تشفيرة تشفيره بتاريخ 4/2/2018

لكن السبب الذى قام باكتشاف بهذا الاسم واضح

وهو اعتمده على توقيع باسم smart assembly لذلك تم الكشف بهذا الاسم

العيب فى من كتب التوقيع داخل البرنامج

هناك مشاريع كثيره مفتوحه المصدر التى يمكن من خلالها بناء محرك فيروسات خاص بك بدون الاعتماد على محركات الشركات المشهوره ( افيرا / كاسبر / بت دفندر ) وغيرهم

من ارد التعمق فى هذا الموضوع عليه بالبحث باسم yara signature

بمكانك ان تقوم بعمل قاعده بيانات كبيره تقوم فيها بكتابه توقيع خاص الى اى برنامج تريده اعتمادا على هذا المبدا

واذا كنت مبرمج شاطر تستطيع كتابه برنامج حمايه خاص بك وتقوم بتغزيته بتلك التوقيعات

وهو ما نحن بصدده الان ( مثال الاخ tiktoshi ) البرنامج المشار له فى الاعلى

لكن صاحب البرنامج او فريق البرنامج قام بكتابه التوقيع بشكل خطا بدون التعمق بشكل اكثر للتفرقه بين الملفات السليمه المشفره بواسطه smart assembly

والملفات الخبيثه التى هى ايضا مشفره بنفس البرنامج smart assembly

موضوع التوقيع الصراحه اعرف الكثير عنه وهناك كثير من المشاريع المفتوحه المصدر

بمكاننا ان اصنع موضوع اشرح فيه كيف تقوم بكتابه توقيع لملف ما

لكن ربما لن يفيد احد لانه سيكون موجه للاشخاص المتوسط والمحترف ولن يفهمه المبتدا لصعوبه قليلا فيه

لانى ساتكلم عن قيمه عدديه قرائه الملف عن طريق hex لكتابه توقيع فريد من نوعه

 

يمكن لواحد شاطر ان يعمل برنامج خاص به بستخدام توقيعات

لكن هل يمكن للبرنامج ان يستخدم رقم هاش ملفات بدل توقيعات

على ما اعتقد توجد برامج تعتمد على محركها بستخدام هاشات MD4 ملفات

 

لا يمكن الاعتماد على الهاش خصوصا فى محركات الفحص وسابقا كانت تعتمد شركات الحمايه على الهاش

لكن تم الاستغناء عنها حيث ان سابقا كان عدد الملفات التى يتم انتاجها بسيط

بينما الان هناك بال الالاف من الملفات التى تظهر بنفس الوقت لذلك فكره الاعتماد على الهاش غير مفيده

لان اذا قمت بالتعديل على ملف انت تعرف مسبقا رقم الهاش الخاص به اى تعديل ولو حتى بسيط بيتغير رقم الهاش بالكامل وهنا ستفشل عمليه الفحص

السبب الذى يجعلنا نقوم بقرائه الملف عن طريق hex

للحصول على قيمه عدده فريده من نوعها لكى يتم كتابه التوقيع لها وهذا ما تفعله كبرى شركات الحمايه عندما تقوم بتحليل ملف ما

طبعا بعد ازاله التشفير عن الملف الاصلى يتم تحليل الملف الاصل والبدايه بالبحث عن قيمه عدديه فريده من نوعها ويتم كتابتها داخل برنامجك

حسننا اذا حاولنا تشفير الملف مره اخرى وقمنا بفحص الملف عن طريق برنامجنا سيتم امساك الملف الصلى رغم انه مشفر

كيف حدث ذلك

لان الملف الاصل نعم مشفر ولكن هناك قيمه ثابته فيه وهو من قمنا بقنصها ووضعها فى برنامجنا حتى وان استطعنا ان نشفر الملف الاصلى فهذه القيمه مازالت مكشوف

لذلك يكشفها برنامجنا

الفكره تعتبر بسيطه بالشكل الظاهرى

لكن حصولك على قيمه عدديه فريده من نوعها مع الوضع فى الاعتبار ان تكون القيمه حيقيقه وثابته وليست متغيره

تعتبر امر مرهق جدا بالنظر الى انك تريد ان تكتب توقيع لملف ما

ارجو ان تكون الفكره وضحت الان

 

الفكرة وصلت بعد قراءة شكرا لك

هل من تشفرة اقوى من تشفرة السابقة

افيرا جاهز

 

شكرا لك.