• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

التحدي الأول بمســابقة فحص الملفات ► 1 ◄

  • بادئ الموضوع بادئ الموضوع m0d!s@r7@n
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,314
الحالة
مغلق و غير مفتوح للمزيد من الردود.
m0d!s@r7@n

m0d!s@r7@n

عضو شرف (خبير فحص الملفات)( خبراء زيزووم)
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
24 مارس 2013
المشاركات
3,452
مستوى التفاعل
15,533
النقاط
1,220
الإقامة
مصر
غير متصل
OTHaBZC.gif




►◄: أحبابنا ,أعضاء المنتدى الأعزاء :►◄


أسعد الله يومكم بكل خير ووفقكم لما يحب ويرضى وأسأل الله أن يمن علينا بالخير واليمن والبركة


يـــســـعـــدنــا أنـ نــقــدمـ لــكــمـ


التحدي الأول من








vtIyecs.gif




والتي تهدف الى إستثمار الجهود المبذوله من الإخوه الأعضاء بالقسم في مزيد من العطاء والبذل

في جو تنافسي خلاق والعمل علي إظهار مواهبكم وتطويرها


يرجى الإطلاع علي شروط المسابقه قبل الإشتراك








يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



k3IpSvG.gif


▲▼ المطــــلوب ▼▲

جلب بيانات الملف التاليه

- مســـار نزول السيرفر

- البـورت والهـوست للسيرفر

تنبيه

بيانات الملف حقيقيه


لتحميل ملف المسابقه






يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



▲▼ الباســـورد ▼▲


[hide]infected[/hide]

k3IpSvG.gif


►► طريقة تسليم بيانات ملف المسابقه ◄◄


- من يصل للبيانات الصحيحه يراسل أحد الأعضاء المسؤلين عن المسابقه

من أجل الحلول أو الإستفسارات








يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ـــــــــــــــــــــــــــــ
ــــــــــــــــ


نرجوا الإلتزام من الجميع

ومن يخالف شروط وقوانين المسابقه

سيتم إخراجه من المسابقه نهائياً

وفي حالة تكرار المخالفة لـ 3 مرات سيتم حرمانه من الموسم التالي

k3IpSvG.gif



شكر واجب

لاخينا black007 المبدع صاحب ملف المسابقه

لاختنا الفاضله روايدا صاحبه تصميم وتنسيق الموضوع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

التعديل الأخير:
توقيع : m0d!s@r7@n
تم وضع باسورد الملف

بالتوفيق للجميع
 
توقيع : m0d!s@r7@n
الحين انتهي وقت المسابقه وسيتم الكشف عن الفائزين وطريقه كل من فاز في الوصول للبيانات

نبارك للفائزين وحظ اوفر للجميع بالمرات القادمه
 
توقيع : m0d!s@r7@n
اول الفائزين هو اخونا المحترف
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وقد توصل للحل في وقت قياسي (احييه علي هذا)

هنا البيانات الصحيحه للملف

مسار نزول السيرفر

C:\windows\syswow64\drivers\en-us

اسم السيرفر
Gen

البـورت
80

الهوست للسيرفر

[hide]
microsoftcorporation.linkpc.net[/hide]

وهنا شرح لطريقه وصوله للحل
[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]
 
توقيع : m0d!s@r7@n
ثاني الفائزين هو اخونا المبدع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شرح طريقه وصوله للبيانات

.:: الادوات المستخدمة في التحليل ::.

* هيبس النود - ESET Hips

* APate DNS

.:: طريقة التحليل والكشف ::.

أثناء تشغيل الباتش ظهرت رسائل هيبس النود كالتالي

الباتش يحاول إنشاء تطبيق Hacked.exe في المسار الموضح في الصورة

e95mQME.png


ويحاول أيضا إنشاء تطبيق TempBooM.exe في المسار الموضح

BoJZtQW.png


التطبيق Hacked.exe يحاول إنشاء تطبيق TempRecycle.exe

uFhP2ta.png


نفس التطبيق TempRecycle.exe يحاول تشغيل نفسه

96kiqrB.png


بعد ما شغل نفسه يحاول إنشاء تطبيق server.exe

YL04QwH.png


.:: كيفية الوصول لخدعة الملف ::.

بعد الضغط على زر الـ About في تطبيق الـ Contest.exe

ظهرت نافدة الهيبس من جديد , من أجل تكوين تطبيق أخر Gen

lm8H4vz.png


بعد لحظات ... قام ESET Firewall بكشف محاولة للاتصال

[hide]
EvJIL9N.png
[/hide]

طبعاً لم يستطيع تحديد الهوست Host فتم الاستعانة ببرنامج Apate DNS

[hide]
wKvPGgR.png
[/hide]

أعتقد إن الهوست هو

[hide]microsoftcorporation.linkpc.net
[/hide]
 
توقيع : m0d!s@r7@n
الفائز الثالث مشرفنا المميز
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شرح وصوله للبيانات

الباتش يعمل عند تشغيل البرنامج كمسئول والضغط علي About

ينزل ملف بأسم Gen.exe

في هذا المسار

C:\Windows\SysWOW64\drivers\en-US\Gen.exe

تمام يقول بالاتصال

بهذا العنوان

Gen.exe (3244), MaryGerges, 51856, 77.113.162.197.in-addr.arpa, 80, TCP, Established,


ثم بطريقة ما يقوم بتحميل بيانات السيرفر من الانترنت

هذة طريقة مصطفي اعرفها

بعض التمويه ليشعرك ان الملف داونلودر

ولكنه يقوم فقط بتحميل بيناته
GVqmyh.png

لكي لا يلحظه برنامج الحمايه

ثم يتم التشغيل

وبعد الانتظار قليلا والمراقبه

يتم تحويل الاتصال للهوست
[hide]
6qCtyE.png
[/hide]

الان تم فتح فايروول الكاسبر لالتقاط الاتصال بشكل سليم
[hide]
6j4vfj.png
[/hide]
 
توقيع : m0d!s@r7@n
الفائز الرابع اخونا المبدع والمميز
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
(صاحب الحل المميز )

عند فتح التشفيرة نلاحظ وجود 3 أزرار
الأول xلغلق النافذة
الثاني zyzoomوهو يحتوي على الملف الوهمي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الآن فلنستخدم برنامج .net reflector
نفتح هاندلر الزرين

نلاحظ هنا وجود استخراج لملف وهمي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


للتأكد من ذلك نقوم بتشغيل التشفيرة كمسؤول "وسنعلل ذلك لاحقاً"

نلاحظ تنفيذ سيرفر وهمي بعد استدعائه

وبياناته كالآتي:-

الهوست:-
127.0.0.1
localhost
نلاحظ هنا أنه اي بي داخلي ؛
وبالتالي فهذا الملف خدعة

إنزال البيانات:-
C:\Windows\System32\drivers\en-US\
باسم hacked.exe
فينزل ملف في
C:\Users\%userprofile%\AppData\Local

باسم
TempBooM.exe
وهذا هو الإندكس الذي يصدر ضحكة شريرة

و ملف آخر
TempRecycle.exe


ويتم إنزال السيرفر الخدعة في :-
C:\Users\%userprofile%\AppData\Roaming

بإسم
server.exe

مشفر بالسمارت أسمبلي

وملف تهيئة خاص بالتشفير في
C:\Users\%userprofile%\AppData\Roaming\Microsoft\CLR Security Config\v2.0.50727.312\security.config.cch
بإسم
security.config.cch

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وللحصول على تلك البيانات يمكنك استخدام مكافحك \\ كمكافي عندي ؛
أو أداة directory monitor
و
easy hook

نعود الى الآن الى الملف الرئيسئ بعد أن أكلنا تلك الخدعة

لننجرب لآن فتح سورس ملف about
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


نلاحظ هنا وجود عملية استخراج للبيانات
إذاً مسار النزول هو
C:\Windows\System32\drivers\en-US\

باسم
Gen.exe


طيب هنا اجابة االسؤآل
لم نشغل الملف كمسؤول؟
السبب أن مسار النزول هذا يحتاج إلى صلاحيات عالية لإضافة ملفات فيه ,
أيضاً حذاري من محاولة قتل العملية أو الحقن فيها حتى لاتظهر شاشة الموت الزرقاء
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


إذا الملغم هنا هو زر about
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يقوم بتشغيل سيرفر الإختراق

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



طيب والهوست
سنستخدم برنامج tcp eye
[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

إذا البورت
80
طيب والهوست
سنستخدم أداة adapter dns
وها هو[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]
 
توقيع : m0d!s@r7@n
الفائز الخامس مراقبنا الغالي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


السرفر باسم gen ومساره C:\Windows\System32\drivers\en-US

يتصل عن طريق البورت 80

الهوست هو

[hide]microsoftcorporation.linkpc.net[/hide]

طريقة الوصول للبيانات :

تم معرفة جميع الملفات التى يتم انشائها ومساراتها من خلال الكاسبر والاونلاين أرمور
تم معرفة البورت من خلال ( الكاسبر / الاون لاين ارمور / وبرنامج NET TOOLS )
تم معرفة الهوست من خلال برنامج APEATDNS و SMARTSNIFF
 
توقيع : m0d!s@r7@n
نبارك مره اخري لجميع الفائزين وحظ اوفر للجميع في التحديات القادمه باذن الله
 
توقيع : m0d!s@r7@n
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى