مركز تحميل الخليج

  1. إستبعاد الملاحظة

تشفيرة عينه بتاريخ 16/8/2017

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏أغسطس 16, 2017.

حالة الموضوع:
مغلق
  1. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,179
    الإعجابات المتلقاة:
    22,258
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    بسم الله الرحمن الرحيم

    السلام عليكم ورحمه الله وبركاته

    بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

    فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

    لذلك وجب الحذر اثناء تحليل العينه

    ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

    نصائح اتبعها

    استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

    برامج البيئة الوهمية " الانظمة الوهمية "
    VirtualBox او VMware

    برامج تجميد النظام
    Deep Freeze او Shadow Defender

    برامج معرفة نوع الضغط
    Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

    برامج مراقبة الإتصالات
    NetSinfferCs او apate DNS او Cport

    برامج مراقب العمليات و مسارات النزول
    Process xp او Process Hacker
    Spy The Spy

    لتحميل العينه

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

    ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

    بالتوفيق للجميع
     
  2. kimo7

    kimo7 زيزوومي ذهبي

    إنضم إلينا في:
    ‏ابريل 9, 2014
    المشاركات:
    1,759
    الإعجابات المتلقاة:
    6,567
    نقاط الجائزة:
    1,070
    الإقامة:
    قسنطينة
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    أخرى
    وعليكم السلام
    البرنامج يرفض التشغيل
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
     
    محمد توفيق لمين و أبو رمش معجبون بهذا.
  3. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    هوب هوب هوب
    جامدة يادرش جاري التحليل
    بس تشفيرة لذيذة
    dropper (222y)
     
  4. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,179
    الإعجابات المتلقاة:
    22,258
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    برنامج ماذا الذى يرفض التشغيل

    العينه تعمل بدون مشاكل على الوهمى + تقوم ايضا باسقاط ملفات فى مسارات مختلفه

    حاول التحليل مجددا حسب طريقتك سواء كانت ديناميكيه او استاتيكيه
     
    أعجب بهذه المشاركة أبو رمش
  5. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    اسم الملف MSASCui.exe
    المسار
    "C:\DOCUME~1\Admin\LOCALS~1\Temp\MSASCui.exe

    الأبي 73.33.172.17
    المنفذ 54984

    اذا تتبعنا ip عبر الأمر tracert

    نلاحظ أنه يتصل بهذا الدومين

    [​IMG]

     
  6. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    الأن اصبح الأبي مغاير تماما عن الأول

    138.197.122.94
     
  7. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    تسلم يا درش تم الفك يدويا

    الملف في الريسورس غالبا شيل ميتربريتر
    وهناك ملف بات يتم كتابته من قبل الملف الدوت نت سطر بسطر لغرض الإخفاء واضافة ستارت اب
    بس الصراحة عينة جامدة
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    https://www.virustotal.com/#/file/c...df8eb2d6be613a132558d075a9310f3c381/detection


    وهذا الملف الخام بعد الاستخراج

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    infected



    https://www.hybrid-analysis.com/sam...be613a132558d075a9310f3c381?environmentId=100
     
  8. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,179
    الإعجابات المتلقاة:
    22,258
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    تحليل ممتاز ويمكن القول اننا يمكن ان نقول البدايه كلها من هنا

    بعد ازاله الحمايه الى على الملف حمايه Smart Assembly(6.9.0.114)

    فى هذا الميثود تحديدا

    [​IMG]

    +

    [​IMG]

    فانكشن فك الضغط هنا وعكس القيم

    [​IMG]

    يفكى فقط كتابه اداه بسيطه وستتطيع استخراج النصوص المشفره من الملف

    بالتوفيق للشباب
     
  9. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    تسلم يا درش أن بحثت في نيم سبيس واحد الي استخرج الشيل ,, لان حماية السمارت اسمبلي مش اتفكت كاملة ومعظم الاكواد تبع الحماية نفسها
    ان شاء الله هشوف السترنجات الباقية

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
     
    vallecano ،محمد توفيق لمين و black007 معجبون بهذا.
  10. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,179
    الإعجابات المتلقاة:
    22,258
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    الحاجات الى من النوعيه دى بالزات بيكون فيها فنكشنات كتير

    انا قبلتنى قبل كدا ملف شبه ده وكان معمول بنفس الطريقه بس كان كيلوجر

    اول ديما تبص فى جميع الفنكشنات الى بتبقه موجوده فى الملف لان الاجانب ديما مش بيحطوا حاجه كده غير لمه يستفيد منها كويس

    مش هيحط الفانكشن وهو مش هيستخدمه

    ده لو قولنا انه مبيبصش للحجم

    نظام الدونلودر عندهم مختلف شويه عن عندنا لمه بيحبوا يعملو دونلودر بيستخدمو اسكربتات vbs او js ودى اكتر حاجات كنت بقبلها كتير برضه

    (222y)(222y)(222y)
     
    محمد توفيق لمين و MagicianMiDo32 معجبون بهذا.
  11. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    kernel32
    ntdll
    kernel32
    DebugActiveProcess
    WaitForDebugEvent
    DebugSetProcessKillOnExit
    ContinueDebugEvent
    VirtualProtectEx
    NtResumeThread
    ntdll
    ntdll
    CreateProcessA
    ReadProcessMemory
    WriteProcessMemory
    GetThreadContext
    NtSetContextThread
    NtUnmapViewOfSection
    VirtualAllocEx
    NtResumeThread

    كود PHP:
    Imports System.Text
    Imports System
    .Security.Cryptography
    Imports System
    .IO
    Public Class Form1
        
    Private Sub Form1_Load(sender As System.ObjectAs System.EventArgsHandles MyBase.Load
            Dim str
    () As String = {"k2D78XfKUUTlauYHJy5jbw==""hz/hd3D/wavPOBKI/GwbLA==""k2D78XfKUUTlauYHJy5jbw==""3yeAttilqYJ+EMxWxVE4ddmWY1HjswCfYgKGLyrZLhY=""V6N+8pSqbcH59jYCQu9UhOsheGehiCWwgMWITX/35sI=""yBuVrMO/CT3bRB6JacZwOLoNPvBrACveNZiDA4uNRL4=""RP2oKOFv5zcdQxBfVkwNWV/4xNZKt9aR8FkYZz7dohA=""7u2yBsZOLRTRRBdycIOGrxCCPJ0aELG0050xuxwLeQI=""uS4yA9pQAUxtMJao/fRBSg==""hz/hd3D/wavPOBKI/GwbLA==""hz/hd3D/wavPOBKI/GwbLA==""5swmu3DmQiIV8apfrAbwEg==""74rVa+3Aor4AJbfrPJKSmNUtkaSRtW4BgSdbJeK5ZTM=""Lik+qU0gGldGPdmKCxzW3ygMUENMCLECkcqigFIsSbE=""FVSLYiH2b8Zca/XxHFH45Sy7wcGl/wiKuzpNiXI1FpY=""NoTKZvk33CmrNmsxkrYR8fpfiQSvKPuGulJp87OhO90=""uJA9KEAyPwsIBjO5QwzfgvwIQ/9InOarhXI0ovrKN1Q=""Rn9QGk24F2GAlThgCfqH+A==""uS4yA9pQAUxtMJao/fRBSg=="}
            For 
    Each h As String In str
                TextBox1
    .Text TextBox1.Text zero(h) & vbCrLf
            Next
        End Sub
        
    Public Function zero(ByVal string_0 As String) As String
            Dim password 
    As String "fsa"
            
    Dim s As String "cffffffffffffffffff"
            
    Dim str2 As String "@1B2c3D4e5F6g7H8"
            
    Dim bytes As Byte() = Encoding.ASCII.GetBytes(str2)
            
    Dim salt As Byte() = Encoding.ASCII.GetBytes(s)
            
    Dim buffer As Byte() = Convert.FromBase64String(string_0)
            
    Dim rgbKey As Byte() = New Rfc2898DeriveBytes(passwordsalt2).GetBytes(&H20)
            
    Dim managed As New RijndaelManaged
            managed
    .Mode CipherMode.CBC
            Dim transform 
    As ICryptoTransform managed.CreateDecryptor(rgbKeybytes)
            
    Dim stream2 As New MemoryStream(buffer)
            
    Dim stream As New CryptoStream(stream2transformCryptoStreamMode.Read)
            
    Dim buffer4 As Byte() = New Byte(((buffer.Length 1) + 1) - 1) {}
            
    Dim count As Integer stream.Read(buffer40buffer4.Length)
            
    stream2.Close()
            
    stream.Close()
            Return 
    Encoding.UTF8.GetString(buffer40count)
        
    End Function
    End Class

    لا بس ايه رأيك ف الشوية الي لسة فاكرهم من تالتة ثانوي دول

    تحب اكتبلك معادلة نيترة الجليسرول بالمرة :222D
     
    vallecano و محمد توفيق لمين معجبون بهذا.
  12. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,179
    الإعجابات المتلقاة:
    22,258
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    ههههههههه

    البرمجه مبتتنسيش

    مجرد مبتبدا تكتب فانكشن وتمشى ايدك شويه فى الفيجول هتفتكر كل حاجه

    فى عينات حلوه جدا فى الملفات الى بيرفعها الاعضاء هنا لزيزه

    خدلك لفه جدا على العينات الى بيبقه فيها تجميعها هتلاقى ملفات لزيزه

    اكتر ملفات هتلقيها اسكربتات js بقت منتشره بطريقه غريبه

    بالتوفيق ياكبير فى الجامعه وخلى ديما عندك هوايه تفتكر بيها كل حاجه انا كنت زيك كده لمه كان على ايامى

    يدوبك هى سنه واحده بالظبط ونسيت كل معادلات الكيمياء من الواحد بيشوفه

    :222D:222D:222D
     
    محمد توفيق لمين و MagicianMiDo32 معجبون بهذا.
  13. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    هواية الحفر في الطرطليت واستخراج المازوت :222D
    هتوحشني ياكبير
    بس يدوبك جبت السورسات القديمة بصيت عليها شوية افتكرت كتير الحمد لله (222y)
     
    محمد توفيق لمين و black007 معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...