تشفيرة تشفيره جديده بتاريخ 19/6/2017

المصدر: تشفيره جديده بتاريخ 19/6/2017
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

تشفيره جديده بتاريخ 19/6/2017

كلمه مهمه لمجرب العينه

من الافضل اجراء التجربه على الوضع الافتراضى لبرنامج الحمايه لديك

لان ليس هناك اى فائده من ضبطه على اليدوى وتجربه العينه لان الوضع اليدوى انت الذى تتحكم فيه فلا جدوى من تجربه وضع انت تتحكم فيه

دع البرنامج على وضعه واختبر الملف لترى هل ستصدى للملف ام لا

لا اقيد احد باعدادات معينه وكل شخص حر فى اعداداته

ولكن افضل ان تجرب الملف على وضع الشركه للبرنامج

لانى كما ذكرت ليس هناك اى فائده من وضع نتائج على اليدوى انت الذى تتحكم بها

ولا ننسى الهدف الاساسى من اختبار العينات

وهو للتعلم وتطوير الزات فى فهم الرسائل التى تظهر برامج الحمايه فى تعاملاتها مع الملفات الخبيثه

ايضا يجب تجميد الجهاز ببرنامج shadow defender او deep freeze لضمان سلامه الجهاز او التجربه على الوهمى

مع العلم ان العينه ليست تدميريه وانما نوع من انواع ملفات التجسس

ملاحظات مهمه

- فى حاله التشغيل : اترك الملف يعمل لمده دقيقتين لتاكيد عمل الملف بشكل سليم

- العينه ليست للتدرب على الفك وانما موجهه لاختبار برامج الحمايه بشكل خاص ( الدفاع الاستباقى + الجدار وجميع الطبقات الاخرى ) لكن لا باس فى محاوله الفك

- العينه تعمل تحت بيئه X86 + تعمل تحت البيئه الوهميه بدون مشاكل

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى Black007

 

تحياتى وكل عام وانت بخير اخى مصطفى
bitdefender 2018 beta تم التصدى للعينه يظهر ان هناك تقدم فى اداء البت ديفندر بوحده advanced threat defense

 

بارك الله فيك
كل رمضان ونحن واحبابنا واياكم بصحة وعافية وتوفيق

بمجرد فك الضغط تحرك النود وازال العينه مباشره بشكل الي

 

بفك الضغط

 

السلام عليكم

شكرا أخي مصطفى على التشفيرة

التشفيرة مكشوفة من أغلب المحركات قمت بإيقاف الحماية في الوقت الحقيقي

وشغلت التشفيرة هل طلعت عندك ام لا ولو طلعت عندك حاول تحذف برنامج الحماية
عندي لإختبار الدفاع الذاتي أيضا

وعندي نقطة بسيطة وهي لإختبار دروع برنامج الحماية
لازم يكون ملف يقوم بعدة عمليات مشبوهة في وقت واحد
مثلا حقن وإضافة نفسه في عدة مناطق في الجهاز لان هناك
دروع في برنامج الحماية لا تتحرك الا عندما ترى تغيرات غير شرعية

ممكن التشفيرة موجهة للمحرك والدفاع الإستباقي والجدار كما تفضلت أخي مصطفى

وصح فطورك ورمضان كريم عليكم

​

 

التشفيره مكشوفه من اغلب المحركات لانها موجوده على الفايرس توتل منذ اعتمادها

https://www.virustotal.com/en/file/...730efba10359b6b3888b3d32/analysis/1497894566/

راجع هنا

First submission 2017-06-19 14:02:47 UTC ( 4 hours, 49 minutes ago )

اذا حسبت الزمن بين الوقت ستجد انها اقل من ساعه منذ اعتمادها ورفعها

ولذلك ستم كشفها سريعا

بخصوص التجربه

لا لم تظهر عندى

ربما بعد اغلاق الدروع ايضا لم تعمل التشفيره ويتم الامسكاك بها

فى النهايه الملف موجه للاختبار كما ذكرنا ولكن بما ان الجميع يعتمد على المحرك فلا باس

 

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

اسف بخصوص نشر المعلومات كنت لا اعلم انه لايجوز وضعة بالعام

 

اخى الغالى مره اخرى لا تذكر البيانات على العام خصوصا فى التشفيرات لان البيانت تخصنى

يكفى التقاط الصوره + اخفاء اجزاء من الاى بى

 

الجميل انه السيرفر لايتصل عند قطع الاتصال لكي لايثير الشكوك

 

كيف استطع اذا استخراج البيانات

 

حاليا الفحص بالوضع الساكن صعب علي ساحاول بطرق اخرى تحليل السلوك

 

بارك الله فيك أخي مصطفى وجزاك الله خير

وجزيل الشكر لأخواننا

تم استخراج البيانات المشار عليها من قبل أخونا الغالي prooonet

وإن شاء الله بس يكون تحليلي صحيح هالمره

وبأي وقت تحب أضع شرح أو بيانات الدالة ف تآمر أخي الغالي​

 

ضع مع عندك اخى سليمان ستفيد كل من يطلع على الموضوع

على الرغم ان الملف لاختبار برامج الحمايه لكن لا باس فى قليل من التحليل

ستفيد ولو بشى قليل

 

تم عمل Dumps لسيرفر وهو محمي من قبل Eazfuscator ساحاول فك الضغط وتوصل الى نتيجة

 

جميل جدا بالانتظار

 

الصعوبة ليست في فك الضغط وتحليل السلوك الصعوبة في فك التشفير تحتاج خبرة في البرمجة

 

شاهدت بعض الفيديوهات وهي تتطلب صناعة برنامج في بعض الاحيان لفك التشفير
او استدعاء السيرفر الخام وهذي اعتقد من المستحيل اتعلمها من غير برمجة راح اكتفي
بتحليل السلوك بواسطة الادوات التي تفسر سلوك البرنامج لكن لاتستطيع قراءة السلوك
من غير فك الضغط لانه لاتستطيع قراءة string

 

احياننا فعلا حتى تتمكن من استخراج او فك تشفير الاسترنج المشفر عليك ان يكون عندك خبره برمجيه لا باس بها

لان فى التشفيرات التى اعتمدها

اعتمد على اسلوب تحويل الملف EXE الى نص مشفر بخوارزميات معقد والتى احياننا اكون انا مكن كتبتها

او استخدم خوارزميات مشهور او اقوم باستخدام خورزميات اوقم بالتعديل عليها ولا اكتفى بها بشكل مباشر

من ثم يتم تحويل النص string الى بتات صغيره byte حتى يتم تحميلها الى الزاكره لكى تعمل هناك

الاسلوب المتبع فى الشتفيره مختلف فى كل مره لكن المبدا واحد

ربما هذه الكلام نظرى لن يفيد كثيره

خصوصا انك بالضغط على الملف لا تشعر باى شى يحدث فى الخلفيه

لكن اذا احببت ان تتابع جميع الاجرائات التى يقوم بها الملف

ربما ادلك على برنامج اعتبره اسطوره لكن سيبقى السوال كيف ستتعامل معه

وللاسف حتى الان لم استطيع بعد ان اتمكن من كل ما فيه لكبر حجمه واسلوبه الرائعه فى التحليل

+

كنت احضر للبرنامج منذ اول شهر مضان لكى اقوم بتنزيل شرح شامل للبرنامج وكيف تستخدمه لكن للاسف لم انتهى من اعداد الشرح لعده اسباب

منها الدوال الكثيره التى سنعتمدها فى تحليل اى ملف مهما كان نوعه

وهذه بعض منها

accept
AdjustTokenPrivileges
AttachThreadInput
bind
BitBlt
CallNextHookEx
CertOpenSystemStore
CheckRemoteDebuggerPresent
CoCreateInstance
connect
ConnectNamedPipe
ControlService
CreateFile
CreateFileMapping
CreateMutex

ومازال هناك الكثير لان ستم وضع كل داله وفائدتها

اخيرا اذا حابب تبحث عن البرنامج تفضل

API Monitor

وهذه صوره منه






بالتوفيق فى البحث