تشفيرة عينه بتاريخ 16/5/2017

المصدر: عينه بتاريخ 16/5/2017
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الباس

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع

 

وعليكم السلام بارك الله فيك أخي مصطفى وجزاك الله خيرا

 

جزاك الله كل خير أخي الغالي مصطفى

 

ألف شكر لك أخي مصطفى على هذا الطرح المميز ...

 

السلام عليكم

 

وعليكم السلام

بسيط وسهل هذه المره

 

بارك الله فيك أخي مصطفى

بارك الله فيك أخي C-Man

ونسأل الله بأن يزيدكم من فضله




-----


إضافة وإن شاء الله يستفيدون منها أخواني وأخواتي

في البداية نغلق الإتصال بالإنترنت

والسبب : عشان راح نشغل العينه اللي وضعها أخونا مصطفى وما نبيها تتصل بالإنترنت

ونقطة إضافية قد نحتاجها بالمستقبل

اللي هي لما نشغل العينه نتأكد بأنها ما فعلت الإتصال بالإنترنت بعد تعطيله

لأن بالإمكان برمجياً إعادة تفعيل الإتصال بالإنترنت بعد تعطيله


-----


الآن بارك الله فيكم

ننقل العينه للنظام الوهمي ولابد نكون مثبتين برنامج لتجميد النظام في النظام الوهمي

والسبب : عشان لما نشغل العينه ما نضطر ننظف شي بالنظام

وفقط إعادة تشغيل ويرجع النظام كما كان


-----


الآن نبدأ على بركة الله وأول حاجه نسويها

نستخدم أي برنامج لمراقبة العمليات في نظام التشغيل

أخوي مصطفى دائماً ما يضع مسميات للأدوات في بداية الموضوع اللي ينصح بإستخدامها أثناء التحليل

فأحنا راح نستخدم برنامج ( Process Hacker ) عشان نراقب العمليات


-----


وبعد تشغيل برنامج مراقبة العمليات نروح للعينه ونشغلها




-----


بعدها راح نتابع الأحداث في برنامج ( Process Hacker )

وللفائدة

راح تجدون في قائمة العمليات لبرنامج ( Process Hacker ) ألوان مختلفة

مبدأياً خلينا نركز على لونين

اللي هم اللون الأخضر واللون الأحمر

فلما يتغير سطر العملية ويصير باللون الاخضر البرنامج يقولنا هذي العملية تم تشغيلها




-----


ولما يصير السطر باللون الأحمر يقولنا هذي العملية تم إيقاف تشغيلها




-----


الآن نلاحظ بعد تشغيل العينه بأن هنالك عملية جديدة بأسم ( YEFDGYT )




-----


ثم نلاحظ مجدداً بأن العملية تم إغلاقها واستبدالها بعملية أخرى بأسم ( chrome )




-----


فلو نقرنا على سطر العملية ( chrome ) مرتين ستفتح لنا نافذة وفيها معلومات شاملة عن العملية

فلو نظرنا للمسار اللي فيه العملية سنجدها في مجلد ( Temp ) وهذي شبهه بحد ذاتها

فننقر على أيقونة المجلد للذهاب إلى الملف




-----


وبعد أن يظهر لنا مجلد ( Temp ) سنجد ملف ( chrome ) وأيضاً ملف ( YEFDGYT )




-----


الآن نأخذ نسخة من ملف ( chrome ) وننقلها لسطح المكتب لبدء العمل عليها




-----


ثم نستخدم أي من البرامج اللي أشار عليها أخونا مصطفى في بداية الموضوع

والخاصة بمعرفة نوع الحماية التي تم استخدامها لتشفير الملف

وسأستخدم أداة ( RDG Packer Detctor )

فبعد تشغيلها ننقر على زر ( Open ) ثم نحدد الملف

ثم نغير أتجاه الخيار إلى ( M-B )

ثم ننقر على زر ( Detect ) لبدء الفحص




-----


وكما تظهر النتيجة الملف مشفر بحماية ( Confuser )




-----


فهنا نحن بحاجه إلى أداة لفك حماية الملف ويجب أن تدعم حماية ( Confuser )

فأمامي طريقين إما البحث عن أدوات في محرك بحث قوقل لفك تشفير هذه الحماية

بأن أكتب كمثال ( unpack Confuser )

أو سأجدها بإذن الله في هذا الموضوع

دورة الهندسة العكسية || كسر تطبيقات الدوت نت [5:1] أدوات فك الحمايات


-----


كذلك هذي المشاركة فيها أشياء جداً مفيدة

http://forum.zyzoom.net/threads/256277/#post-3570493

ولا تنسون يا جماعة الخير

أي أحد من أخواننا يهتم بهذا المجال تصفحوا ملفه الشخصي وشوفوا المواضيع اللي قدمها

بإذن الله راح تستفيدون


-----


الآن بعد أن حملنا أداة لفك حماية ( Confuser ) نطبق التالي

نسحب ملف ( chrome ) ونسقطه على راس أداة ( confuser )




-----


بعدها خلو الجماعة يتفاهمون مع بعضهم ولحد يفك بينهم




-----


وبعد التأديب وإعادة التأهيل

راح تخرج الأداة ملف جديد لـ ( chrome ) وتضعه في مجلد بجانب الأداة




-----


الآن نستخدم أي من المنقحات كبرنامج ( Net Reflector )




-----


وبعدها ننتقل للمسار التالي وراح نجد بيانات السيرفر

والمحدد فيها هو الهوست والبورت وقيمة لبدء التشغيل في الريجستري




-----


والهمه الهمه

ترا بالتطبيق نتعلم

القراءة لوحدها لا تكفي​

 

الحمد الله على نعمه المعرفه

ونشكر الله على ما وهبنا العلم ومنحنا ايه

بل وايضا نحاول تعليمه لغيرنا لكى يستفيد الجميع

اخى وحبيبى فى الله سليمان ما شاء الله عليك كفيت ووفيت فى شرح التفصيلى لتفكيك الملف

وصديقنا الغالى C-Man نتمنى منه الاستمرار فى المشاركه معنا ليس فى مواضيع العينات فقط ونتمنى منه ان يشاركنا ايضا فى النقاشات

نحاول دائما ان نقول حاول فهم ما يطرح هنا ستكون فكره عامله عن التحليل بشكل عام

نعم الامور النظريه لا بد من معرفتها ودرستها لكن دئما نقول التطبيق العملى يعزز قدراتك على الفهم اكثر

وملحوظه قرائتها فى احدى الكتب كتبها احدى المحلليلن

اذا وجدت نفسك دخلت فى دوامه من التعقيدات وانت تحلل عينه ما فتوقف ولا تكمل التحليل

ويقصد هنا تفسيرا انه اذا وجدت نفسك لم تفهم شى عندما تحاول ان تحلل شى فلا تتابع

على الرغم من ان هناك مقوله منافيه لما اوحضها الكاتب والتى تقول ( استمر فى طريقك حتى تنجح وربما ستواجهك عقبات ولكن لا تستلم لها )

المقولتين ينافى احدهم الاخر ولكن

كلى المقولتين صحيحتين لانه المقصود بالاولى حتى لا تصل الى مرحله من التعقدي وتغلق الباب على تفكيرك ( بالمصرى مخك هيقف عن التفكير اذا حاولت ان تفهم شى بالقوه )

والمقوله الثانيه هى الا تفقد ابدا الامل فى حلمك ولما تريد ان تصل اليه لان بالعزيمه والاصرار ستصل الى ما تريد

اتمنى ان هذه المواضيع تكون مفيده قدر الامكان من المواضيع الاخرى النظريه

وشكرا للجميع على التفاعل

 

شكرا للأخ سليمان على شرحه المتميز والمفيد لاخوة..
بوركت يابطل ..
بخصوص عدم مشاركتي في باقي المواضيع أخي الكريم black007 هو أن أغلب المواضيع تخص برامج الحماية .. وهذه الاخيرة ليست من بين اهتماماتي ..
تسجلت لأني تابعت موضوع لعينة تابع لــك وجذبني الموضوع ^_^ .. مع احترامي لباقي تخصصات المنتدى ..

 

جزاكم الله خير أخواني

والله يكثر من أمثالكم يا طيبين

ونسأل الله بأن يبارك فيكم

​

 

شكرا على شرح طريقة التحليل بارك الله فيكم لدي سؤال ماذا لو وضعنا ملف chrome.exe
من غير فك الضغط في برنامج Net Reflector ماذا سوف تكون النتيجة لتاكد من المعلومات فقط

 

من بعد إذنك أخي الغالي مصطفى

وفيك بارك الله اخي الكريم

بالنسبة لاستفسارك

إن كنت تقصد بأن هل هنالك حاجه لإستخدام أداة لفك التشفير ليتم استخراج البيانات

فالجواب على هذه العينه نعم

لأن العينه مشفره ولابد من استخدام الأداة المناسبة لفك التشفير بحسب الحماية

لكي تتمكن من قراءة السورس عند استعراضه بمنقح Net Reflector

وإليك اللقطتين التالية للإيضاح

لاحظ دون فك تشفير ملف chrome كيف سيكون الكود




وبعد فك التشفير

​

 

بارك الله فيك على الشرح وتوضيح , لدي استفسار اخر الاحظ دائما التركيز ولبحث في الملفات على رصد
الاتصالات المشبوهة فقط بمعنى الملفات التي لاتحتوي على اي اتصال تعتبر اغلبيتها سليمه ؟ السؤال
ماذا لو كان فايروس مشفر غير مكشوف من برامج الحماية بسبب انه جديد الصنع ولايوجد فيه اتصالات
الغرض منه تخريب الجهاز كيف سيتم كشفة هل يوجد له طريقة لتحليل من غير الاستعانة في مواقع
الفحص بنفس هذه الطرق بالدرس؟

 

اضافة للموضوع وهي طريقة قطع الاتصال في النظام الوهمي ومستحيل اي برمجة
لاي ملف تستطيع تفعيله لانه القطع من خيارات البرنامج وخارج النظام الوهمي
الطريقة بكل بساطة عن طريق هذا الخيار على سبيل المثال في VMware

 

وفيك بارك الله أخي الكريم

سأعطيك بعض النقاط بحسب ما أعلم

ولعل أخواني يصححون لي إن اخطأت في إيصال الفائدة

هُنالك نوعين من التحليل

- التحليل الاستاتيكي ( أي فحص العينه دون الحاجه إلى تشغيلها )

- التحليل الديناميكي ( أي تشغيل العينه وبدء التحليل )


- - - -


إذا أردت تحليل العينه استاتيكياً

بإمكانك في بداية الأمر التحقق من نوع الحماية المشفر فيها الملف

وذلك عن طريق استخدام بعض الأدوات ومنها :

exeinfope

PEiD

die

RDG Packer Detector


- - - -


بعد ذلك بإمكانك أن تستخدم الأداة المناسبة لفك تشفير الحماية

ثم استخدام المنقح المناسب لقراءة سورس هذه العينه

وهكذا تقرأ السورس وتعرف ما فيه دون الحاجه إلى تشغيل العينه


- - - -


أيضاً بإمكانك رصد سلوكيات الملف أثناء تشغيله

وكمثال عن طريق استخدام برنامج كاسبرسكي انترنت سيكورتي

بحيث تغير الوضع إلى اليدوي

ثم عن طريق الرسائل في الكاسبر ترى ماذا يحاول الملف عمله

وللإفادة :

هذه طريقة تغيير الوضع في الكاسبر إلى الوضع اليدوي




ثم نزيل علامة الصح من أمام خيار " تنفيذ الإجراءات الموصى بها تلقائياً "




- - - -


بالنسبة لطريقة تعطيل الاتصال التي ذكرتها فهي طريقة جداً رائعة

وهذه طريقتين أخرى لتعطيل الاتصال من برنامج Oracle VM VirtualBox

( 1 )




- - - -


( 2 )




في النافذة التالية نزيل علامة الصح من أمام الخيار Cable Connected




- - - -


لعلي أوصلت لك شيئاً من الفائدة

وبالتطبيق ستستفيد بإذن الله

وبالتوفيق أخي الكريم ​

 

شكرا لك اخي الكريم بارك الله فيك على التوضيح ساحاول تطبيق
الشرح على نفس العينة لاخرج بنفس النتيجة باذن الله لانه الموضوع
مهم ويستاهل التعلم والتعب فيه

 

العفو أخي الغالي

نسأل الله بأن يوفقك وييسر أمرك

​

 

محجوز ..