• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

عـيـنة برنامج ملغوم للتحليل 05

الحالة
مغلق و غير مفتوح للمزيد من الردود.
النوميدي

النوميديالنوميدي is verified member.

خبراء زيزووم
★★ نجم المنتدى ★★
كبار الشخصيات
إنضم
18 فبراير 2017
المشاركات
7,487
مستوى التفاعل
14,760
النقاط
5,900
الإقامة
أرض الله
غير متصل
29111

كالعادة عينة ملغومة للتدرب

الأحسن يتم تحليلها ،،، لاستخراج البيانات طبعا...

لكن هذا لا يمنع من استعمال برامج الحماية لتجربة مدى قوتها و مدى قوة التحليل فيها ..

العينة هي عبارة عن برنامج يجب الحذر ... العينة خطيرة ،،

لذلك أوصي نفسي و اياكم لاستعمال الانظمة الوهمية ....
exclamation.gif

البرنامج ملغوم .....:222D
719054807.gif

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

كلمة فك الضغط : infected
719054807.gif

تنبيه هام جداً صادر عن إدارة المنتدى

كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم فهذا القسم مخصص للتجارب

على ملفات ضارة مختلفة الأنواع ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة

بما سوف يجربه والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم

وتجريبه على جهازه والإدارة تخلي مسؤوليتها بهذا الشأن....

 

توقيع : النوميديالنوميدي is verified member.
هوب هوب هوب هوب
جاري التحليل (222y)
وماشي التحليل وراكب التحليل هيوق يوقيوق #الخليل_كوميدي:222D
 
توقيع : MagicianMiDo32
وعليكم السلام
تم تجربة التشفيرة على السمول ولم يكتشف شئ
على العموم بعد الاطلاع على عمل التشفيرة لم الاحظ اى شئ مريب وحتى لايوجد اتصال
هل التشفيرة مربوطة بip
 
توقيع : ALmehob
فين dora.dll ياصديقي
المفروض أنه جزء من التلغيمة أيضا
موفق
 
توقيع : MagicianMiDo32
abrahim2014 قال:
وعليكم السلام
تم تجربة التشفيرة على السمول ولم يكتشف شئ
على العموم بعد الاطلاع على عمل التشفيرة لم الاحظ اى شئ مريب وحتى لايوجد اتصال
هل التشفيرة مربوطة بip
أنقر للتوسيع...
طبعا لب الموضوع في الاتصال يا طيب ...
 
توقيع : النوميديالنوميدي is verified member.
توقيع : النوميديالنوميدي is verified member.
Creative Resistance :222D
 
توقيع : النوميديالنوميدي is verified member.
استغفر الله العظيم أيه الفسق دا

وةىلارؤ.webp


دا لو بيحمي الأحتياط البنكي المركزي بتاع سويسرا مكانش عمل كدا :222ROFLMAO:


عامة هذا هو الاجراء الملغم Main علطول

اىلبريؤ.webp


هناك دالة Decompress
ااىلبي.webp

تابعة لكلاس آخر
لاتستدعى في الأجراء Main
 
توقيع : MagicianMiDo32
الـ Array طويل والليل طويل والنت بطيئ والدنيا مشقلبة فالملف دا

jmhgf.webp


@black007
 
توقيع : MagicianMiDo32
تحياتي للجميع وكل عيد اضحى ونحن واحبابنا واياكم بخير

اخي لا مجال للعب مع البتدفندر بمجرد فك الضغط حذفه من جذوره


upload_2017-8-31_4-5-52.webp
 
توقيع : التميمي14
توقيع : awake
توقيع : awake
هههههههههههههههههههههههه

شوفت الخدع بنت الأيه
لقد وقعنا في الفخ

البرنامج طلع معيلهوش ولا حماية

دا الواد حاطط الـ identifiers بتاعة كل الحمايات دي للتمويه بس
أنما لما تفتح الكلاس تلاقيه فاضي:222ROFLMAO:
Capture.webp

بس صراحة غلبني الملف دا
أضنبه بالميجا ضنبر يدي الملف نفسه
أعمله مشروع بالفيجوال يديني overflow
أجي أعدل عليه بالـ Dnspy يعمل exception
أعدل عليه بالـ Reflexil مش يرضى ويدي خطأ
1.webp

