- إنضم
- 14 يوليو 2014
- المشاركات
- 4,810
- مستوى التفاعل
- 19,465
- النقاط
- 2,095
غير متصل
لا نهاية للجدال حتى يصيبك وتصبح تقول ملف خبيث هههههههههههه ﺍﺣﺬﺭ ﺍﻥ ﻳﺸﻜﻮﻙ
-
[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
- بادئ الموضوع White Man
- تاريخ البدء
- الحالة
لا نهاية للجدال حتى يصيبك وتصبح تقول ملف خبيث هههههههههههه ﺍﺣﺬﺭ ﺍﻥ ﻳﺸﻜﻮﻙ
غير متصل
للأسف لم احتفظ بالمشروع .. لكن قمت بتكوينه من جديد من خلال برنامج Net Reflector (تصدير الملف إلى سورس) لذا قد تظهر بعض الأخطاء اثناء فتحه بالفيجوال
هذه ملفات المشروع
[hide]
وهذه 3 ملفات
1- Mpress - Clear الملف قبل التشفير
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
[hide]
ارسلهم للشركة بعد إذنك أخي واخبرهم أنك قمت بتحليل الملف ولم تجد به أي شئ مريب واطلب منهم تحليله بشكل جدي
هذه ملفات المشروع
[hide]
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
[/hide]وهذه 3 ملفات
1- Mpress - Clear الملف قبل التشفير
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
[hide]
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
[/hide]ارسلهم للشركة بعد إذنك أخي واخبرهم أنك قمت بتحليل الملف ولم تجد به أي شئ مريب واطلب منهم تحليله بشكل جدي
توقيع : White Man
غير متصل
الملف محمي بأداة Morophine أخي حسين
قم بفك الضغط بأداة De4Dot سينتج الملف بعد فك التشفير .. مشفر برمجياً
ستجد الفانكشن .. والسترنج المشفر بالريسورس (اتبع الاستدعاء)
قم بعمل مشروع على فيجوال بيزيك كما بالدروس السابقة لفك التشفير وسينتج لك الملف الخام
====
للأسف لم يشارك به أحد بعد
التعديل الأخير:
توقيع : White Man
غير متصل
بعد محاولات عديدة فكيت الضغط يوم امس لكن لم اجد السورس للأسف سأحاول ان شاء الله بعد الامتحانات
بعذ دراسة الــ vb.net جيدا
شكرا اخي عمرو
توقيع : SkY MaRvEL
egyptian
زيزوومى فعال
- إنضم
- 1 يونيو 2015
- المشاركات
- 529
- مستوى التفاعل
- 1,119
- النقاط
- 310
غير متصل
هههههه
أي حد حيقول انه فايروس حيزعل أخينا الغالي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
منه لذلك سك علي موضوع مراسلة الشركة هذا
توقيع : egyptian
prooonet
زيزوومي VIP
غير متصل
هههههه
أي حد حيقول انه فايروس حيزعل أخينا الغالييجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفيمنه
لذلك سك علي موضوع مراسلة الشركة هذا
انا رايي من راي برامج الحماية ليس لدي طموح اكون افضل منهم
توقيع : prooonet
MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طـــاقم الإدارة
★★ نجم المنتدى ★★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,235
- مستوى التفاعل
- 27,165
- النقاط
- 6,650
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
لم تعمل عندي
لايوجد اتصال حتى مع السماح لكل السلوكيات
مع تكرار عبارة Wellcome
لايوجد اتصال حتى مع السماح لكل السلوكيات
مع تكرار عبارة Wellcome
توقيع : MagicianMiDo32
غير متصل
بل عملت
الملف نظيف بالكامل وهو لإختبار المحركات فقط
(إكتشاف خاطئ = False Positive)
لو مكتشف من التراست يبقي فشل .. لو التراست لم يكتشفه يبقى نجح
توقيع : White Man
pro george
زيزوومي VIP
غير متصل
اريس اريس
النود مسك ملفين
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
والكاسبر بردوا
اقولك ليه
الملف اما ضار او نظيف
وانت بعد ان شفرته برمجيا
قمت بداخل قيم مشبوة
ووفقا لهيروستتك النود والكاسبر تم امساكه ب DNA
يعني عائله الملفات
ودة من تسمية النود مسككه بالهيروستتك
ودة طبيعي جدا
لانه غالبا بدون ان اعرف اداة Morphine اعتقد انها مكشوفه من النود والكاسبر
النود مسك ملفين
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
والكاسبر بردوا
اقولك ليه
الملف اما ضار او نظيف
وانت بعد ان شفرته برمجيا
قمت بداخل قيم مشبوة
ووفقا لهيروستتك النود والكاسبر تم امساكه ب DNA
يعني عائله الملفات
ودة من تسمية النود مسككه بالهيروستتك
ودة طبيعي جدا
لانه غالبا بدون ان اعرف اداة Morphine اعتقد انها مكشوفه من النود والكاسبر
توقيع : pro george
egyptian
زيزوومى فعال
- إنضم
- 1 يونيو 2015
- المشاركات
- 529
- مستوى التفاعل
- 1,119
- النقاط
- 310
غير متصل
اريس اريس
النود مسك ملفين
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
والكاسبر بردوا
اقولك ليه
الملف اما ضار او نظيف
وانت بعد ان شفرته برمجيا
قمت بداخل قيم مشبوة
ووفقا لهيروستتك النود والكاسبر تم امساكه ب DNA
يعني عائله الملفات
مشاهدة المرفق 87986
ودة من تسمية النود مسككه بالهيروستتك
مشاهدة المرفق 87985
ودة طبيعي جدا
لانه غالبا بدون ان اعرف اداة Morphine اعتقد انها مكشوفه من النود والكاسبر
+
1
توقيع : egyptian
غير متصل
اريس اريس
النود مسك ملفين
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
والكاسبر بردوا
اقولك ليه
الملف اما ضار او نظيف
وانت بعد ان شفرته برمجيا
قمت بداخل قيم مشبوة
ووفقا لهيروستتك النود والكاسبر تم امساكه ب DNA
يعني عائله الملفات
مشاهدة المرفق 87986
ودة من تسمية النود مسككه بالهيروستتك
مشاهدة المرفق 87985
ودة طبيعي جدا
لانه غالبا بدون ان اعرف اداة Morphine اعتقد انها مكشوفه من النود والكاسبر
كلامك كله صح بإستثناء ( وانت بعد ان شفرته برمجيا .. قمت بداخل قيم مشبوة )+
1
هو طبعاً السورس مفيهوش حاجة مشبوهة وتقدر تتأكد بنفسك سواء قبل التشفير البرمجي أو بعده
احنا متفقين ان الإكتشاف بسبب الحماية على الملف وليس بسبب سلوكه
أي أن الملف نظيف لكن الحماية عليه هي التي اثارت الشكوك
أي أن الملف نظيف ويعتبر إكتشاف خاطئ وهذا المطلوب اثباته
+
لو لاحظنا تسمية النود .. هذا وصفها
وهذا السلوك غير موجود بالملف .. أي الإكتشاف أيضاً خاطئ
توقيع : White Man
egyptian
زيزوومى فعال
- إنضم
- 1 يونيو 2015
- المشاركات
- 529
- مستوى التفاعل
- 1,119
- النقاط
- 310
غير متصل
كلامك كله صح بإستثناء ( وانت بعد ان شفرته برمجيا .. قمت بداخل قيم مشبوة )
هو طبعاً السورس مفيهوش حاجة مشبوهة وتقدر تتأكد بنفسك سواء قبل التشفير البرمجي أو بعده
احنا متفقين ان الإكتشاف بسبب الحماية على الملف وليس بسبب سلوكه
أي أن الملف نظيف لكن الحماية عليه هي التي اثارت الشكوك
أي أن الملف نظيف ويعتبر إكتشاف خاطئ وهذا المطلوب اثباته
+
لو لاحظنا تسمية النود .. هذا وصفها
مشاهدة المرفق 88018
وهذا السلوك غير موجود بالملف .. أي الإكتشاف أيضاً خاطئ
أقول لحضرتك حاجة أخي الكريم أحمد
زي ما بيقولوا ... كلمة أبرك من 100
حتي ولو فعل برنامج الحماية هذا بتصنيف ملف بأنه خطر لمجرد إرتيابه لوجود حماية شديدة عليه فهذا يحسب اليه وليس عليه
ولا رأي حضرتك إيه ؟؟
توقيع : egyptian
غير متصل
انت معلق على أحمدأقول لحضرتك حاجة أخي الكريم أحمد
زي ما بيقولوا ... كلمة أبرك من 100
حتي ولو فعل برنامج الحماية هذا بتصنيف ملف بأنه خطر لمجرد إرتيابه لوجود حماية شديدة عليه فهذا يحسب اليه وليس عليه
ولا رأي حضرتك إيه ؟؟
.. احنا الإثنين واحد ولا يهمك الق نظرة على الموضوع التالي وبعدها أخبرني هل هذا إكتشاف خاطئ أم لا
