للخبراء فقط :: مساعدة في ملف مشبوه

الحالة
مغلق و غير مفتوح للمزيد من الردود.
format قال:
47369237.png



الرابط واضح يالغالي محمود




اش بدك اكثر من هيك ؟

وملف temp

out.php



اش بدك اكثر من هيك


أنقر للتوسيع...

متع نظرك يا حاتم و شوف كلامي مقنع ام لا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

allabni قال:
out.php


فعلاً كل هذا غير كافي

كلنا عارفين ان البرنامج يستعمل الفريم ورك ويقوم بتعديل قيمه في الريجستري
ويقوم بالاتصال برابط معين

بس المشكله ان القيم التي يقوم بانشائها غير ظاهره مع اني قمت بتجربه الكثير من البرامج واعتقد ان هذا بسبب صعوبة التشفير حتى في برنامج ال اولي لا تظهر هذه الاوامر بوضوح

بس اهم لا تستعجل خيو محمود وتنغلق الموضوع اصبر شوي وبطلعها ان شاء الله :q:
أنقر للتوسيع...

انت :ok:

الان اخي الكريم يوجد برامج معينة لحماية الاكواد

و بالتالي افضل مبرمجين الفجيوال بيسك لن يستطيعوا معرفة كود او سورس البرنامج
 
ننتظر من يحللو الملف و كل الاحترام لهم على وقتهم و جهدهم :king:
 
ارسل للتحليل
 
توقيع : خالد1990
مافهمت اش الي تقصده يامحمود بصراحة بالفيديو
تريد ان تثبت انه انه هناك اشئ اخفاه عني Online Armor
طيب هل هناك خطاء في تحليلي عشان اراجع اوراقي قبل فوات الاوان


 
توقيع : format
عــــودة لنقطة ، انا استطيع جلب السورس كود لبرنامجك ..

ما دام مشفره بـ Smart Assembly .. //

وللفائدة ، جرب الـ .NET Reactor ، بس مشكلته الـ HEX >> , وأعتقد انحلت بالإصدار الجديد ..

--
 
تحليل موقع threatexpert يؤكد كل كلمة قالها : أبو العباس

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شغلته على الجهاز الوهمي ولكنه لم يعمل
عندي مشاكل في الجهاز الوهمي .

وجهازي الحقيقي ويندز 7 بت 64 ما أظنه يعمل عليه .


 
توقيع : fahd
بدون التحليل يافهد عن طريق الموقع ياريد الاخ ابو العباس
تحليل عن طريق المكافحات مع العلم انه نفس الاي بي الموقع + رابط الموقع
في تحليلك بنفس النتيجة الي وصل اليه Online Armor
 
توقيع : format
يا حاتم
أنا ذكرت أني شغلته على الوهمي ولكنه مارضي يشتغل بشكل صحيح
يظهر رسالة أن فيه مشكلة بالنت فريم مع أني مثبت النت فريم

وهذا كله مسجل عندي بشرح فديو .

بس حبيت أنصف أبو العباس لأنه تعب وبعض الأخوه كأن عندهم شك بصدق كلامه
 
توقيع : fahd
يا حاتم
أنا ذكرت أني شغلته على الوهمي ولكنه مارضي يشتغل بشكل صحيح
يظهر رسالة أن فيه مشكلة بالنت فريم مع أني مثبت النت فريم

وهذا كله مسجل عندي بشرح فديو .

بس حبيت أنصف أبو العباس لأنه تعب وبعض الأخوه كأن عندهم شك بصدق كلامه
أنقر للتوسيع...


