مركز تحميل الخليج

  1. إستبعاد الملاحظة

مـلـغـوم عينه بتاريخ 6/9/2017

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏سبتمبر 6, 2017.

حالة الموضوع:
مغلق
  1. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    بسم الله الرحمن الرحيم

    السلام عليكم ورحمه الله وبركاته

    بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

    فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

    لذلك وجب الحذر اثناء تحليل العينه

    ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

    نصائح اتبعها

    استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

    برامج البيئة الوهمية " الانظمة الوهمية "
    VirtualBox او VMware

    برامج تجميد النظام
    Deep Freeze او Shadow Defender

    برامج معرفة نوع الضغط
    Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

    برامج مراقبة الإتصالات
    NetSinfferCs او apate DNS او Cport

    برامج مراقب العمليات و مسارات النزول
    Process xp او Process Hacker
    Spy The Spy

    لتحميل العينه

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات فقط

    بالتوفيق للجميع
     
  2. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,489
    الإعجابات المتلقاة:
    7,878
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    السلام عليكم و رحمة الله
    أسعدت مساءا أخي مصطفى .. و ان شاء الله أنك بخير و في أتم الصحة و العافية ..
    يا طيب ... هل العينة تعمل على النواتين أم 32 بت فقط ؟
     
  3. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    وعليكم السلام واهلا بصديقى العزيز سليم

    العينه عند تشغيلها تقوم باستدعاء ملف dw20.exe الخاص بمكتبه Microsoft.NET\Framework\v2.0.50727\ لكى تقوم بحقن نفسها فيه

    ولكنها تفشل فى الحقن ويظهر رساله خطاء

    لذلك تشغيل العينه فى الحالات العاديه ربما لان يفيد كثيرا

    الا اذا اردت ان تقوم بعمل fulldump واستخراج الملفات الخام

    العينه تعمل مع النواتين 64x / 86x

    بالتوفيق
     
  4. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    استخرجت البيانات بالتشغيل فقط بعد فك الضغط على الملف لا أريد الاكتفاء بهذا يبدو أن النصوص مشفرة سأحاول فك التشفير بOllyDbg
    رغم أن هذا الأخير لا ينقح برامج دوت نت لكن سأحاول بعد صلاة المغرب ان شاء الله

    [​IMG]
     
  5. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    بانتظار التحليل اليدوى

    خصوصا فعلا ان جميع البيانات الاسترنج داخل الملف فعلا كلها مشفره

    وتحتاج الى دوال للفك ستجدها كلها داخل الملف

    بالتوفيق
     
  6. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,451
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    تسلم ادرش
    شكلها ضعبة حبتين كدا
    متوهة شوية
    وفيه بايت ونص في الريسورس
    وبعدين بحلل بالـ IL علشان الريفليكتور مش راضي يعرض القيم المشفرة
    بس ان شاء الله هوصلها
     
  7. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,451
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    بقولك أدرش

    أنا وصلت لحد هنا RUN PE
    استخرجت مكتبة من الذاكرة بالدي ان سباي
    المشكلة ان الاكواد مشفرة يعني obfuscated
    ومش شايف اي كود بيعمل اي وظيفة

    لا استدعاء تشفير لانقاط ادخال لااستدعاء ران بي
    نتالبلاتن.PNG

    الحماية صعبة ورزلة
     
  8. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    بعد فك الضغط على الملف

    [​IMG]
    ينتج عنه ملفين تنفيذيين واحد exe و الثاني dll أيضا مضغوطة بSmartAssembly 6.9.0.114
    عند فك الضغط على المكتبة تجد جميع النصوص مشفرة وهنا المشكلة.
    عند محاولة فك التشفير عن النصوص تختفي أداة فك التشفير
    يعني anti debug
    ليست لدي خبرة في عمل anti anti debug لبرامج الدوت نت أو تجاوزها

    [​IMG]

    ان بقي الموضوع مفتوح سأحاول مرة أخرى فك تشفير النصوص ان استطعت
     
  9. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    فى string فى الريسورس بصيت عليها ؟؟

    بما انك مش عايز تشتغل بال dump بص على الاسترنج الى فى الريسورس

    +

    فيها ملفات ايضا فيه

    الاستدعائات فى الغالب عن طريق الشروط لانه لمه بصت على الملف مركزتش اوى فيه من ناحيه قرائه الشروط

    الملف متشفر بطريقه رخمه فعلا وليس كالطرق التقليديه + عليه حمايه Smart Assembly(6.8.0.121) الى لو فعلت اغلب خواصه بيشفر الملف ومينفعش تفكها

    حتى لو استخدمت d4dot

    الملف الهدف هو تحت اسم Microsoft كما اوضح الغالى vallecano

    مرحله جيده ما وصلت لها اخى الغالى حتى الان

    يتبقى لك فقط فك الاسترنج المشفر بعكس القيم عن طريقه كتابه برنامج بسيط بالفيجول

    لفك الاسترنج المشفر ستحتاج الى داله الفك وتجدها داخل الملفات المستخرجه

    لا تقلق لن اقوم بغلق الموضوع حتى اقوم بوضع فديو لفك التشفير الملف بالكامل + استخراج البيانات

    بانتظار المحاوله وخذ وقتك

    تحياتى وتقديرى
     
  10. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,489
    الإعجابات المتلقاة:
    7,878
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    لكن أخي مصطفي لا يمكن عمل Dump الملف لا يبقى ثانيتين و يختفي و ال d4dot لم تنفع لفك الشيفرة
    المهم ...مثابر ...
     
  11. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,451
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الملفات بالداخل عبارة عن صور
    ذات انتروبي عالي
    لتضليل المحركات
    mhgfd.PNG
     
  12. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,451
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    ' This item is obfuscated and can not be translated.

    :confused::confused::confused::confused:
    حلل بالـ IL مش C# أو فيجوال
    حتى الـ dnspy
    بيطلع الدالة فاضية هخهخهخهخههخ
    gbfvdcs.PNG
     
  13. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    ما أتيت على شيء الا جعلته مشفرا
    باسثتناء البورت هو الظاهر أمامي 26
    بخصوص البرمجة فقد أردت تحميل الفيجوال استديو أول أمس لمحاولة البرمجة لكن البرنامج حجمه كبير جدا و جهازي أظنه لا يحتمل ذلك لهذا سأحاول فك التشفير عكسيا​
     
  14. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,451
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    يمكنك تحميل visual basic express 2010
    حجمه صغير ويكفي ويوفي
    البرنامج الكبير فيه خصائص شاسعة اعتقد لن تحتاجها
     
    vallecano و black007 معجبون بهذا.
  15. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    تجاهل الخطا الذى يعطيه لك ان الملف معطوب ويمكن استخراج محتوياته

    قم بتشغيل اداه MegaDumper وبعدها قم بتشغيل الملف واستخرج جميع محتوياته ستجد جميع الملفات ظهرت امامك كما اوضح الاخ vallecano

    الملف الهدف هو Microsoft.exe

    همممممم

    طيب هرجع ابص فى الملف تانى بس متاكد ان الريسورس فى ملفات ممكن نستخدمها

    يمكنك تحميل النسخه الاخف على الاطلاق من الفيجول استديو visual studio 2012 express

    تفضل الرابط

    http://download.microsoft.com/downl...F9-8820-0A7972DF5683/VS2012_RC_WinExp_ENU.iso

    بالتوفيق
     
    أعجب بهذه المشاركة vallecano
  16. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    هذا ما توصلت اليه لحد الأن

    [​IMG]

    كل شيء مشفر


    [​IMG]

    هل هو لتدمير أني فيروس الضحية؟

    [​IMG]

    جلب الابي الخارجي

    [​IMG]


    الأبي المحلي

    [​IMG]
    هنا RunPE

    يتم تشغيل الملف vbc.exe الذي يوجد في هذا المسار

    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727

    الملاحظ من خلال مراقبة العمليات الشغالة أن الملف عندما يظهر في العمليات الشغالة يتصل بالأبي و البورت
    عندما يختفي. يختفي الأبي المخترق أيضا

    شكرا على الرابط أنت و الأخ ميدو

    لدي xp على النظام الوهمي جربت تقريبا جميع نسخ dnspy ولا نسخة اشتغلت
    هل تعرف نسخة تشتغل عليها
    علما أن لدي الاصدار Framework 4.5





     
  17. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    احسنت للوصول الى هذا الحد

    بخصوص نسخه برنامج dnspy فتحتاج الى Framework 4.6

    انتظر الشرح الفديو لكشف كافه البيانات
     
    أعجب بهذه المشاركة padova
  18. black007

    black007 مراقب عام (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,178
    الإعجابات المتلقاة:
    22,252
    نقاط الجائزة:
    1,645
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    شرح الفك

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    بالتوفيق للجميع
     
    vallecano ،padova و النوميدي معجبون بهذا.
  19. النوميدي

    النوميدي مراقب قسم الحماية وقسم الجوال طـــاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    4,489
    الإعجابات المتلقاة:
    7,878
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Windows 10
    تمام أخي مصطفى ...كذى الشغل احترافي ..
    تسلم الأيدي أخي الطيب ... موضوع مثل هذا أسبوعيا ...يعطي اضافة كبيرة للمنتدى
    و ان شاء الله الجميع يضع فيديو للحل في أخر مواضيعهم ..
    للاستفادة من الخبرات و أظنها موجودة ... ربما ينقصها بعض الحماس..
    و مثل هذه المواضيع يمكن أن تحمس الجميع
    تحياتي أخي الطيب
     
    vallecano ،padova و black007 معجبون بهذا.
  20. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,451
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الملف مش كان بيشتغل عندي علشان اخبطه Dump
    فقعدت أعصلج مع الحماية :222D

    معقولة
    ايه الي حصل في الدنيا ياولاه
    السمارت اسمبلي الي كان مبياخدش غلوة
    دلوقتي مش راضي يتفك ولا باستعمال الطبل البلدي

    دا غير التودو ابو 2 جنيه بقى ب 4 جنيه ولا علبة التونة وبتاع زبادو دا
    ىليبسيشس.PNG

    دي مش ثانوية عامة دي اخش اطلع الاقي الدنيا اتقلبت
    ههههه ياخراااشييييي :222ROFLMAO::222ROFLMAO::222ROFLMAO:
    دا انا لو كنت رحت افغانستان مكانش حصل كدا

    بص أنا عملت كدا بالظبت

    فتحت الملف الأصلي بالـ dnspy من غير فك
    حطيت نقطة ادخال
    وعملت Save module

    طلعلي مكتبة الـ Run pe
    بس مش بتتفك غير IL بس ومتوهة خالص
     
    أعجب بهذه المشاركة black007
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...