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
ما زلت اؤكد انه اكتشاف خاطئ
+
نأخذ رأي @m0d!s@r7@n و @black007
المايك معكم .. تفضلوا
توقيع : White Man
egyptian
زيزوومى فعال
- إنضم
- 1 يونيو 2015
- المشاركات
- 529
- مستوى التفاعل
- 1,119
- النقاط
- 310
غير متصل
انت معلق على أحمد
الق نظرة على الموضوع التالي وبعدها أخبرني هل هذا إكتشاف خاطئ أم لا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
ما زلت اؤكد انه اكتشاف خاطئ
+
نأخذ رأي @m0d!s@r7@n و @black007
المايك معكم .. تفضلوا
ههههههه
حظك بأة كدة معايا
كدة برضه تسيحلي علني
توقيع : egyptian
pro george
زيزوومي VIP
غير متصل
هو دة اولا مش باتش
كلامك كله صح بإستثناء ( وانت بعد ان شفرته برمجيا .. قمت بداخل قيم مشبوة )
هو طبعاً السورس مفيهوش حاجة مشبوهة وتقدر تتأكد بنفسك سواء قبل التشفير البرمجي أو بعده
احنا متفقين ان الإكتشاف بسبب الحماية على الملف وليس بسبب سلوكه
أي أن الملف نظيف لكن الحماية عليه هي التي اثارت الشكوك
أي أن الملف نظيف ويعتبر إكتشاف خاطئ وهذا المطلوب اثباته
+
لو لاحظنا تسمية النود .. هذا وصفها
مشاهدة المرفق 88018
وهذا السلوك غير موجود بالملف .. أي الإكتشاف أيضاً خاطئ
لو مش باتش يبقي ايه وايه الغرض منه ؟؟؟
وبعدين انت عايز تحط طين علي قماشه وتقولي القماشه لسه تظيفه
توقيع : pro george
black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
اولا اعتزر للجميع على التاخر فى تحليل العينه
بعد قرائه جميع ردود الاخوه والاطلاع جميع الردوده
ومن بعد ازن اخى الغالى عمرو
بعد التحليل الكامل للملف
اليكم ما تم وما حدث وسبب اشتباه الكاسبر واغلب الحمايات فى الملف
الاخ عمرو ذكر انه قام بتشفير الملف على ثلاث مراحل
1- Mpress - Clear الملف قبل التشفير
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
اذا نظرنا جيدا ما بين السطور
واعتزر لكم جميعا لان الموضوع معقد قليلا لذى يرجى من بعد اذنكم التحلى بالصبر والتركيز جيدا فيما ساشرحه
حتى لا يتوه احد منى فيما ساقول
الملف الاول بعد بناء المشروع بشكل كامل ( وهو نظيف مئه فى المئه 100/100 ) ولا يحتوى على اى اكواد خبيثه
بعد بناء المشروع الاول تم استخدم النظام البرمجى لاعاده تشفير الملف مره اخرى وهذا الامر الثانى الذى يعتبر اصعب
لماذا اصعب لان بعد تكوين المشروع برمجى وتحويله الى استرنج STRING اصبح المشروع بالكامل على هيئه ملف مشفر
اذا اصبح بين ايدينا ملفين الاول الاصلى هوه المشروع كما ذكرنا والتشفيره الثاينه
اذا اخونا عمرو قام بعمل الاتى
استخدم الملف الاصلى الخام ( المشروع الاصلى الخاص به ) وقام باعاده تشفيره مره اخرى واعتمد فى تشفيره على وضع الملف فى الريسورس
الكاسبر وما اداراك ما الكاسبر ( سر من اسرار الكاسبر الذى لا يعرفه غير قليل من المشفرين ) وهو ان الكاسبر عندما يجد اى ملف داخل ريسورس اى مشروع
مصنوع vb.net يشتبه بالملف وحتى وان كان نظيف
اذا الصوره اصبحت واضحه الان لماذا اكتشف الكاسبر الملف
طيب واحد هيسئل ويقول طيب التسميه ايه دخلها فى الموضوع وان الكاسبر صنف الملف على انه خبيث بل ووضع له تسميه وصنفه على انه خبيث
الفاصل هنا هو طريقه التشفير المتبعه فى الملف اقصد هنا السورس الثانى الذى تحدثنا عنه
الاكواد المستخدمه فى التشفيره الثانيه التى قامت بتشفير الملف الاصلى اكود اغلبها مشبوه لذلك حتى وان كان الملف نظيف فسيتم تصنيف الملف على انه خبيث
بسبب سلوك الكود وطريقه استدعائه للدوال داخل المشروع
لذلك اصبح الكاسبر يعطى تسميه بهذا الشكل
بعد التشفيره البرمجيه قام اخونا عمر بالتشفير مره ثالثه وهو باستخدام برنامج الضغط المشهور Mpress
مما جعل الملف اكثر اشتباه بجميع الاكواد الداخليه
الخلاصه مما تم ذكره الملف يعتبر خبيث بسبب التشفيره
لكن الملف الاصلى الخام خالى تماما تماما من اى اكواد خبيثه
ارجو ان اكون وفقت فى ايصال وتوضيح عمل هذا الملف
تحياتى للجميع
وتحياتى لاخى الصغير عمرو
بعد قرائه جميع ردود الاخوه والاطلاع جميع الردوده
ومن بعد ازن اخى الغالى عمرو
بعد التحليل الكامل للملف
اليكم ما تم وما حدث وسبب اشتباه الكاسبر واغلب الحمايات فى الملف
الاخ عمرو ذكر انه قام بتشفير الملف على ثلاث مراحل
1- Mpress - Clear الملف قبل التشفير
2- Mpress - Encrypted الملف بعد تشفيره برمجياً فقط
3 Mpress - Crypted الملف بعد تشفيره برمجياً وبواسطة أداة Morphine
اذا نظرنا جيدا ما بين السطور
واعتزر لكم جميعا لان الموضوع معقد قليلا لذى يرجى من بعد اذنكم التحلى بالصبر والتركيز جيدا فيما ساشرحه
حتى لا يتوه احد منى فيما ساقول
الملف الاول بعد بناء المشروع بشكل كامل ( وهو نظيف مئه فى المئه 100/100 ) ولا يحتوى على اى اكواد خبيثه
بعد بناء المشروع الاول تم استخدم النظام البرمجى لاعاده تشفير الملف مره اخرى وهذا الامر الثانى الذى يعتبر اصعب
لماذا اصعب لان بعد تكوين المشروع برمجى وتحويله الى استرنج STRING اصبح المشروع بالكامل على هيئه ملف مشفر
اذا اصبح بين ايدينا ملفين الاول الاصلى هوه المشروع كما ذكرنا والتشفيره الثاينه
اذا اخونا عمرو قام بعمل الاتى
استخدم الملف الاصلى الخام ( المشروع الاصلى الخاص به ) وقام باعاده تشفيره مره اخرى واعتمد فى تشفيره على وضع الملف فى الريسورس
الكاسبر وما اداراك ما الكاسبر ( سر من اسرار الكاسبر الذى لا يعرفه غير قليل من المشفرين ) وهو ان الكاسبر عندما يجد اى ملف داخل ريسورس اى مشروع
مصنوع vb.net يشتبه بالملف وحتى وان كان نظيف
اذا الصوره اصبحت واضحه الان لماذا اكتشف الكاسبر الملف
طيب واحد هيسئل ويقول طيب التسميه ايه دخلها فى الموضوع وان الكاسبر صنف الملف على انه خبيث بل ووضع له تسميه وصنفه على انه خبيث
الفاصل هنا هو طريقه التشفير المتبعه فى الملف اقصد هنا السورس الثانى الذى تحدثنا عنه
الاكواد المستخدمه فى التشفيره الثانيه التى قامت بتشفير الملف الاصلى اكود اغلبها مشبوه لذلك حتى وان كان الملف نظيف فسيتم تصنيف الملف على انه خبيث
بسبب سلوك الكود وطريقه استدعائه للدوال داخل المشروع
لذلك اصبح الكاسبر يعطى تسميه بهذا الشكل
بعد التشفيره البرمجيه قام اخونا عمر بالتشفير مره ثالثه وهو باستخدام برنامج الضغط المشهور Mpress
مما جعل الملف اكثر اشتباه بجميع الاكواد الداخليه
الخلاصه مما تم ذكره الملف يعتبر خبيث بسبب التشفيره
لكن الملف الاصلى الخام خالى تماما تماما من اى اكواد خبيثه
ارجو ان اكون وفقت فى ايصال وتوضيح عمل هذا الملف
تحياتى للجميع
وتحياتى لاخى الصغير عمرو
توقيع : black007
غير متصل
MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طـــاقم الإدارة
★★ نجم المنتدى ★★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,235
- مستوى التفاعل
- 27,165
- النقاط
- 6,650
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
أنا فاكر أني جربتها
قفشها بمحلل السلوك لكن المحرك لأ
عموما مفيش مشكلة نجرب تاني
أصبر عليا لبكرة وأكون عندكـ
قفشها بمحلل السلوك لكن المحرك لأ
عموما مفيش مشكلة نجرب تاني
أصبر عليا لبكرة وأكون عندكـ
توقيع : MagicianMiDo32
- الحالة