• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تشفيرة عينه سريعه للتحليل

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

كيف حال الشباب ان شاء الله الجميع بخير

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]http://www26.zippyshare.com/v/e8YSEwmr/file.html[/hide]

باس

[hide]infected[/hide]

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع
 

توقيع : black007
osama101 قال:
تم التخطى bitdefender 2017 internet security
أنقر للتوسيع...

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه
 
توقيع : tiktoshitiktoshi is verified member.
tiktoshi قال:
ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه
أنقر للتوسيع...
اسف لم الحظ وجود هذه الجمله قبل بدايه التجربه
 
بارك الله فيك أخي مصطفى وجزاك الله خير على حبك وسعيك لمساعدة أخوانك في التعليم

تم ولله الحمد وضع العينه بالخلاط وسكب السورس بالكوب وباقي التقديم فقط :222D

وبإذن الله سأضع الطريقة اللي استخدمتها بعد التأكد من صحة البيانات

يالله أخواني ورونا إبداعاتكم ;222)

تراني شعرت بفقدان الأمل مبدأياً ومع عدة محاولات توصلت لنتيجة
 
توقيع : ihere
توقيع : tiktoshitiktoshi is verified member.
ربما (222n)
[hide]
37.236.142.14:12
systeminforeg.gotdns.ch
[/hide]
 
توقيع : wikihow
  • Like
التفاعلات: ihere
akramstar قال:
ربما (222n)
[hide]
37.236.142.14:12
systeminforeg.gotdns.ch
[/hide]
أنقر للتوسيع...

البيانات صحيحه

احسنت (222y)(222y)(222y)

اذا ما فيها ازعاج اشرح الطريقه للشباب حتى يستفادوا
 
توقيع : black007
لم اقم للاسف ب تحليل الملف بشكل يدوى اخى الكريم
ولكن تحليل موقع اون لاين حيث يعرض لك كل ما بالملف من بيانات والاتصالات التى يقوم بها .
 
توقيع : wikihow
akramstar قال:
لم اقم للاسف ب تحليل الملف بشكل يدوى اخى الكريم
ولكن تحليل موقع اون لاين حيث يعرض لك كل ما بالملف من بيانات والاتصالات التى يقوم بها .
أنقر للتوسيع...

كنت افضل ان تعتمد على نفسك بدون الاعتماد على موقع للتحليل

فهذا سيعزز قدراتك على كشف الملفات اذا كنت مهتم بالتحليل فعلا

ايضا سيقلل بشكل كبير من الاعتماد على برامج الحمايه

عموما شكر لك على المشاركه الطيبه وبانتظار الشباب لكى يحاولوا مع الملف
 
توقيع : black007
لك كل الشكر أخي الحبيب مصطفى ولكن للأسف ليس لي سابق معرفة بالتحليل اليدوي
 
توقيع : SASA G
السلام عليكم شباب
أولا شكرا للاخ black007 على مثل هذه المواضيع
التي بصراحة ستزيد من نشاط القسم أظن لأن الكثير يبحث على مثل هذه المواضيع البنائة و التي تدخل العضو في صميم الموضوع
حتى و ان كان الجانب النظري لا بد منه الا أنه يزرع نوع من الملل في التعلم .
ثانيا صراحة حللت يدويا بكل الطرق لم أجد شيء :222cautious:
لا اتصال و زرع للملفات ممكن الطريقة المتبعة لاستخراج المعلومات
شكرا مسبقا
 
توقيع : النوميديالنوميدي is verified member.
[hide]تجربة بعد تعطيل حماية انتي فيروس

اتصل وهمي في الاول تم اتصل حقيقي

hhhhhhhhhhhhhh.webp

[/hide]
 

