مرحبا كيفكم اخواني ان شاء الله طيبين
مر علي كم مره تفعيل برامج عن طريق هذا الملف winspool.drv كيف قام بذالك ماهي الطريقه ؟
اشوفها طريقه نافعه للبرامج المشفره و المضغوطه
مثال تفعيل لبرنامج Anti DDoS Guardian/IP Blocker Firewall 3.x/5.x لا وبعد يفعل اكثر من اصدار و اكثر من برنامج من الشركه
https://yadi.sk/d/ItSSdz5v0By-bQ
ان شاء الله يكون احد لديه المعلومه لنستفيد جميعا
إقتباس :The winspool.drv is an executable file on your computer's hard drive. This file contains machine code. If you start the software Microsoft Windows Operating System on your PC, the commands contained in winspool.drv will be executed on your PC. For this purpose, the file is loaded into the main memory (RAM) and runs there as a Windows Printer Spooler process (also called a task).
الملف تابع للطابعة من حيث التعريف فوق , متأكد أن له دخل في عملية التسجيل ؟
هو البرنامج عليه CRC
![[صورة مرفقة: wjdJCns.png]](https://i.imgur.com/wjdJCns.png)
يمكن تخطي من هنا لكن اعتقد انهم عملو hook لهذا الملف winspool لتخطي كتابه على الملف
الملف يستخدم لعمل هوك ووسيلة لتخطي مشاكل الحقن والفك
مشكلة File Integrity Check اكيد انهم حددو مكانها ويمكن تجاوزها
بارك الله فيكم جميعا
الملف شكله معدل من الكراكر لان كوده صغير و غرضه فقط التعديل على البرنامج وكسره
ولاكن هو قام بعمل البحث و الاستبدال Search & Replace من نفس الملف المذكور
كيف عمل ذالك؟ حتى لو على ملفات النظام اللتي ممكن نقلها الى مجلد البرنامج المستهدف او حتى ملف دل تابع للبرنامج كيف نعمله بطريقة البحث و الاستبدال ليفعل البرنامج الرئيسي
لقيت هذا الشرح بمنتدى صيني ممكن يكون مفيد
https://www.52pojie.cn/thread-703853-1-1.html
(11-04-2020, 07:35 PM)The Hidden 2000 كتب : [ -> ]ولاكن هو قام بعمل البحث و الاستبدال Search & Replace من نفس الملف المذكور
اخي فهد كيف عرفت ان الكرار قام بهذه الخاصية قد يكون انه في الاصدار الحديث نفس مكان التغير
انا اعرف انك من عشاق Search and Replace
ولكن الاجابة سهلة جدا على سؤالك وقد وضحته لك سابقا الذي قام به هو الاستفادة من هذا الملف بحكم ان كل نسخ الوينذوز تستخدمه وتستدعيه ثم عمل هوك له وماتم اضافته من كود اكيد يحتوي على دالة معينة او سميه روتين تحقق معين يقارن بيتات معينة مثل مايحدث عند كتابة سكريبتات ونبحث عن مايسمى Pattern ان وجدت يتم تطبيق الباتش وهذا كل مافي الامر وصدقني الموضوع يحتاج فقط شوية تفكير
وعلى فكرة هذا الملف بالذات هو ملف تنفيذي موجود في الهارد درايف ويحتوي على كود الالة تبعك ويعمل كاتخزين مؤقت للطباعة
يعني ببساطة ملف موجود في كل الكمبيوترات ولهذا قام الكراكر باستغلاله وعمل فيه هوك وقام بتعديل الكود بطريقة يتحقق فيها من وجود بيتات في الملف المراد حقنه وان وجدت يقوم بتطبيق الباتش وان لم توجد سايعطيك Error او يخرج
هيك ياابن الحلال خليتنا كشفنا البزنس
اخي فهد في الموقع الصيني مرفقين السورس تبع الكود هل ممكن الحصول عليه خلينا نحللو الكود لم اتمكن من تحميله من المرفقات
ايضا هل من الممكن الحصول على نسخة اولي المستخدمة انا شفت احد الاخوة يستخدمها هنا ولكن لم اعد اذكر
(11-04-2020, 08:03 PM)Newhak كتب : [ -> ]ايضا هل من الممكن الحصول على نسخة اولي المستخدمة انا شفت احد الاخوة يستخدمها هنا ولكن لم اعد اذكر
تفضل ياغالي اسم النسخة والرابط بالمرفقات:
吾爱破解专用版Ollydbg
(11-04-2020, 07:35 PM)The Hidden 2000 كتب : [ -> ]الملف شكله معدل من الكراكر لان كوده صغير و غرضه فقط التعديل على البرنامج وكسره
اذا ممكن تتأكد ..... هل ملف common.dll هو نفسه بجميع الاصدارات؟
اعتقد الحل موجود هناك
(11-04-2020, 09:41 PM)TeRcO كتب : [ -> ]تفضل ياغالي اسم النسخة والرابط بالمرفقات
دائما في الموعد ياخلود الله يبارك فيك
للاسف ياخالد اولي لايعمل عندي يتطلب تغير المسارات وهو باللغة الصينية لكني متاكد شفت احد الاخوة يستخدمه هنا
(11-04-2020, 09:41 PM)TeRcO كتب : [ -> ]اذا ممكن تتأكد ..... هل ملف common.dll هو نفسه بجميع الاصدارات؟
اذا فكيت ملف الستوب يعطيني 4 ملفات من common.dll ثنين يشتغلون و ثنين لا معروف هذا البرنامج يضع جميع اصداراته في ملف الستوب واحد ويثبت الاصدار الموافق لأصدار الويندوز
نقحت البرنامج و عرفت مكان الباتش 00021A10 و سويت عليه توقف هاردوير عشان اعرف وين يتم التعديل في الملف winspool.drv توقف مرتين اول مره ايجاد المكان 000314E3 وثاني مره التعديل في المكان 00031AA3 ولاكن لايوجد عنوان الباتش في الملف بشكل صريح مثل
MOV DWORD PTR DS:[0x21A10],0x1B8
ممكن يكون هذا الموضوع مفيد وتخص مسألتنا
https://forum.tuts4you.com/topic/42029-dynamic-iat-patching-with-a-proxy-dll/?tab=comments#comment-203492