتها بالطريقه الاستاتيكيه ولكن لحظه حتى تستطيع ان تقوم بقرائه تعليمات الملف

من الداخل بالطريقه الاستاتيكيه عليك ان يكون عند خلفيه فى اغلب برامج disassembler حيث ان كل لغه برمجيه

لها disassembler خاص بها

فى حين ان الاجزء الاخر تحتاج الى عمل debug لها

وتقوم بوضع عده نقاط توقف محدد فى اماكن تحددها انت وقت تشغيل الملف لتفهم اسلوب طريقه الملف الذى امامك

لذلك فى النهايه فضلت وضع العينه بشكل مباشر وقمت بنصحك ببعض الادوات التى تستخدمها لكى تنطلق فى تحليل العينه وتعتمد على نفسك

ارجو ان تكون فهمت فكرتى وما اريد ان اوصله لك

تحياتى وتقديرى

 

ألف شكر لك أخي مصطفى على هذا الطرح المميز ....

 

بعد فك تلك الحماية اللعينة ...
انتقلت للطريقة السهلة في جلب المعلومات
"ادا كان من الضروري فك التشفير سأحاول لامشكلة "
يتم استعمال حسابين :
harrell02.duckdns.org
harrell01.duckdns.org
البورت: 7210
العملية :regasm.exe
الاي بي :175.156.82.18

 

بارك الله فيك اخونا مصطفى

ليس لي سابق ولا لاحق بهذه الامور

انما احببت ان اشكر لك طرحك المميز

 

احسنت يا غالى

من بعد اذنك قم بشرح طريقه وصولك للبيانات حتى يستفاد الجميع

ما فى مشكله اخى الغالى التميمى

من متابعه تلك المواضيع ستسفيد كثيرا حيث سيتم فيها نشر الطرق المتبعه فى الكشف

ويوما بعد يوم ستتعلم بنفسك

بالتوفيق

 

جزاك الله كل خير أخي الغالي مصطفى

 

السلام عليكم
للمهتمين بالفك اليدوي..
الملف محمي
تم استعمال اداة iMPROVE .NET Deobfuscator

بعد الفك ..
++
(للمهتمين بفك التشفير)


-----------
شخصيا انتقلت للطريقة التقليدية في الفحص (ديناميك)
المهم بعد التشغيل... تظهر عملية في البروسيسور تحت اسم "appd"


العملية المسؤولة عن ارسال البيانات "RegAsm"


تعديلات على الريجيستري....


++
تعديلات على النظام (يتم استدعاء القيم الموجودة في الريسورس)


++


++



حاولت تلخيص الأمر قدر الامكان .. أتمنى تكون الامور واضحة للمهتمين ..