المرفقات

  • hhhhhhhhhhhhhh.webp
    hhhhhhhhhhhhhh.webp
    54.8 KB · المشاهدات: 17
توقيع : tiktoshitiktoshi is verified member.
ZerOx² قال:
السلام عليكم شباب
أولا شكرا للاخ black007 على مثل هذه المواضيع
التي بصراحة ستزيد من نشاط القسم أظن لأن الكثير يبحث على مثل هذه المواضيع البنائة و التي تدخل العضو في صميم الموضوع
حتى و ان كان الجانب النظري لا بد منه الا أنه يزرع نوع من الملل في التعلم .
ثانيا صراحة حللت يدويا بكل الطرق لم أجد شيء :222cautious:
لا اتصال و زرع للملفات ممكن الطريقة المتبعة لاستخراج المعلومات
شكرا مسبقا
أنقر للتوسيع...

tiktoshi قال:
[hide]تجربة بعد تعطيل حماية انتي فيروس

اتصل وهمي في الاول تم اتصل حقيقي

مشاهدة المرفق 133374
[/hide]
أنقر للتوسيع...

الملف به خدعه رائعه والصراحه

حيث انه قام بوضع دونلودر مشفر ومقسم

من الناحيه النظريه ستجد انه قام بتشفير الملف الهدف السرفر الذى سيخترق بيه

و قام بتحويله الى اسرنج بخوارزميات BASE64 وقام بخفائها داخل الملف الاساسى

طيب كيف قام باخفاء الاسترنج وانه من المفترض الحصول عليها بسهوله

حتى اذا قمت بتحليل الملف ستجد ان الرابط مشفر وغير ذلك مقسم

وغير مرتب

لاحظوا هنا هذه الداله

149286748108581.png


هذه هى الداله التى اعتمد عليها المخترق فى وضع روابط الاسترنج BASE64 وكما هو ملاحظ

مشفر الفكره كيف تقوم بفك تشفير تلك الروابط وتجمعها

هذا يعتبر طرف الخيط فى الملف

اتمنى الاستكمال من هنا والمحاوله مره اخرى
 
توقيع : black007
بارك الله فيكم أخواني (y)

أخي مصطفى هل تأذن لي بإيضاح الطريقة اللي استخدمتها
 
توقيع : ihere
ihere قال:
بارك الله فيكم أخواني (y)

أخي مصطفى هل تأذن لي بإيضاح الطريقة اللي استخدمتها
أنقر للتوسيع...

تفضل اخى الغالى سليمان

قم بشرح الطريقه لكى تفيد الجميع
 
توقيع : black007
  • Like
التفاعلات: ihere
black007 قال:
تفضل اخى الغالى سليمان

قم بشرح الطريقه لكى تفيد الجميع
أنقر للتوسيع...

بارك الله فيك أخي


-----


أخواني هذا الشرح بإذن الله راح يوفر عليكم جهد كبير في التحليل

فقط أحتاج منكم تطبقونه عشان تكتشفون النتيجة بأنفسكم

وهذا الشيء راح يعزز من معنويات أخواننا اللي حابين يتعلمون

ومع التطبيق والممارسة المستقبلية بإذن الله راح يكون لكم طرق خاصة فيكم

وبعدها يجي دوركم في نشر هذي الطرق عشان نتعلم جميعنا ونستفيد

نبدأ

بعد تشغيلي للعينه اللي وضعها أخونا مصطفى

حاولت أستخدم تطبيق ( MegaDumper ) عشان أستخرج الملفات الموجودة بالذاكرة

ولاكن مع الأسف فشلت هذي المحاولة لأني كنت مغلق الاتصال بالإنترنت أثناء تجربة العينه

والعينه هي أساساً تحتاج لإتصال بالإنترنت عشان تحمل بعض الأكواد كما ذكر أخونا مصطفى

فاللي جعلني أتنبه لهذا الأمر

بعد ما أغلقت العينه ظهرت لي الرسالة التالية واللي كان فيها عنوان موقع ( Pastebin )

p_477eytzs2.png


وهذا الموقع أخواني يمكن من خلاله وضع أكواد نصية ثم استدعائها من الصفحة من خلال التطبيق


-----


فلسهولة استخراج السيرفر راح نستخدم تطبيق ( dnSpy )

ثم نسحب العينه ونسقطها في المساحة المحددة :whitedownpointing:

p_477ozmak3.png



-----


بعدها ننتقل للدالة اللي راح تنفذ التعليمات بعد غلق العينه :whitedownpointing:

p_477gr9i44.png


ولو نلاحظ بالكود السابق هو نفس الكود اللي أشار له أخونا مصطفى


-----


طيب الآن راح نتتبع الأسطر اللي تنفذها هذي الدالة

فالمطلوب نضع نقاط على جميع الأسطر التالية ثم ننقر على زر ( Start )

p_477cnri75.png



-----


ثم ننقر على زر ( OK ) للبدء في التتبع :whitedownpointing:

p_4776uiqx6.png



-----


الآن راح يبدأ من أول انطلاقه للعينه

فالمطلوب منا نتابع الأحداث اللي تحصل في الجدول المحدد في الرقم ( 2 )

ثم ننقر على زر ( Continue ) والمحدد بالرقم ( 3 ) :whitedownpointing:

p_47727o8k7.png



-----


الآن راح تعمل العينه فننقر على زر إغلاق النافذة عشان تعمل الدالة اللي ذكرناها مسبقاً :whitedownpointing:

p_4770egsg8.png



-----


لاحظوا في الجدول التالي

بدأ في عرض الروابط فخليه يعقد المسأله على راحته لأن أنا ما يهمني اللي سواه

أنا فقط أبي الناتج والناتج ظاهر لي بالجدول :whitedownpointing:

p_477nogo99.png



ف نكمل تتبع وننقر على ( continue ) كما هو محدد بالصورة السابقة

ونتابع الأحداث اللي تحصل بالجدول


-----


وأهم حاجه واللي يهمنا هو الناتج النهائي أي بيانات السيرفر واللي مضافه في ( rawAssembly )

فننقر بالماوس يمين على القيمة ثم نختار ( Save ) :whitedownpointing:

p_477teatk10.png



-----


وبعدها نكتب أي اسم للحفظ مع وضع الامتداد ( exe )

p_4772tluh1.png



-----


وهذا هو السيرفر أخواني :whitedownpointing:

وعشان نستخرج بياناته نستخدم أي منقح كـ ( Net Reflector. ) :whitedownpointing:

p_477jd4e82.png



-----


والنتيجة :whitedownpointing:

[hide]
p_477a19f43.png
[/hide]


-----


وأتمنى أن أكون قد وفقت بالشرح

وإن كان في خطأ في أي نقطة ذكرتها

فأفيد أخواني بأني لا زلت أحاول أن أتعلم وأستفيد

فيرجى تصحيحها لي
 
توقيع : ihere
ihere قال:

بارك الله فيك أخي


-----


أخواني هذا الشرح بإذن الله راح يوفر عليكم جهد كبير في التحليل

فقط أحتاج منكم تطبقونه عشان تكتشفون النتيجة بأنفسكم

وهذا الشيء راح يعزز من معنويات أخواننا اللي حابين يتعلمون

ومع التطبيق والممارسة المستقبلية بإذن الله راح يكون لكم طرق خاصة فيكم

وبعدها يجي دوركم في نشر هذي الطرق عشان نتعلم جميعنا ونستفيد

نبدأ

بعد تشغيلي للعينه اللي وضعها أخونا مصطفى

حاولت أستخدم تطبيق ( MegaDumper ) عشان أستخرج الملفات الموجودة بالذاكرة

ولاكن مع الأسف فشلت هذي المحاولة لأني كنت مغلق الاتصال بالإنترنت أثناء تجربة العينه

والعينه هي أساساً تحتاج لإتصال بالإنترنت عشان تحمل بعض الأكواد كما ذكر أخونا مصطفى

فاللي جعلني أتنبه لهذا الأمر

بعد ما أغلقت العينه ظهرت لي الرسالة التالية واللي كان فيها عنوان موقع ( Pastebin )

p_477eytzs2.png


وهذا الموقع أخواني يمكن من خلاله وضع أكواد نصية ثم استدعائها من الصفحة من خلال التطبيق


-----


فلسهولة استخراج السيرفر راح نستخدم تطبيق ( dnSpy )

