مركز تحميل الخليج

  1. إستبعاد الملاحظة

عـيـنة برنامج ملغوم للتحليل 05

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة النوميدي, بتاريخ ‏أغسطس 30, 2017.

حالة الموضوع:
مغلق
  1. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,578
    الإعجابات المتلقاة:
    8,025
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10


    [​IMG]
    كالعادة عينة ملغومة للتدرب

    الأحسن يتم تحليلها ،،، لاستخراج البيانات طبعا...

    لكن هذا لا يمنع من استعمال برامج الحماية لتجربة مدى قوتها و مدى قوة التحليل فيها ..

    العينة هي عبارة عن برنامج يجب الحذر ... العينة خطيرة ،،

    لذلك أوصي نفسي و اياكم لاستعمال الانظمة الوهمية ....
    [​IMG]
    البرنامج ملغوم .....:222D

    [​IMG]
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    كلمة فك الضغط : infected
    [​IMG]

    تنبيه هام جداً صادر عن إدارة المنتدى

    كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم فهذا القسم مخصص للتجارب

    على ملفات ضارة مختلفة الأنواع ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة

    بما سوف يجربه والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم

    وتجريبه على جهازه والإدارة تخلي مسؤوليتها بهذا الشأن....


     
  2. kimo7

    kimo7 زيزوومي ذهبي

    إنضم إلينا في:
    ‏ابريل 9, 2014
    المشاركات:
    1,759
    الإعجابات المتلقاة:
    6,567
    نقاط الجائزة:
    1,070
    الإقامة:
    قسنطينة
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    أخرى
    وعليكم السلام
    :eyes::eyes: ملغوم جاري التجربة

     
  3. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    هوب هوب هوب هوب
    جاري التحليل (222y)
    وماشي التحليل وراكب التحليل هيوق يوقيوق #الخليل_كوميدي:222D
     
  4. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    16,184
    الإعجابات المتلقاة:
    40,280
    نقاط الجائزة:
    2,050
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    وعليكم السلام
    تم تجربة التشفيرة على السمول ولم يكتشف شئ
    على العموم بعد الاطلاع على عمل التشفيرة لم الاحظ اى شئ مريب وحتى لايوجد اتصال
    هل التشفيرة مربوطة بip
     
  5. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    فين dora.dll ياصديقي
    المفروض أنه جزء من التلغيمة أيضا
    موفق
     
  6. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,578
    الإعجابات المتلقاة:
    8,025
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    طبعا لب الموضوع في الاتصال يا طيب ...
     
    أعجب بهذه المشاركة reda malossi
  7. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,578
    الإعجابات المتلقاة:
    8,025
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    هل العينة اشتغلت عتدك ؟
     
    أعجب بهذه المشاركة reda malossi
  8. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,578
    الإعجابات المتلقاة:
    8,025
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    Creative Resistance :222D
     
    أعجب بهذه المشاركة reda malossi
  9. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    استغفر الله العظيم أيه الفسق دا

    وةىلارؤ.PNG

    دا لو بيحمي الأحتياط البنكي المركزي بتاع سويسرا مكانش عمل كدا :222ROFLMAO:


    عامة هذا هو الاجراء الملغم Main علطول

    اىلبريؤ.PNG

    هناك دالة Decompress
    ااىلبي.PNG
    تابعة لكلاس آخر
    لاتستدعى في الأجراء Main
     
  10. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الـ Array طويل والليل طويل والنت بطيئ والدنيا مشقلبة فالملف دا

    jmhgf.PNG

    @black007
     
  11. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :.

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,496
    الإعجابات المتلقاة:
    9,849
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    تحياتي للجميع وكل عيد اضحى ونحن واحبابنا واياكم بخير

    اخي لا مجال للعب مع البتدفندر بمجرد فك الضغط حذفه من جذوره


    upload_2017-8-31_4-5-52.png
     
  12. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,719
    الإعجابات المتلقاة:
    4,956
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    اكتشاف سحابي
     
    أعجب بهذه المشاركة النوميدي
  13. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,719
    الإعجابات المتلقاة:
    4,956
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    لكن سؤال كم هو رقم النسخه هل وصلك التحديث
     
    أعجب بهذه المشاركة النوميدي
  14. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    هههههههههههههههههههههههه

    شوفت الخدع بنت الأيه
    لقد وقعنا في الفخ

    البرنامج طلع معيلهوش ولا حماية

    دا الواد حاطط الـ identifiers بتاعة كل الحمايات دي للتمويه بس
    أنما لما تفتح الكلاس تلاقيه فاضي:222ROFLMAO:
    Capture.PNG
    بس صراحة غلبني الملف دا
    أضنبه بالميجا ضنبر يدي الملف نفسه
    أعمله مشروع بالفيجوال يديني overflow
    أجي أعدل عليه بالـ Dnspy يعمل exception
    أعدل عليه بالـ Reflexil مش يرضى ويدي خطأ
    1.PNG
    gjhngfbfd.PNG

    آخر ما زهقت رحت جاي فاتحه في الـ dnSpy شوفت لقيت الموديول dora.dll
    1للابرؤ.PNG
    رحت جاي عامله Dump region وهوبا وصل الملف

    وبلاها اللف والدوران والدوشة دي

    اىللابري.PNG
     
    آخر تعديل: ‏أغسطس 31, 2017
  15. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    :222cool:
    وراك وراك لما جبتك
    Ram.PNG

    كود PHP:
    Imports System.Security.Cryptography
    Imports System
    .Text

    Public Class Form1
        
    Private Sub Form1_Load(sender As System.ObjectAs System.EventArgsHandles MyBase.Load
            Dim s 
    As String IO.File.ReadAllText("D:\2.txt")
            
    Dim rawAssembly As Byte() = Me.md5Decrypt(Convert.FromBase64String(s), "md5"CipherMode.ECBPaddingMode.PKCS7)
            
    IO.File.WriteAllBytes("D:\server.exe"rawAssembly)
        
    End Sub
        
    Public Function md5Decrypt(ByVal bytData As Byte(), ByVal sKey As StringOptional ByVal tMode As CipherMode 2Optional ByVal tPadding As PaddingMode 2) As Byte()
            
    Dim provider As New MD5CryptoServiceProvider
            Dim buffer 
    As Byte() = provider.ComputeHash(Encoding.UTF8.GetBytes(sKey))
            
    provider.Clear()
            
    Dim provider2 As New TripleDESCryptoServiceProvider With _
                
    .Key buffer_
                
    .Mode tMode_
                
    .Padding tPadding _
            
    }
            
    Dim buffer2 As Byte() = provider2.CreateDecryptor.TransformFinalBlock(bytData0bytData.Length)
            
    provider2.Clear()
            Return 
    buffer2
        End 
    Function
    End Class


    ال string مزعج شوية في تجميعه

    اهه معدول

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


     
  16. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,179
    الإعجابات المتلقاة:
    22,258
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    ههههههه

    اضحكنى جدا هذا الملف فمن سيطلع عليه لاول سينخدع بسهوله

    وقد صادفنى ملف مشابه سابقا

    حمايه dora protected مبداها انها تقوم بوضع كلاسات مختلفه لاغلب برامج الحمايه net. المشهوره

    وعندما تحاول فحص نوع الحمايه على الملف مش هتصدق الى انت شايفه

    عموما كما ذكر ميدو فى المشاكتين السابقتين يمكن عمل fulldump عن طريق اداه NETUnpack. وستحصل على الملف خام

    احسنت ميدو فى الووصل للبيانات (222y)(222y)(222y)(222y)

    وشكرا لصديقى العزيز سليم على التلغيمه الرائعه للتدرب

    اتمنى اضافه المزيد للتدرب

    بالتوفيق
     
  17. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,578
    الإعجابات المتلقاة:
    8,025
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    يغلق الموضوع لتمام الغرض

    الى حلقة قادمة ...:222D
     
    MagicianMiDo32 و black007 معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...