الفريق العربي للهندسة العكسية - هل يوجد طريقة لفك الحماية الجديدة من XenoCode

الصفحات : 1 2

السلام عليكم،

بعد اجرا فحص للبرنامج المطلوب،
عبر PE Tools
وجدت ان الحماية من نوع XenoCode

وهذه نتيجة الفحص:
XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered

البرنامج المطلوب حجمه كبير جدا تقريبا... 150 ميجا بايت!

بعد عمل القليل من البحث...
وجدت احد البرنامج الرائعه من تصميم الاخ الذي يدعى Libx
لكن وللاسف البرنامج لا يدعم تلك الحماية!

مصدر البرنامج:
http://www.reteam.org/board/showthread.php?t=484

السؤال هو:
هل هناك طريقة لفك الحماية؟

في انتظاركم.

وعليكم السلام

هل جربت de4dot؟ فهو البرنامج رقم 1# حالياً في هذا المجال فهو عبارة عن NET deobfuscator و unpacker
يمكنه فك الضغط/ التشفير للعديد من الحمايات ومنها Xenocode حسب صفحة البرنامج على github

https://github.com/0xd4d/de4dot

كما يوجد موضوع مشابه تقريباً لموضوعك ويوجد هناك نقاش ممتاز من قبل الأعضاء عن كيفية التخلص من الحماية
https://www.at4re.net/f/thread-477.html

لا، سمعت عنه كثيرا لكن لم اقم بتجريبه بعد!

بنسبة لذالك الموضع قراته سابقا بطريقة جيدة ولكن لم اتوصل لشيء!
اما الان بعد قرائتها مجددا استفدت منها حقا!

بنسبة de4dot هل يوجد منه برنامج؟ هل طريقة استخدامه الوحيدة هي الاوامر؟ ماهي متطلباته؟

تعديل: البرنامج المستخدم في الفحص هو ExeinfoPe وليس PE Tools

إقتباس :بنسبة de4dot هل يوجد منه برنامج؟

حسب صفحة البرنامج يمكنك تحميل البرنامج (EXE) من هنا

https://ci.appveyor.com/project/0xd4d/de4dot/branch/master/artifacts

إقتباس :هل طريقة استخدامه الوحيدة هي الاوامر؟

حسب ما فهمت فالبرنامج لا يحتاج واجهه رسومية فهو بسيط وسهل الاستخدام من قبل المبتدئين كل ما عليك فعله هو سحب الملف وأسقاطه داخل البرنامج اي عمل Drag and drop
-----
اوامر البرنامج بسيطة مثل استخدام

de4dot -d file1.exe

لفحص ما اذا كان الـ obfuscator مدعوم من قبل البرنامج ام لا.

او اذا تريد ان تجد كل الملفات الي معمول لها obfuscate وعمل deobfuscate لها عن طريق هذه الاوامر

de4dot -r c:\input -ru -ro c:\output

حيث "r-" يعني بحث تكراري و "ru-" تجاهل الملفات الغير معروفه و "ro-" يعني ضع المخرجات في المسار التالي وهو "c:\output"

إقتباس :
ماهي متطلباته؟

لم اعمل مع هذا البرنامج من قبل ولكن بما انه مكتوب بـ #C فهو من الطبيعي يحتاج الى منصة NET.
اذا كنت تستخدم ويندوز 10 اعتقد ان اخر اصدار من هذه المنصة موجود بشكل افتراضي.

قبل كل شيء عملت مجلدين في c وهما input و output

جربت الامر
de4dot -d c:\input\900.exe

لتفحص الملف وهذه كانت النتيجة:
WARNING: The file isn't a .NET PE file: c:\input\900.exe

جربت ايضا استخدم هذا الامر لكن دون اي نتيجة:
de4dot -r c:\input -ru -ro c:\output

يعني غير مدعوم؟ ايش الحل؟

(18-02-2019, 10:35 AM)mribraqdbra كتب : [ -> ]WARNING: The file isn't a .NET PE file: c:\input\900.exe

هذا التحذير يقول ان البرنامج ما مكتوب بلغات الدوت نت (NET.)، انت قلت سابقاً انك عملت فحص عن طريق ExeinfoPe ماذا كانت لغة البرمجة المكتوب بها البرنامج في نتيجة الفحص؟ جرب الفحص من جديد عن طريق PEiD و ExeinfoPe لنعرف اذا كان البرنامج مكتوب بلغات الدوت نت (NET.) او بلغات اخرى كأن تكون دلفي او سي++.

----------
كذلك جرب طريقة الاخ rhopalocera هنا #pid1050

إقتباس :عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...

الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.

(18-02-2019, 08:28 PM)Gu-sung18 كتب : [ -> ]
(18-02-2019, 10:35 AM)mribraqdbra كتب : [ -> ]WARNING: The file isn't a .NET PE file: c:\input\900.exe

هذا التحذير يقول ان البرنامج ما مكتوب بلغات الدوت نت (NET.)، انت قلت سابقاً انك عملت فحص عن طريق ExeinfoPe ماذا كانت لغة البرمجة المكتوب بها البرنامج في نتيجة الفحص؟ جرب الفحص من جديد عن طريق PEiD و ExeinfoPe لنعرف اذا كان البرنامج مكتوب بلغات الدوت نت (NET.) او بلغات اخرى كأن تكون دلفي او سي++.

----------
كذلك جرب طريقة الاخ rhopalocera هنا #pid1050

إقتباس :عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...

الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.

فحصت البرنامج عبر PEID وهذه كانت النتيجة:
Nothing found [Overlay] *

وعند الفحص عبر برنامج EXEInfoPE يعطيني هذه النتيجة:
XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered

عملت dump للبرنامج عبر PETools وعند فحصه عبر EXEInfoPE هذه كانت النتيجة:
Microsoft Visual C++ ~v.7.10 - 9 - Visual 2008

المشكلة ان البرنامج حجمه اصبح صغيرا!
يعني تقريبا... من 150ميجا الى 1ميجا
وعند محاولة تشغيله لا يعمل؟

بنسبة لبرنامج MegaDumper حملته لكن لا اعرف الطريقة الصحيحة لعمل dump!

و عليكم السلام و رحمة الله
اخي الحبيب يوجد اشكال في الطريقة التي اتبعتها في تحليل البرنامج...

XenoCode Virtual Application Studio
هو عبارة عن Virtual box يتيح لك تشغيل برنامج ما مع كل الملفات التي يحتاجها (مكتبات و غيرها) دون الحاجة لحفظها على القرص...

ناتج (البرنامج الذي عندك) XenoCode Virtual Application Studio متكون من Stub و Overlay الــ Stub الذي حصلت عليه بعد عملية الدمب 1 ميقا يقوم بكل العمل و يحتاج لوجود الــ Overlay لكي يعمل...
و الــ Overlay يحتوي بدوره على الملفات (مشفرة) التي يتم فكها تشغيلها في الذاكرة...

(19-02-2019, 10:50 AM)ISHITSUKI كتب : [ -> ]و عليكم السلام و رحمة الله
اخي الحبيب يوجد اشكال في الطريقة التي اتبعتها في تحليل البرنامج...

XenoCode Virtual Application Studio
هو عبارة عن Virtual box يتيح لك تشغيل برنامج ما مع كل الملفات التي يحتاجها (مكتبات و غيرها) دون الحاجة لحفظها على القرص...

ناتج (البرنامج الذي عندك) XenoCode Virtual Application Studio متكون من Stub و Overlay الــ Stub الذي حصلت عليه بعد عملية الدمب 1 ميقا يقوم بكل العمل و يحتاج لوجود الــ Overlay لكي يعمل...
و الــ Overlay يحتوي بدوره على الملفات (مشفرة) التي يتم فكها تشغيلها في الذاكرة...

اولا شكر على هذه المعلومات الرائعة!

نعم يوجد اشكال!
ExeinfoPe

السبب!
قمت بتفعيل خيار ignore exe errors من الاعدادات!

قمت بعمل dectect compler عبر اذاة FastScanner
وهذه نتيجة:
Linker Version = 9.00 May be Microsoft Visual C++/C

هل هذه الحماية معقدة فعلا؟ هل هي مثل حماية VMPtoctect حقا؟ هل هناك حل؟

(19-02-2019, 09:28 AM)mribraqdbra كتب : [ -> ]XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered

بعد بحث في الويب، موقع وكيبيديا يقول ان الشركة طورت XenoCode Virtual Application Studio من 2006 الى 2009 وبعدها اتى الجيل الجديد المسمى Spoon Studio في 2010 اذا Spoon Studio مذكور ربما الاصدار هو Spoon Studio وليس XenoCode.

العضو h4sh3m في منتدى exetools نشر Spoon Studio Extractor (Lite Version) حسب ما يقول فهي اداة لاستخراج الملفات من Spoon Studio

https://www.mediafire.com/file/yjjkon2rds9mjd1/Spoon_Studio_Extractor.zip/file

كما نشر العضو Extreme Coders اداة Virtual File System Editor لاستخراج/تعديل الملفات المضمنة من برامج الـ application virtualizers
تم الفحص على نظام Windows XP SP3 و البرنامج يدعم

BoxedApp Packer 3.2.3.8
Cameyo 2.0.8.32
Enigma Protector 4.20.20140508
Enigma Virtual Box 7.10.20131218
Evalaze Commercial Edition 2.2.1.1
Molebox Virtualization Solution 5.4.6.2
Smart Packer Pro 1.93
Spoon Virtual Application Studio 11.4.176
VMware ThinApp Enterprise 5.0.0.1391583

https://www48.zippyshare.com/v/sNonVptY/file.html

ملاحظة بشان الاداة الثانية: الاداة عبارة عن مكتبه DLL يتم حقنها في الـ process للبرنامج اللي ترغب باستخراج الملفات منه، عن طريق عملية تسمى DLL injection و Extreme Coders لم يوفر DLL injector وقال يمكنكم استخدام الحاقن الخاص بـ Ralph

http://www.ysgyfarnog.co.uk/utilities/Injector/

او RemoteDLL اذا كان نظامكم يوجد به ASLR

https://securityxploded.com/remotedll.php

كما يوجد داخل الارشيف ملف README.html يوجد به كافة المعلومات

--------------------

إقتباس :هل هذه الحماية معقدة فعلا؟ هل هي مثل حماية VMPtoctect حقا؟ هل هناك حل؟

لا هي ليست مثل VMPtoctect هي اقرب ما يكون لانشاء نظام وهمي مثل vmware و Virtual box

الصفحات : 1 2