عـيـنة برنامج ملغوم للتحليل 05

هوب هوب هوب هوب
جاري التحليل
وماشي التحليل وراكب التحليل هيوق يوقيوق #الخليل_كوميدي

 

فين dora.dll ياصديقي
المفروض أنه جزء من التلغيمة أيضا
موفق

 

استغفر الله العظيم أيه الفسق دا



دا لو بيحمي الأحتياط البنكي المركزي بتاع سويسرا مكانش عمل كدا


عامة هذا هو الاجراء الملغم Main علطول



هناك دالة Decompress

تابعة لكلاس آخر
لاتستدعى في الأجراء Main

 

الـ Array طويل والليل طويل والنت بطيئ والدنيا مشقلبة فالملف دا



@black007

 

هههههههههههههههههههههههه

شوفت الخدع بنت الأيه
لقد وقعنا في الفخ

البرنامج طلع معيلهوش ولا حماية

دا الواد حاطط الـ identifiers بتاعة كل الحمايات دي للتمويه بس
أنما لما تفتح الكلاس تلاقيه فاضي

بس صراحة غلبني الملف دا
أضنبه بالميجا ضنبر يدي الملف نفسه
أعمله مشروع بالفيجوال يديني overflow
أجي أعدل عليه بالـ Dnspy يعمل exception
أعدل عليه بالـ Reflexil مش يرضى ويدي خطأ



آخر ما زهقت رحت جاي فاتحه في الـ dnSpy شوفت لقيت الموديول dora.dll

رحت جاي عامله Dump region وهوبا وصل الملف

وبلاها اللف والدوران والدوشة دي

 

وراك وراك لما جبتك

كود PHP:

Imports System.Security.Cryptography
Imports System.Text

Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        Dim s As String = IO.File.ReadAllText("D:\2.txt")
        Dim rawAssembly As Byte() = Me.md5Decrypt(Convert.FromBase64String(s), "md5", CipherMode.ECB, PaddingMode.PKCS7)
        IO.File.WriteAllBytes("D:\server.exe", rawAssembly)
    End Sub
    Public Function md5Decrypt(ByVal bytData As Byte(), ByVal sKey As String, Optional ByVal tMode As CipherMode = 2, Optional ByVal tPadding As PaddingMode = 2) As Byte()
        Dim provider As New MD5CryptoServiceProvider
        Dim buffer As Byte() = provider.ComputeHash(Encoding.UTF8.GetBytes(sKey))
        provider.Clear()
        Dim provider2 As New TripleDESCryptoServiceProvider With { _
            .Key = buffer, _
            .Mode = tMode, _
            .Padding = tPadding _
        }
        Dim buffer2 As Byte() = provider2.CreateDecryptor.TransformFinalBlock(bytData, 0, bytData.Length)
        provider2.Clear()
        Return buffer2
    End Function
End Class



ال string مزعج شوية في تجميعه

اهه معدول

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

​