• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تم الفحص فحص ملفات كراك

الحالة
مغلق و غير مفتوح للمزيد من الردود.

mostafa mater

زيزوومي محترف وخبير شروحات، (خبراء زيزووم)
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 أغسطس 2009
المشاركات
1,094
مستوى التفاعل
2,689
النقاط
1,620
غير متصل
1.bObjn5M.png



لدي ملفين الاول لاحقة exe يقوم باستخراج id اللوحة الام و هو برنامج مساعد للكيجن
و الثاني ملف لاحقة
sys لتثبيت دونجل وهمي

تم فحص الملفات على مواقع الفحص الثلاثة

نسبة الشكوك كانت عالية على
فيروس توتال و Hybrid-Analysis


الملف الأول

3shape - Pass 1889

التحميل


https://www.mediafire.com/file/o4psuuwil4c3xok/3shape+باسوورد+1889.rar/file

روابط الفحص

https://www.virustotal.com/gui/file/07eda2020ff34ff8ed1f24a71305839bd5054b6635d3999b66823c850589d21c
https://hybrid-analysis.com/sample/07eda2020ff34ff8ed1f24a71305839bd5054b6635d3999b66823c850589d21c
https://app.any.run/tasks/e261f537-2181-4f60-b7f3-6e25f48eb9f1

الملف الثاني

Rockey4ND - Pass 1889

التحميل


https://www.mediafire.com/file/wbclik09sighopw/Rockey4ND+باسوورد+1889.rar/file

روابط الفحص

https://www.virustotal.com/gui/file/67b4fbae492dad89226dfc933d4dae70273ae8c5a60a31c6ee0223b6b76b685d
https://hybrid-analysis.com/sample/67b4fbae492dad89226dfc933d4dae70273ae8c5a60a31c6ee0223b6b76b685d



يرجى ارفاق تقرير باللغة الانكليزية عن حالة الملفات و أوامرها التنفيذية اذا كانت مصابة

و لكم جزيل الشكر
 

عليكم السلام ورحمة الله

الملف الأول GetHWID1 سليم
ترخيصه الرقمي سليم
لا يتضمن تعليمات برمجية خبيثة
تم تشغيله على عدة أجهزة دون نتيجة

سبب الإشتباه:
1) Certificate expired
valid-from,21/12/2012 - 00:00:00
valid-to,30/12/2020 - 23:59:59

2) كود سورس مبرمج باللغة الصينية

Code source in chinese-simplified

3) يقوم بعمليات تندرج ضمن القائمة السوداء
Collect and transmit user data without proper disclosure

gain knowledge about the system and internal network

4) القيام بعمليات
Defense Evasion
التهرب من الدفاع:
يتحقق من التشغيل في Virtual
+
Modify Registry

يعدل قيم رجستري نظام التشغيل ويقوم بحذفها
(مسح آثار العملية)
interact with the Windows Registry to hide configuration information within Registry keys
remove information as part of cleaning up
or as part of other techniques to aid in Persistence and Execution

5) القيام بعمليات Discovery
اكتشاف معلومات النظام
System Information Discovery


attempt to get detailed information about the operating system and hardware
including version, patches, hotfixes, service packs, and architecture

هذه هي المنافذ التي يستعملها:
Port 443: This is the standard port for HTTPS, which uses encryption to secure communication
While some vulnerabilities might exist in specific implementations, a simple attempt like this wouldn't be effective
GET request: This is a standard way to request information from a web server
It doesn't involve uploading malicious code or performing actions that could compromise your system
msftconnecttest.com: a Microsoft service for testing connectivity

لم يعمل معي للمهمة التي ذكرت في تعريف عمل البرمجية
سواء تم تشغيله في نظام حقيقي أو وهمي تظهر رسالة:

upload_2024-7-8_10-36-49.webp


请不要在虚拟机中运行此程序。= Please do not run this program in a virtual machine

ملاحظة:
تسبب في انهيار نظام تشغيل وهمي على حاسوب مختلف PCSP Z440 Workstation Tower Desktop PC
شاشة زرقاء
:disappointed:
Your device ran into a problem and needs to restart. We're just collecting some error info, and then we'll restart for you
100% complete
For more information about this issue and possible fixes, visit https://www.windows.com/stopcode
If you call a support person, give them this info:

Stop code: KERNEL SECURITY CHECK FAILURE

كما سبق الإشارة إليه لم يحدث أي شيء عملي من هذه التعليمات البرمجية بسبب تلك الرسالة:
请不要在虚拟机中运行此程序。= Please do not run this program in a virtual machine
(للأسف جميع الأجهزة نفس النوع)

لكن حسب تصنيفVIRUS TOTAL الملف نظيف إن شاء الله
باعتماد نتيجة فحص: (Static ML)&(Theta)
Static ML:
Since it doesn't run the program
Static ML: يشير هذا إلى نموذج التعلم الآلي المستخدم للتحليل
Static الثابت هنا يعني أن التحليل يحدث قبل تنفيذ البرنامج

Theta:
تستخدم Theta خوارزميات التعلم الآلي لتحليل سلوك الملف وخصائصه لتحديد البرامج الضارة المحتملة حتى المتغيرات الجديدة وغير المرئية تماما
تركز خوارزميات Theta على السلوك حيت تبحث في كيفية تفاعل البرنامج مع النظام والبيانات مما يجعله أكثر فعالية ضد التهديدات المتطورة


و الثاني ملف لاحقة sys لتثبيت دونجل وهمي
----------------------------------------------------
الملف يستدعي عدة تعليمات لا يمكن تنفيذها دون البرنامج الأساسي
الترخيص الرقمي للملف غير سليم تم التعديل عليه

سبب الإشتباه:
Data-Manipulation
Encode data using XOR
Manually build AES constants

Anti-Analysis
Packed with VMProtect


VMProtect: The packing or obfuscation technique used the VMProtect software
which is sometimes employed by malware authors
to make their code harder to analyze and reverse-engineer

VMProtect في حد ذاته ليس ضارًا و ولكن يمكن استخدامه لحماية البرامج بما فيها الضارة
مما يجعل من الصعب تحليلها واكتشافها


هذه التعليمة HUNT_WIN_DRIVER_CONTAINS_RSRC_00
تحمل تعريف /بصمة
malicious attempt to exploit vulnerabilities in drivers
وهي سبب تعريف كاسبرسكي :
Heuristic detection: This type of detection looks for suspicious activity
such as the file or program trying to access sensitive data or modify system settings

تعليمة تستخدم في استغلال التعريفات للحقن
HUNT_WIN_DRIVER_CONTAINS_RSRC_00
refers to a process searching for drivers containing a specific resource (RSRC_00)
This could be legitimate system maintenance or security research
but it could also be a malicious attempt to exploit vulnerabilities in drivers
دون تشغيل البرنامج لايمكن التأكد


بالإستناد إلى محركات الفحص VIRUS TOTAL
AhnLab-V3
BitDefenderTheta
DrWeb
Acronis (Static ML)

Kaspersky:
upload_2024-7-8_19-47-54.webp


أجمعت على نظافة هذا الملف

ملاحظة:
لم أتمكن من تحليل السلوك يدوياً بالتشغيل العملي للأداتين للأسباب المذكورة سابقا

حظاً طيباً وفقك الله
 
بسم الله ما شاء الله
تقرير شامل بارك الله
اختي بالنسبة للملف الاول بما انه نظيف الحمد لله اطمنت عليه

يبقى التاني حسب ما فهمت " انه يستغل ملفات اخرى للحقن" يعني لا نعرف ماذا يفعل الا بتجربة الملفات الملحقة فيه
هو فعلا هيك انا عندي مجلد فيه مجموعة ملفات عملها زرع تعريف دونجل وهمي بدل الدونجل الحقيقي للبرنامج
و فعلا الربط بين ملف install.cmd و بين هذا بشكل مباشر لان زرع الدونجل يفشل بدونه

لكن وضعت هذا لوحده لان الكاسبر ترك كل المجلد و امسك بهذا الملف
بهالحالة ع الاغلب نظيف ان شاء الله
لاني كمان جربت افحص النظام كله بعد الحقن و زرع الدونجل و حذف الحاقن قال كاسبر لا وجود لتهديدات
اتمنى اكون وصلت الفكرة كاملة
جزاكم الله خير الجزاء
 
الكاسبر ترك كل المجلد و امسك بهذا الملف
إذن الملف نظيف إن شاء الله لأن وظيفته لاتتجاوز حقن تلك التعريفات في المجلد

سبب اشتباه كاسبركي:
الترخيص الرقمي للملف غير سليم تم التعديل عليه
توقيع رقمي/ بصمة تستعمل للحقن
Anti-Analysis = Packed with VMProtect
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى