تشفيرة نعود مع التشفيرات بتاريخ 10/6/2017

الملفات المشفره obfuscator عندما تكون محميه لديك طريقين للفك

اما ان تقوم بعمل Dump للملف داخل الممورى او تقوم بفك تلك الحمايه

اذا حاولت فك الحمايه عليك ان تحدد بشكل صحيح ما هى الحمايه الى على الملف

لان برامج كشف الحمايه اصبح الان لا تحدد بشكل مطلوب الحمايه خصوصا اذا كانت متطوره وربما تخطا فى بعض الاحيان

ملف التشفيره هذه محمى بحمايه Net Reactor 5.0.0.0 وكما تلاحظ ذكرت الاصدار هذا يعتبراحدث اصدار من البرنامج المذكور

ولكن برامج الكشف عن نوع الحمايه تقرئه على هذا الشكل .NET Reactor(4.8-4.9) كما ترى لم تحدد الاصدار الجديد بعد وهو فى حد زاته يدخل المفكك فى دوامه

ليس عيب فى برنامج الكشف عن نوع الحمايه فقط وانما يحتاج الى تحديث المديولات الخاصه به لكى يقرا الحمايه بشكل سيلم

لذلك لن تجد الاداه المناسبه للفك

لكن حاول ان تجرب استخدام الاصدارات الاولى من de4dot اصدار 2.0 او 3.03 ستنجح فى فك اجزاء من سورس الملف

اما اذا كنت تساءل عن موقع يقوم بعكس الخوارزميات المكتوب فللاسف لا تحاول لان الخوارزميات تعتمد على دالتين داله تشفير وداله فك التشفير

داله فك التشفير تكون متواجده مع التشفيره ويمكن استنتاج الداله الاصليه للتشفير منها اذا كانت عندك خبره برمجيه

حيث انك ستقوم بعكس الكود وتقوم بعمل ريفرس ومن ثم ستحصل على السرفر خام

لكن هل انتهى الوضع الى هنا بالطبع لا فالسرفر الخام هو الاخر محمى باى حمايه هنا السوال

وستبدا رحلتك فى الفك

مفتاح حل اللغز دائما هو ما هو نوع الحمايه الى على الملف حتى تستطيع الفك

هذا اذا اردت الفك انما اذا اردت الطريق السهل وعمل dump فى الممورى .

اذا كنت تريد موقع يقوم بفك الاسترنج المشفر موجود موقع رائع جدا وهناك غيره الكثير

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

لكن يفيد فقط فى فك الاسترنج ولكن لا تعتمد عليه كثيرا

لان كما ذكرت اعتمد على خوارزميات مكتوبه بشكل شخصلا وربما لن تجدها بالموقع

ولكن فى الموقع ستجد اغلب الخوارزميات المشهوره التى ستحتاجها

بالتوفيق

 

شكرا لك على هذه المعلومات ساحاول البحث وتعمق بهذا المجال اكثر
نوع التحليل غير مهم بالنسبة لي المهم هو الوصول للهوتس ولايبي ولبورت
باي طريقة كانت ههههه

 

لا باس فى ذلك ولكن تذكر دائما

ربما تصادف عينات تشيب

لكن اذا كنا سنتكلم عن التشفيرات فبامكانى ارباكك ووضع اكثر من اتصال فى الملف

فى هذه الحاله ماذا ستتصرف وقتها وتعرف ايها السليم والاخر مزيف

قمت بتطبيق الفكره هنا

http://forum.zyzoom.net/threads/284350/

راجع الردود بينى وبين سليمان

تحددا هذا الرد

http://forum.zyzoom.net/threads/284350/page-2#post-3857018

ماذا ستفعل وقتها

 

في الملف السابق الموجود في تشفيرة اخرى ذكرت انه نوع السيرفر
خاص به nanocore هذا السيرفر يعمل اتصال خارجي ولم استطع الوصول
الى محل اتصال السيرفر فياريت تشرح طريقة رصد اتصال هذا النوع من السيرفرات

 

السلام عليكم ورحمة الله وبركاته

كيف حالك أخي مصطفى، والله لك وحشة

دائما نقول إنك ملك التشفيرات والحركات

على كل حال تم تجربه العينة بالفحص فقط بواسطة ESET Smart Security 10.1.210.0

وبمجرد فك الضغط عن الملف كانت النتيجة بهذا الشكل



تقبل مني فائق الاحترام والتقدير

:: تحياتي ::​

 

لك ذلك

على الرغم من انى لا اريد ان اشرح طريقه لانها صعبه بعض الشى

وستدخلك فى دوامه وربما تتوه منى وسط الشرح

 

سوف ارى الموضوع واذا تواجد اكثر من اتصال فالحل عمل
بلوك لجميع الاتصالات في ملف الهوست وريح دماغي

 

حبيبنا الغالى عبد المهيمن

لك وحشه يا راجل فينك وفين الايام

محبين النود دئما ياتوا متاخرين

نتمنى ان نراك معنا مجدد فيسعدنى جدا لم الشمل للجميع الشباب كما كنا فى السابق

تقبل مرورى

 

هههه

من هنا تكون الفكره ايهم الاصح هذه اذا كنا سنتدرب على استخراج البيانات

فهذه تعتبر فى حد زاتها حاله غريبه

malware يتصل على اكثر من هوست

الا ترى معى انها غريبه بعض الشى

على الرغم من اننى اطلعت على مشروع قديم تم نشره تقريبا عام 2014 على ما اذكر

ان هناك موديول خاص يقوم بتوليد هوسات عشوائيه للفات الخبيثه وعلى ما اتذكر كان لبوت نت

لم اتذكر الحدث جيدا حتى احكيه لك لان قديم كما ذكرت والسبب من وراء الفكره تعدد الهوستات

ذاكرتى لا تحضرنى فى الموضوع اعزرنى

 

هذه مصيبة اذا هل تنفع طريقة عمل ping للهوست لرصد الايبي المتصل
ورصد الاتصال ولعملية عن طريق امر netstat -ano هل تنفع

 

اعتقد برنامج GlassWire ممكن يكون حل ممتاز لرصد الاتصالات
الجديدة وعدد الاتصالات داخل كل عملية لكشف الحقن