gjhngfbfd.webp


آخر ما زهقت رحت جاي فاتحه في الـ dnSpy شوفت لقيت الموديول dora.dll
1للابرؤ.webp

رحت جاي عامله Dump region وهوبا وصل الملف

وبلاها اللف والدوران والدوشة دي

اىللابري.webp
 
التعديل الأخير:
توقيع : MagicianMiDo32
:222cool:
وراك وراك لما جبتك
Ram.webp


PHP: 
Imports System.Security.Cryptography
Imports System.Text

Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        Dim s As String = IO.File.ReadAllText("D:\2.txt")
        Dim rawAssembly As Byte() = Me.md5Decrypt(Convert.FromBase64String(s), "md5", CipherMode.ECB, PaddingMode.PKCS7)
        IO.File.WriteAllBytes("D:\server.exe", rawAssembly)
    End Sub
    Public Function md5Decrypt(ByVal bytData As Byte(), ByVal sKey As String, Optional ByVal tMode As CipherMode = 2, Optional ByVal tPadding As PaddingMode = 2) As Byte()
        Dim provider As New MD5CryptoServiceProvider
        Dim buffer As Byte() = provider.ComputeHash(Encoding.UTF8.GetBytes(sKey))
        provider.Clear()
        Dim provider2 As New TripleDESCryptoServiceProvider With { _
            .Key = buffer, _
            .Mode = tMode, _
            .Padding = tPadding _
        }
        Dim buffer2 As Byte() = provider2.CreateDecryptor.TransformFinalBlock(bytData, 0, bytData.Length)
        provider2.Clear()
        Return buffer2
    End Function
End Class


ال string مزعج شوية في تجميعه

اهه معدول

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
هههههههههههههههههههههههه

شوفت الخدع بنت الأيه
لقد وقعنا في الفخ

البرنامج طلع معيلهوش ولا حماية

دا الواد حاطط الـ identifiers بتاعة كل الحمايات دي للتمويه بس
أنما لما تفتح الكلاس تلاقيه فاضي:222ROFLMAO:
مشاهدة المرفق 143421
بس صراحة غلبني الملف دا
أضنبه بالميجا ضنبر يدي الملف نفسه
أعمله مشروع بالفيجوال يديني overflow
أجي أعدل عليه بالـ Dnspy يعمل exception
أعدل عليه بالـ Reflexil مش يرضى ويدي خطأ
مشاهدة المرفق 143423
مشاهدة المرفق 143422

آخر ما زهقت رحت جاي فاتحه في الـ dnSpy شوفت لقيت الموديول dora.dll
مشاهدة المرفق 143424
رحت جاي عامله Dump region وهوبا وصل الملف

وبلاها اللف والدوران والدوشة دي

مشاهدة المرفق 143425
أنقر للتوسيع...

MagicianMiDo32 قال:
:222cool:
وراك وراك لما جبتك
مشاهدة المرفق 143426

PHP: 
Imports System.Security.Cryptography
Imports System.Text

Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        Dim s As String = IO.File.ReadAllText("D:\2.txt")
        Dim rawAssembly As Byte() = Me.md5Decrypt(Convert.FromBase64String(s), "md5", CipherMode.ECB, PaddingMode.PKCS7)
        IO.File.WriteAllBytes("D:\server.exe", rawAssembly)
    End Sub
    Public Function md5Decrypt(ByVal bytData As Byte(), ByVal sKey As String, Optional ByVal tMode As CipherMode = 2, Optional ByVal tPadding As PaddingMode = 2) As Byte()
        Dim provider As New MD5CryptoServiceProvider
        Dim buffer As Byte() = provider.ComputeHash(Encoding.UTF8.GetBytes(sKey))
        provider.Clear()
        Dim provider2 As New TripleDESCryptoServiceProvider With { _
            .Key = buffer, _
            .Mode = tMode, _
            .Padding = tPadding _
        }
        Dim buffer2 As Byte() = provider2.CreateDecryptor.TransformFinalBlock(bytData, 0, bytData.Length)
        provider2.Clear()
        Return buffer2
    End Function
End Class


ال string مزعج شوية في تجميعه

اهه معدول

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

أنقر للتوسيع...

ههههههه

اضحكنى جدا هذا الملف فمن سيطلع عليه لاول سينخدع بسهوله

وقد صادفنى ملف مشابه سابقا

حمايه dora protected مبداها انها تقوم بوضع كلاسات مختلفه لاغلب برامج الحمايه net. المشهوره

وعندما تحاول فحص نوع الحمايه على الملف مش هتصدق الى انت شايفه

عموما كما ذكر ميدو فى المشاكتين السابقتين يمكن عمل fulldump عن طريق اداه NETUnpack. وستحصل على الملف خام

احسنت ميدو فى الووصل للبيانات (222y)(222y)(222y)(222y)

وشكرا لصديقى العزيز سليم على التلغيمه الرائعه للتدرب

اتمنى اضافه المزيد للتدرب

بالتوفيق
 
توقيع : black007
يغلق الموضوع لتمام الغرض

الى حلقة قادمة ...:222D
 
توقيع : النوميديالنوميدي is verified member.
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى