الفريق العربي للهندسة العكسية

الحمد لله، لقد نجحت بحل المشكلة، نعم اخي الحبيب ابو البراء لقد انتبهت لاشارتك ولقد قمت بتعديل File Header للملف الرئيسي اولا بواسطة برنامج CFF Explorer، ثم قمت بفك المكتبة من جديد فنجحت العملية، واصبح لا يوجد مشكلة في Relocation.

وضع صح على : Relocation Info Stripped From File وذلك بسبب استخدام البرنامج ل ASLR

---

ممتاز طبعا برنامج CFF Explorer القوة الضاربة هههههه

لكن مازال عندي سؤال لماذا تريد التغير في هذا الملف ولماذا تريد فكه

---

(25-07-2020, 12:59 PM)the9am3 كتب : [ -> ]اعتقد ايضا يمكن عملها بواسطة Armadillo Reducer 1.7.1 RC2

هذه الاداءة ممتازة ايضا لغاية الاصدار السابع من ارماديليو لكن اثبتث انها فاشلة في معظم الاصدارات منذ الاصادر الثامن

(25-07-2020, 02:30 PM)Newhak كتب : [ -> ]لكن مازال عندي سؤال لماذا تريد التغير في هذا الملف ولماذا تريد فكه

فقط عمل انعاش للذاكرة، وعندما واجهت المشكلة اصبح لدي فضول للمعرفة

(25-07-2020, 03:11 PM)ExCodeMaker كتب : [ -> ]فقط عمل انعاش للذاكرة، وعندما واجهت المشكلة اصبح لدي فضول للمعرفة

الموضوع جميل للنقاش جزاك الله خير

هذا شرح سريع لطريقة فك الملف المكتبي من خلال الملف التنفيذي دون الحاجة ل dll_loader ربما يستفد منه احد اعتذر جدا عن التصوير التعبان والله لايوجد لدي وقت احببت فقط ان يستفيدو اخوتنا هنا وال magic bytes في المرفقات

شرح الفك

(25-07-2020, 03:58 PM)Newhak كتب : [ -> ]الموضوع جميل للنقاش جزاك الله خير

هذا شرح سريع لطريقة فك الملف المكتبي من خلال الملف التنفيذي دون الحاجة ل dll_loader ربما يستفد منه احد اعتذر جدا عن التصوير التعبان والله لايوجد لدي وقت احببت فقط ان يستفيدو اخوتنا هنا وال magic bytes في المرفقات

شرح الفك

بارك الله فيك اخي ابو البراء 

اضافة صغيرة على شرحك ببرنامج x64dbg توجد خاصية Dll Entry فيتوقف المنقح على كل المكاتب ويتوقف على المكتبة المطلوبة هههه شو رأيك ؟

(25-07-2020, 04:16 PM)the9am3 كتب : [ -> ]اضافة صغيرة على شرحك ببرنامج x64dbg توجد خاصية Dll Entry

هههههه مش عاوزها

(25-07-2020, 05:21 PM)Newhak كتب : [ -> ]هههههه مش عاوزها

هههههههههه

أخي The9am3 من بعد فضلك هل من الممكن اسخدام mediafre أو mega.nz لرفع الملفات مستقبلا عوضا عن www64.zippyshare  لأاني أجد صعوبات من التحميل من هذا الموقع .

بقي ان انوه الى مبدأ اللجوء الى فك البرنامج الرئيسي بالرغم من ان هناك مكتبات مشفرة على الاغلب يكون غير صحيح. لانه قد تكون بعض العمليات الرئيسية للبرنامج تتم في المكتبة، وقد يتم نداء المكتبة من برامج او مكتبات اخرى.

اما بالنسبة لكسر البرنامج بعيدا عن فك المكتبات، فلا اعتقد انه كان بتلك البساطة، لان الجزء الرئيسي فيه موجود في مجلد فرعي ويتم استدعاءه كاحد خيارات البرنامج الرئيسية ويمكن تنفيذه مباشرة وهو syncios data transfer
واعتقد فعلا انه يحتاج لدرس في كسره لانه غير مشفر ولكن يستخدم تقنيات TLS callback و client/server حيث تجد نسختين في الذاكرة للبرنامج عند تنفيذه.

أخي  ExCodeMaker إذا كان لديك متسعا من الوقت حاول  تطبيقه بشرح فلاشي عسى ان نتعلم شيئا من خلاله .