الملف الاول انا بنفسي شككت بكلامه وجاري ارسال الك الملف الاول وقم بعمليه التحليل على كيفك
حتى حلله بنفس شركة threatexpert
وشوف النتيجة بنفسك ^_^



اما الملف الثاني تصنيفه على حسب التحليل threatexpert
Trojan-Dropper.MSIL
flag.gif


نرجع لردي السابق شوف الاسكوريد ماذا صنفه Trojan-Dropper.MSIL!IK

في الرد هذا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ايضا عندك هنا شوف التحليل threatexpert ماذا كتب 64.62.181.46 الاي بي والبورت 80

والرابط h1.ripway.com

طيب شاهد هنا

47369237.png



في الرابط هنا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



طبعا من هذا الكلام يافهد تستنج ماذا
تحليلي خطاء وتحليل threatexpert خطاء ؟

!! مع العلم لم اشاهد threatexpert التحليل حقه الا الحين لما انت رفعته

وبصراحة لحتى الان يالغالي
مااعرف اش بده مع اني جبت تفصيل الملف الثاني بادق التفاصيل
ولااعرف ماذا يريد اكثر من هيك

 
توقيع : format
متابع بصمت وللعلم أنا رأيي

مع راي أبو العباس ..

موفقين ..
 
توقيع : د. أفاست
مع الأسف جميع التحاليل حتى الآن خاطئة ، واصلا ما في غير حاتم :d: .. //

يعني انت ايش حللت ، ان البرنامج يعتمد على حزمة فريم وورك 2 ، طيب الله يعطيك الف عافية .. //

ايش بعد ، ااه صح ، البرنامج يعتمد على الاكسبلورر ، طيب الله يعطيك الف عافية .. //

ونقطة أخيرة ، يعدل قيمة في الريجيستري ، والله يعطيك الف عافية .. //

طيب انا الى الآن ما شاهدت اي تحليل منطقي للبرنامج / مع اني متأكد من وجود ثغرة بسيطة جدا ، لو كشفت ، رااح تنحل المشكلة بكل بساطة .. //

أتمنى لكم التوفيق ، وحاتم ترى انت قريب منها ... :hh:

سلام
 
بدي اقلكم اشئ قبل ماابو العباس
ينهي الموضوع بكلمته الجميله
بصراحة وبكل صدق اني استمتعت في هذا النقاش
مع انه كان حاد قليلا وانحرف عن مساره ايضا قليلا ايضا
الا ان كان الملف كان من اجمل الملفات التي توقعته
وكان من صعب تحليله .. احييه على هذا الملف
على رغم انكم انتم لاتعرفون انه قد زرته في يوما ما وتلقايا مع بعضنا البعض
وانه زارني في بيتي ^_^ وهذا كان شرف الي بصراحة
وبما انه وعد اليوم انه راح يضع الفيديو ماهي الا دقائق راح يضع الفيديو
ويطلب باغلاق الموضوع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اعلن انسحبي من هذا الموضوع اذا جاب الاخ محمود
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ويكون تفوق علي ب 1 صفر لصالحه ^_^
(اش رايك برو ح الرياضيه تبعتي ياابو العباس ) :smile:
 
توقيع : format
he ḾasteЯ₮ قال:
عــــودة لنقطة ، انا استطيع جلب السورس كود لبرنامجك ..

ما دام مشفره بـ Smart Assembly .. //

وللفائدة ، جرب الـ .NET Reactor ، بس مشكلته الـ HEX >> , وأعتقد انحلت بالإصدار الجديد ..

--
أنقر للتوسيع...

Smart Assembly الاصدار 5 لا يوجد لحتي اللحظة برنامج يستطيع فك تشويشه للاكواد :no:

.NET Reactor راح يعطي رسالة انه البرنامجي محمي بوراسطته لانه لا يوجد بالانترنت اصدار مرخص

او مفتاح للترخيص للاصدار الاخير
 
توقيع : خالد1990
he ḾasteЯ₮ قال:
مع الأسف جميع التحاليل حتى الآن خاطئة ، واصلا ما في غير حاتم :d: .. //

يعني انت ايش حللت ، ان البرنامج يعتمد على حزمة فريم وورك 2 ، طيب الله يعطيك الف عافية .. //

ايش بعد ، ااه صح ، البرنامج يعتمد على الاكسبلورر ، طيب الله يعطيك الف عافية .. //

ونقطة أخيرة ، يعدل قيمة في الريجيستري ، والله يعطيك الف عافية .. //

طيب انا الى الآن ما شاهدت اي تحليل منطقي للبرنامج / مع اني متأكد من وجود ثغرة بسيطة جدا ، لو كشفت ، رااح تنحل المشكلة بكل بساطة .. //

أتمنى لكم التوفيق ، وحاتم ترى انت قريب منها ... :hh:

سلام
أنقر للتوسيع...

يالغلا لاهنت تزور الرابط هذا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : د. أفاست
الاون لاين ارمور لم يقم بتحليل الملف
اي برنامج لتحميل المفاتيح سيقوم بهذه السلوكيات

وخاصه انه سيطلب الاتصال على الانترنت واستخدام عمليات اخرى ك NETFRAMEWORK وغير ذلك
ما الغريب في ذلك !!


47369237.png


تنبيه اكثر من طبيعي
كيف سيتم تحميل المفاتيح ان لم يتصل بالانترنت ان كان فعلا برنامج حقيقي لتحميل المفاتيح
 
توقيع : wajdi abu lail
amiral3azab قال:
الاون لاين ارمور لم يقم بتحليل الملف
اي برنامج لتحميل المفاتيح سيقوم بهذه السلوكيات

وخاصه انه سيطلب الاتصال على الانترنت واستخدام عمليات اخرى ك NETFRAMEWORK وغير ذلك
ما الغريب في ذلك !!


47369237.png


تنبيه اكثر من طبيعي
كيف سيتم تحميل المفاتيح ان لم يتصل بالانترنت ان كان فعلا برنامج حقيقي لتحميل المفاتيح
أنقر للتوسيع...


وجدي وريني مكافحاتك اش بدها تساوي امام هذا الملف :d:
وريني تحليلك الخاص
ابدعنا .. هل عندك الملف ولاتحب ارسله الك يالغالي
 
توقيع : format
ابوالعباس قال:

انت :ok:

الان اخي الكريم يوجد برامج معينة لحماية الاكواد

و بالتالي افضل مبرمجين الفجيوال بيسك لن يستطيعوا معرفة كود او سورس البرنامج
أنقر للتوسيع...

فعلاً للاسف حتى الفيجوال بيسك لا حول له ولا قوه بعد يصير المشروع بصيغة exe

:f:حاولت تتبع الاوامر والملفات والمفاتيح التي يقوم بإنشائها البرنامج لكن للاسف لاني لم استطع كسر التشفير وكانت القيم في برنامج اولي تظهر ان البرامج يعمل بالفريمورك والخ لكن الاوامر المصيريه التي تقوم بالتغيير لم تظهر,, الشي الوحدي الذي ظهر ان هناك تتغيير لكن كيفية هذا التغيير او مسار هذا التغيير لم يظهر اكيد بسبب التشفير ما شاء الله علي بس .:hh::hh:


على ما شفت ان في البرنامج وقد اكون مخطئ اول شي يقوم به البرناج ينشئ ملف dll في التيمب وملف regdll.tem بعدين يقوم الفيروس باستدعاء ملف الدي ال ال الذي انشئه في التمب ويشغله بعدين يقوم الفيروس بالتعديل على mscoree.dll الي هو موجود في السيستم 32 وهو من ملفات النظام


بالنسبه الي العمليات الاخرى التي يقوم بها الفيروس لا اريد التطرق لها لانني لم ارها بوضوح كافي لشرحها :)
والله اعلم

تحيــــاتي لك استاذ محمود
 
توقيع : allabni
format قال:
وجدي وريني مكافحاتك اش بدها تساوي امام هذا الملف :d:
وريني تحليلك الخاص
ابدعنا .. هل عندك الملف ولاتحب ارسله الك يالغالي
أنقر للتوسيع...

:d::d: شغلته بدون اي مكافح ولم توضع اي قيمه في بدء التشغيل msconfig

وجربته على الكومودو رصد فقط مثل هذه السلوكيات الطبيعيه واضافة قيمة ريجيستري هنا

out.php



وملف من نوع dat في Documents and Settings وتم السماح بانشاءه :i:
والعمليات التي يستخدمها هي فقط لضمان تشغيل الملف بشكل صحيح :wink:
لاشيء اكثر من ذلك حتى يقوم ابو العباس برفع السيرفر لان الملف المرفوع حاليا من نوع text فقط



 
توقيع : wajdi abu lail
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى