السلام عليكم ورحمة الله وبركاته
[-]PE: protector: Babel .NET(1.0-2.X)
[-]PE: protector: Dotfuscator(-)
[-]PE: protector: Goliath(-)
[-]PE: protector: Yano(1.X)
[-]PE: library: .NET(v4.0.30319)
[-]PE: compiler: VB.NET(-)
[-]PE: linker: Microsoft Linker(80.0*)[EXE32]
كيف اقوم بفك هذه الحمايات ؟
يبدوا ان برنامجك محمي بأكثر من حماية واحدة وهو برنامج مكتوب بلغة VB.NET
بعد بحث فان برنامج
https://github.com/0xd4d/de4dot قادر على فك ثلاث من حماياتك حسب صفحة البرنامج على github
فهو قادر على فك
Babel.NET
Dotfuscator
Goliath.NET
والحماية الاخيرة Yano لا اعرف ان كان بإمكان de4dot فكها لعدم خبرتي بلغات الدوت نت أولاً ولعدم استخدامي للبرنامج من قبل ثانياً.
ولكني وجدت هذا البرنامج
https://github.com/XenocodeRCE/YanoDeobfuscator الذي يمكنه فكها حسب صفحة البرنامج على github
عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...
الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.
عند محاولة عمل Dump يكتشفها البرنامج ويغلق نفسه
![[صورة مرفقة: vWh9ZYQ.jpg]](https://i.imgur.com/vWh9ZYQ.jpg)
يكشف برنامج الـ Mega Dumber ويطفي نفسه عشان ما اعمله Dump
توجد بعض الخدع البسيطة التي تتيح تجاوز الكشف اذا كان هذا الأخير مبني على فحص العمليات و تطابق اسم الملف...
- جرب تشغيل البرنامج المستهدف
اولا ثم MegaDumper.
- جرب اعادة تسمية الملف التنفيذي على القرص MegaDumper الى اسم آخر.
- جرب كبديل NETUnpack لعمل دامب:
https://ntcore.com/?page_id=353
جربت اعادة التسمية وايضا غير الاسم باستخدام resource hacker
كنت بدي اغير كلاس نيم بس نسيت كيف الطريقة
رح اجرب البرنامج الي ذكرته حضرتك
لم ينجح برنامج NETUnpack باخذ دامب للاسف
هل يمكنك رفع البرنامج حتى نحاول معه