ثم نسحب العينه ونسقطها في المساحة المحددة :whitedownpointing:

p_477ozmak3.png



-----


بعدها ننتقل للدالة اللي راح تنفذ التعليمات بعد غلق العينه :whitedownpointing:

p_477gr9i44.png


ولو نلاحظ بالكود السابق هو نفس الكود اللي أشار له أخونا مصطفى


-----


طيب الآن راح نتتبع الأسطر اللي تنفذها هذي الدالة

فالمطلوب نضع نقاط على جميع الأسطر التالية ثم ننقر على زر ( Start )

p_477cnri75.png



-----


ثم ننقر على زر ( OK ) للبدء في التتبع :whitedownpointing:

p_4776uiqx6.png



-----


الآن راح يبدأ من أول انطلاقه للعينه

فالمطلوب منا نتابع الأحداث اللي تحصل في الجدول المحدد في الرقم ( 2 )

ثم ننقر على زر ( Continue ) والمحدد بالرقم ( 3 ) :whitedownpointing:

p_47727o8k7.png



-----


الآن راح تعمل العينه فننقر على زر إغلاق النافذة عشان تعمل الدالة اللي ذكرناها مسبقاً :whitedownpointing:

p_4770egsg8.png



-----


لاحظوا في الجدول التالي

بدأ في عرض الروابط فخليه يعقد المسأله على راحته لأن أنا ما يهمني اللي سواه

أنا فقط أبي الناتج والناتج ظاهر لي بالجدول :whitedownpointing:

p_477nogo99.png



ف نكمل تتبع وننقر على ( continue ) كما هو محدد بالصورة السابقة

ونتابع الأحداث اللي تحصل بالجدول


-----


وأهم حاجه واللي يهمنا هو الناتج النهائي أي بيانات السيرفر واللي مضافه في ( rawAssembly )

فننقر بالماوس يمين على القيمة ثم نختار ( Save ) :whitedownpointing:

p_477teatk10.png



-----


وبعدها نكتب أي اسم للحفظ مع وضع الامتداد ( exe )

p_4772tluh1.png



-----


وهذا هو السيرفر أخواني :whitedownpointing:

وعشان نستخرج بياناته نستخدم أي منقح كـ ( Net Reflector. ) :whitedownpointing:

p_477jd4e82.png



-----


والنتيجة :whitedownpointing:

[hide]
p_477a19f43.png
[/hide]


-----


وأتمنى أن أكون قد وفقت بالشرح

وإن كان في خطأ في أي نقطة ذكرتها

فأفيد أخواني بأني لا زلت أحاول أن أتعلم وأستفيد

فيرجى تصحيحها لي
أنقر للتوسيع...

ابدعت فى الشرح اخى سليمان وتحليل رائع جدا منك

الطريقه المتبعه فى التتبع تخص الاجزء الاكبر فى التحليل وهو تتبع رابط الدونلودر المشفر

فالاتجاه الان من ناحيه التلغيم هو وضع رابط مشفر حيث عندما قمت باستخدام MegaDumper فى اول مره لم تحصل على اى شى

لان فى الاصل هناك دونلودر وليس دونلودر عادى بل ومشفر ايضا فمهما فعلنا لن نسطيع الحصول على عليه

اتمنى ان تفيد الطريقه جميع الشباب
 
توقيع : black007
السلام عليكم
هذا ما كنت بحاجته فكم من مرة اود تعلم التحليل لكن لا اتبع الطرق الصحيحة
الف شكر اخي مصطفة على هذه الفرصة القيمة التي منحتنا ايا وشكرا للاخ سليمان على الشرح
سأحاول اتباعه ان شاء الله
 
جميل .... و شرح أجمل
شكرا لك أخي سليمان على التوضيح
حيث عندما استعملت universal extractor لم أجد أي سرفر فهمت أنه مشفر
لكن طريقة استدعاء الروابط عبر pastebin بصراحة هي طريقة ذكية لأنه في Cports لاحظته
فقلت هو لا علاقة له بالسيرفر
و الله هكذا مواضيع تفتح الشهية ، حبذا لو يتم تكوين مدرسة لمثل المواضيع من طرف الاخوة المحترفين و الادارة
تقبلوا مروري شباب
 
توقيع : النوميديالنوميدي is verified member.
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى