عـيـنة برنامج ملغوم للتحليل 04

المصدر: برنامج ملغوم للتحليل 04
في منتدى : منتدى نقاشات واختبارات برامج الحماية

كالعادة عينة ملغومة للتدرب

الأحسن يتم تحليلها ،،، لاستخراج البيانات طبعا...

لكن هذا لا يمنع من استعمال برامج الحماية لتجربة مدى قوتها و مدى قوة التحليل فيها ..

العينة هي عبارة عن برنامج تشفير كلين لكن يجب الحذر ... العينة خطيرة ،،

لذلك أوصي نفسي و اياكم لاستعمال الانظمة الوهمية ....

البرنامج ملغوم .....

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

كلمة فك الضغط : infected


تنبيه هام جداً صادر عن إدارة المنتدى

كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم فهذا القسم مخصص للتجارب

على ملفات ضارة مختلفة الأنواع ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة

بما سوف يجربه والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم

وتجريبه على جهازه والإدارة تخلي مسؤوليتها بهذا الشأن....​

 

السمول بفك الضغط

 

جاري التجربه على بت ديفندر 2017 و 2018

 

trendmicro
تم التصدى عند فك الضغط وبدون تشغيل للعينه

 

النورتن وبدون تحديث تصدى له بمجرد فك الضغط

 

عينه لزيزه فعلا

وشكرا على تلك المواضيع المفيده

ولكننا نفتقر الى احد يقوم بالتحليل واستخراج الباينات

والسبب الراجع الى ذلك لاننا نحتاج الى الشخص لديه خبره فى البرمجه لكى يسهل عليه التنقيح

فالملف وهو على وضعه الحالى لن يصل له احد

بختصار الملف ملغوم بطريقه ذكيه نسبيا

يحتوى على دونلودر والسرفر مخبئ داخل صوره

لكن تكمن الفكره فى كيف تستطيع ان تفك الحمايه الاصليه الى على الملف

حيث تكمن المشكله الاول فى معرفه نوع الحمايه المشفر بها السورس

لان اغلب برامج فحص الحمايه الى على السورس تعطى نتائج خطا ومغلوطه وهاذا ما يجعلك تدخل فى دوامه اخرى من الاكواد الغير مفهومه ويجعلك تتشتت

عموما بالتوفيق للشباب واذا لم يستطيع احد الوصول ساضع حل سريع ان شاء الله للوصول للبيانات ولكنه لن يفيد احد

خصوصا كما ذكرت ان من يحاول استخدام المنقح عليه ان يكون لديه خبره برمجيه كما ذكرت لانك تبحث داخل دوال الملف المختلفه

بالتوفيق

 

أهلين أخي مصطفي ..

و الله دائما منور المواضيع وتقوم باطرائها بتعليقاتك النيرة و التي تفيد كثيرا يا طيب ...

و أتفق معك في كل ما قلته بالخصوص اذا أردنا تحليل العينات الاحترافية ،،،

لكني اظن أنه يمكن تعلم التحليل الأولي و ذلك بغرض الحماية ..

فلما لا نعمل دورات مبسطة و ان أمكن .. دورات مغلقة ... برعاية حضرتك طبعا

و نحاول وضع ديناميكية جديدة لبعث حركة لتكوين فرق للتحليل مستقبلا ..

و الله المستعان ...

 

اهلا بيك اخى الغالى النوميدى

للاسف لن تكون الدوره على المستوى لانها ستقتصر على شرح بعض الادوات البسيطه التى يمكن استخدامها فى الرصد

يمكننا القول ان اغلب الادوات يتم تحديثها بشكل مستمر لكن تبقى طريقه عملها واحد

فقد ظهر كثير من التخطيات والالعيب الكثيره لتخطى تلك الادوات منه على سبيل المثال لا الحصر ( تخطى باسم العميله / تخطى بقتل العمليه / تخطى عن طريقه النافذه / تخطى عن طريق حجم الملف )

وغيرها من الطريق الكثيره فى التخطى

ايضا ادوات المراقبه فى الوقت الحقيقى لن تكون بتلك الدقه التى تتمتع بها ادوات التنقيح المختلفه واكبر مثال على ذلك الملف الذى امامننا لانك بقرائته لتعلمات الملف الداخليه

اصبحت تطلع بشكل واضح على سورس الملف المكتوب فيسهل عليك معرفه ما هو مكتوب فى البرنامج من الداخل

للاسف دوره تحليل الملفات الخبيثه تفتقر الى ان يجب ان يكون عندك مقومات تؤهلك لقرائه سورسات البرامج

للاسف عالم تحليل الملفات الخبيثه لا يرحم وانت معرض الى انت تقع امام ملف ما لا يمكنك معرفه دواخله ان لم يكن لديك خبره كافيه فى اساسيات مهمه

لكنى لن اترك الامر يمر ان شاء الله وسافكر فى ايجاد حال وسط يفيد الجميع حتى وان كان بسيط ليفيد الجميع

بخصوص بيانات الملف الذى اماممنا

اذا حاولنا سباقا كما ذكرت بالبحث عن نوع الحمايه الى على الملف فستجد ان اغلب برامج كشف الحمايه الى على الملف تعطى نتائج خطا وهذا يدخلك فى دوامه من الاتشتييت ولا تعرف ماذا تفعل

اذا حاولنا تجربه الاداه المشهوره de4dot باغلب اصدارتها وحتى المعدل منها وقمت بتمرير الملف عليها اكثر من مره لازاله الحمايه الى على الملف ستجد ان الملف مازال مشفر وتحديدا string

بالنظر الى طريقه تشفير السورس ستجد ان هناك نوع من obfuscator هو من يقوم بتشفير السورسات بهذا الشكل وهو AppFuscator

ولفك تلك الحمايه عليك الاستعانه بادوات خاصه لفكه

يمكن استخدام الطريقه اليدويه بالتعديل على الملف عن طريق المنقح olly والتعديل على جميع عنوانين الكواد فى الذاكره وتقوم بعمل fulldump للملف ومن ثم سيظهر لك الملف خام غير مشفر

او يمكنك كما ذكرت استخدام اداه الفك الخاصه بالحمايه سنقوم بفك الحمايه اولا AppFuscatorUnpacker ومن ثم يتم فك الاستنرج المشفر AppFuscatorStringsDecryptor وطريقه عمل الاداتين نفس الفكره الاولى

بعدها ستحصل على الملف بدون حمايه بالنظر فيه بالتنقيح عن طريق الرفلكتور



رابط صوره

عند الاطلاع على الصوره بقرائه الهكس ستجد السرفر مخبا داخلها

ولفصلهم استخدم اى محرر hex editor وقم بفصل الصوره عن السرفر ببدايه ملف MZ



وفى النهايه ستحصل على سرفر خام

بالبيانات



اتمنى تكون الفكره وصلت

بالتوفيق للشباب

 

جربت جميع أدوات فك الضغط برامج الدوت النت بما فيهم AppFuscatorUnpacker ولم تفلح ولا واحدة هذه الاخيرة لم تشتغل معي أصلا وبدون فك الضغط لا يمكن استخراج الباينات
جربت التحليل بdnspy لكن يعطيني طلاميس فقط

 

اهلا بيك اخى مره اخرى

واضح انك لم تقرا ردى السابق جيدا ولكن لا باس فى الاعاده الافاده

لاحظ هنا انى ذكرت

وهذا شرح سريع من جهازى

http://www.up-00.com/?vYux

رفعت لك الادتنين للفك فى المرفق

بالتوفيق

 

ومن قال أني لم اقرأ ردك جيدا؟ بالعكس
عندما قلت لم تفلح معي ولا أداة قصدت أني جربت ألامر قبل ردك الأول و معناها أوافقك الرأي في ما تقول و ليس معناها أني لم أقرأ ردك . البرنامج يبقى كما هو رغم محاولة فك الضغط
جربت الأداة AppFuscatorUnpacker ينعطب الملف ربما النسخة التي جربت عليها لم تكون صالحة أو حدث خطأ ما
الأن جربت النسخة المرفقة و بالفعل تم فك الضغط واستخراج النصوص بمساعدة الاداة .AppFuscatorStringsDecryptor

 

اعزرنى اخى الغالى ان كنت فظ معك بعض الشى وانى لم اقصد ذلك

المهم ان يكون هناك افاده عامه وتكون استفدت معنا دائما

تحياتى وتقديرى لشخصك الطيب

 

شكرا للأخ مصطفى على تحليل العينة ..

يغلق الموضوغ لتمام غرضه ...

الى موضوع أخر ..