تشفيرة عينه بتاريخ 18/5/2017

المصدر: عينه بتاريخ 18/5/2017
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الباس

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع

 

السلام عليكم
ستتم المحاولة ان شاء الله في المساء ..
كنظرة بسيطة على العينة


هل حاولت فك القيمة ؟ لكي لايضيع جهدي سدى

 

هذا ما كنت اقصده بتعقيد بعض عينات الدوت نت

هذه التشفيره معموله بعنايه فائقه

تحتوى على رات من نوع NanoCore وهذا الرات تحديدا ارفع له القبعه

لانه يعتبر الاصعب فى كشف الهوست والبورت عن اى رات اخر

لان كل شى به يعتمد على Plugin ولا يستخدم اى شى بشكل مباشر وحجم السرفر الخاص به كبير نوع ما

بالتوفيق فى الفك

 

لك كل الشكر أخي الغالي مصطفى

 

السلام عليكم
أعتذر عندي ظروف دراسية (اختبارات) لاتسمح لي بالمواصلة
وبالأخص أن العينة تحتاج وقت لكتابة الخوارزمية وفك التشفير ..

للمهتمين خوارزمية جاهزة للفك بالبايثون
https://github.com/kevthehermit/RATDecoders/blob/master/decoders/NanoCore.py

الى الملتقى شباب .. بالتوفيق لكم ..

 

شكرا لك اخى الغالى على المحاوله + اضافه الاسكربت

بانتظار عودتك اخى الغالى للمتابعه

وبالتوفيق لك فى الاختبارات

 

ستتم مراجعة كل العينات ان شاء الله لاحقا
الان امر بظروف عمل ضيقة جدا $$
^^ شكرا على الرفع

 

مونامي ههههههههه

 

لااااااااا ؟ ههههههه
من ؟

 

تابعني حتى هنــا ابوراس ههههه
داك اللي على بالك ^^ صياد النعام ..

 

متبعكش -_- عندنا نفس الادواق هههههه
سبحان الله .. جد جد سعيد بتواجدك هنا يا خبير
انا حافظت على اسم العضوية لذلك قمت بكشفي هههه
هههه العينات تنتظرنا و الظروف لا تساعدنا ...
صياد النعام تقبل مروري و بالتوفيق في الاختبارات ^^

 

الله يحفظك أستاذي .. لي الشرف يتواجدك
ان شاء الله بعد الاختبارات ..

 

تم تجربة فتح العينة من غير انتي فايروس لتجربة حاولت رصد اتصال
عن طريق tcpview لايوجد شي عينة تجلب الياس لاحضت وجود
عمليتين جديدتين MSBuild.exe يعمل تحتها cswuzynfx.exe تم ضغط
الملف وفحصة بالكاسبر وكتشف انه تروجان لكن السؤال لماذا لايوجد
اثر لاي اتصال

 

بعد ساعات طويلة ومحاولات عديدة هذا ماتوصلت له













اكواد مشفرة توحي لوجود اوامر حماية وحماية للهوست
واوامر عمل بالخفاء و ايبي ادرس لاكن لم استطع الوصول
الى شي علامات واضحة لوجود تجسس لاكن من غير الوصول
للمعلومات بشكل كامل

كود:

public static bool #=qd7RJPnCy4YddvoQeTJhlwA==(IPAddress #=qhA4OqIvVSMpJakxtoytoCw==)
{
    byte[] buffer;
    if (#=qhA4OqIvVSMpJakxtoytoCw==.AddressFamily != AddressFamily.InterNetwork)
    {
        return false;
    }
    if (8 != 0)
    {
        buffer = #=qhA4OqIvVSMpJakxtoytoCw==.GetAddressBytes();
    }
    else
    {
        byte[] expressionStack_14_0 = #=qhA4OqIvVSMpJakxtoytoCw==.GetAddressBytes();
    }
    if ((buffer[0] != 10) && ((((buffer[0] != 0xac) || (buffer[1] <= 15)) || (buffer[1] >= 0x20)) && ((buffer[0] != 0xc0) || (buffer[1] != 0xa8))))
    {
        return false;
    }
    return true;
}




------------



public static string smethod_4()
{
    return (string) smethod_35("PrimaryConnectionHost", "127.0.0.1");
}



------------


namespace System.Windows.Forms
{
    using System;
    using System.Collections.Specialized;
    using System.ComponentModel;
    using System.Drawing;
    using System.Runtime.InteropServices;
    using System.Security;
    using System.Security.Permissions;
    using System.Windows.Forms.Internal;
    using System.Windows.Forms.Layout;

    [ClassInterface(ClassInterfaceType.AutoDispatch), ComVisible(true)]
    public class ContainerControl : ScrollableControl, IContainerControl
    {
        private Control activeControl;
        private SizeF autoScaleDimensions = SizeF.Empty;
        private System.Windows.Forms.AutoScaleMode autoScaleMode = System.Windows.Forms.AutoScaleMode.Inherit;
        private System.Windows.Forms.AutoValidate autoValidate = System.Windows.Forms.AutoValidate.Inherit;
        private SizeF currentAutoScaleDimensions = SizeF.Empty;
        private Control focusedControl;


        private const string fontMeasureString = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";


        private static readonly int PropAxContainer = PropertyStore.CreateKey();
        private BitVector32 state = new BitVector32();
        private static readonly int stateParentChanged = BitVector32.CreateMask(stateScalingChild);
        private static readonly int stateProcessingMnemonic = BitVector32.CreateMask(stateValidating);
        private static readonly int stateScalingChild = BitVector32.CreateMask(stateProcessingMnemonic);
        private static readonly int stateScalingNeededOnLayout = BitVector32.CreateMask();
        private static readonly int stateValidating = BitVector32.CreateMask(stateScalingNeededOnLayout);
        private Control unvalidatedControl;

        

------------




public Type_54(Socket #=qw2XWrJCQCyTO0Iwdbz8TWw==, bool #=qoTGj8$mBoje$u1RSJ6obYA==, int #=qN76bQl1CQ6EpIJzS4bbSnw==, int #=qZ8pysPk74rQ5GX0s5CkOJQ==, bool #=qP05CRmbt2pJg10eRU50wu1vx$mfteEn$pCn9SEbehP8=)
{
    this.boolean_8 = true;
    this.int32_9 = 0xffff;
    this.int32_10 = 0xa00000;
    this.int32_12 = 0xa00000;
    this.int32_13 = 0x9c4;
    this.int32_14 = 0x1f40;
    this.object_38 = RuntimeHelpers.GetObjectValue(new object());
    this.socket_25 = #=qw2XWrJCQCyTO0Iwdbz8TWw==;
    this.string_22 = Guid.NewGuid().ToString();
    this.boolean_20 = true;
    this.uint16_18 = (ushort) ((IPEndPoint) #=qw2XWrJCQCyTO0Iwdbz8TWw==.LocalEndPoint).Port;
    this.boolean_8 = #=qoTGj8$mBoje$u1RSJ6obYA==;
    this.int32_9 = #=qN76bQl1CQ6EpIJzS4bbSnw==;
    this.int32_10 = #=qZ8pysPk74rQ5GX0s5CkOJQ==;
    this.boolean_11 = #=qP05CRmbt2pJg10eRU50wu1vx$mfteEn$pCn9SEbehP8=;
    this.Method_360();
    this.Method_367(#=qw2XWrJCQCyTO0Iwdbz8TWw==);

 

بعد هذا التعب الطويل احتاج الى نومه عميقة ​

 

تم التعرف على الهوست ويوجد اتصالان للملف واحد
داخلي وواحد خارجي هل هذا يعتبر تمويه لعدم كشفه
في الفحص وسؤال الثاني لماذا برنامج apateDNS
لم يكتشف الهوست دوخني كنت اعتمد عليه


----------

الاتصال الداخلي

127.0.0.1
222

----------

الخارجي

82-145-149-8.network.biggnet.net
82.145.149.8
222

Geolocation Information

Continent: Europe
Country: Sweden se flag
State/Region: Jönköping
City: Gislaved
Latitude: 57.3 (57° 17′ 60.00″ N)
Longitude: 13.5333 (13° 31′ 59.88″ E)
Postal Code: 332 01

----------

زارع ملف KB_22497562.dat
تم تحويل الامتداد الى html
وتم الفتح وتبين مابداخلة
يتم التجسس على البرامج
المفتوحة وصفحات وكلشي