+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : استفسار (/thread-1308.html)
الصفحات:
1
2
استفسار - hellsing - 06-12-2019
السلام عليكم ورحمة الله وبركاته
في البداية فرحتي بعودة منتدى الفريق العربي للهندسة العكسية حيث كنت ممن انهلت على عقولهم من منابركم المميزة وشروحاتكم المنيرة واخص اساتذتي في هذا العلم شروحات استاذي "روبن هود" استاذ الدوت نت بشروحته اللتي تابعتها كلها اتمنى من العلي العظيم ان تكون بصحة وعافية.
وموضوعي عن فك ضغط حماية تستخدم عدة خدع وطرق ضغط فتكون بلغة وضغط معين وبعدها تتفاجا
بعد عمل اسكان علي البرنامج بلغة اخرى وضغط اخر فهنا العقل 
لايهدا ويقر فالواحد يستطيع استخدام الضغط عدة مرات وبطرق مختلفة لكن هل تقوم بتغيير اللغة التي طبق بها التطبيق فارجوا ممن واجه مثلي فاتشرف بمروره وذكر ما واجهة فهناك طرق متعددة كثيرة 
او من يساعدنا
لفهم مثل هذه الامور.ودمتم بود
وجمعة مباركة على الجميع
RE: استفسار - saudidos - 06-12-2019
بخصوص الفحص انا افضل موقع virustotal هو يطلع لي التشفير للبرنامج جربه يمكن ينفعك
RE: استفسار - hellsing - 06-12-2019
شكرا اخي saudidos لاقتراحك لكن الموقع ينفع للملفات الصغيرة
فاما للملفات الكبيرة فالعمل اليدوي عليها يكون افضل وان شاء الله سارفق بعض الصورة للفحص
RE: استفسار - mohamad - 07-12-2019
غالبا هذه البرامج الاختصار لها عبارة عن اختصار يفك الداتا لانتاج ملف تنفيدي اخر وفتحه بشكل منفصل فنا تتوه ولا تفهم ما يجري
شغل ومن task manager اختر اللرنامج الناتج واختر فتح موقع الملف تسجده في مكان اخر غير مكان التتبت في c مثل appdata او local الخ. ، او بطريقة اخرى تشغل البرنامج وتدخل المنقح وتعمل له attach ثم dump
هنا وصلت نصف الطريق الباقي عليك ان تفك حماية الملف الذي وجدته
RE: استفسار - hellsing - 07-12-2019
اخي محمد فهمت مع انها لم اغفل عنها فبعض البرامج تكون فيها ملفات وعند تشغيل البرنامج يفك بعض ملفات له وتكون في مسار خاص يحدده المبرمج وممكن تكون عبارة عن ملفات فيها قيم مثلا وليس تنفيذية ويستدعى منها أشياء معينة مثلا لان البرنامج الذي انقحه في اصدارته السابقة تم فتح ضغطه وكان يستخدم طريقة فك ملفات في السيستم عبارة عن ملفات xml و data فيها قيم ويستخدم خوارزمية معادلة مع القيم اللتي ياخذها وعند عدم التسجيل يقوم بمسح الملفات اللتي فكها ولكن الاصدارة الحالية استخدم عدة خدع مع ضغط ب winlicense ورسالته لطلب ملف regkey واعتقد استخدم طريقة دمج التطبيق بالدلفي والتشفير مرتين او اكثر
لاحظ معي عند لفحصه الصورة رقم ١ دوت نت وضغط themida
![[صورة مرفقة: 1-JPG-35332ff1894f1c7fb0de60774c02a1ba.jpg]](https://i.ibb.co/Tr2VsRL/1-JPG-35332ff1894f1c7fb0de60774c02a1ba.jpg)
وعند استخدام سكربت لفك الضغط طلعت هذه الرسالة
Your Target seems to be a NET-FRAMEWORK file!
Unpacking of NET targets is diffrent!
Dump running process with WinHex and then fix the whole PE and NET struct
وعمل dump كانت تظهر تغيرات
![[صورة مرفقة: 2-JPG-8f40fd27908bf54593fc6f3eea517c95.jpg]](https://i.ibb.co/hKnpSgX/2-JPG-8f40fd27908bf54593fc6f3eea517c95.jpg)
![[صورة مرفقة: 3-JPG-b3596889812ad27bfb579c984981c06a.jpg]](https://i.ibb.co/LJ6ytg6/3-JPG-b3596889812ad27bfb579c984981c06a.jpg)
![[صورة مرفقة: 4-JPG-a455c092a7197dbd52a42b90d56139d9.jpg]](https://i.ibb.co/mcCCF5M/4-JPG-a455c092a7197dbd52a42b90d56139d9.jpg)
وفي لايسعنا الا قول تحياتي لكم جميعا
RE: استفسار - ADM!RAL - 07-12-2019
أنا لست خبيرا بمجال فك التشفير
ولكن أتوقع أنه بعد فك التشفير هناك جزء أو أجزاء في الكود تستطيع إزالتها ليس لها لزوم (اللودر التابع للحماية)
وعدم إزالتها قد يعطيك نتيجة فحص خاطئة.
أهل الخبرة يستطيعون معرفة لغة البرمجة الحقيقية للبرنامج من خلال شكل الكود والتعليمات عند تنقيحة بالمنقح.
RE: استفسار - mohamad - 07-12-2019
استخدم megadumper في البداية فهو الافضل مع برامج الدوت نت ، لان بعض البرامج قد لا تفك بالصورة المطلوبة و يكون الدامب ناقص ، كذالك استخدم عدة برامج للكشف بكل مرة فهي ليست دائما على صواب 100%
شي اخر الدوت نت الظاهر انها ليست سوى لودر ان صح التعبير ومنها ينتج الملف التنفيذي الحقيقي ،
انصحك بتجربة نسخة ODt4re من المنتدى لتنقيح البرنامج فهي تعمل مع هذه الحماية بدون ان تفكها حتى بدون مشاكل وبهذا تستغني عن الفك وما الى ذلك
RE: استفسار - hellsing - 10-12-2019
استخدمت megadumper وللاسف لايستخرج شي المجلد فارغ
واستخدمت Odbgat4re وللاسف أيضأ النتيجة لما اصل للتجاوز من استدعائه لملف regkey.dat لانه بعد استدعاء الملف للتسجيل واتمام التسجيل او تجاوزه هنا تحصل القفزة للبرنامج والوصل الى oep الرئيسية للبرنامج واتمنى لو اجد شرح على برنامج عند تشغيله قبل تشغيل البرنامج الرئيسي تكون الخطوة خاصة بالتشفير بالتحقق وقراءة ملف التسجيل regkey.dat .
وقد استخدمت عدة منقحات حتى ان ملفات dll التي يستدعيها وقت تشغيله عددها اكثر من ٥ ملفات
RE: استفسار - M!X0R - 10-12-2019
راجع شروحات inline Patching و كسر البرامج باستعمال طريقة DLL Hijacking علها تفيدك...
حل التحدي 7 بقسم التحديات خير مثال...
RE: استفسار - hellsing - 10-12-2019
اشكرك أستاذنا M!X0R سيتم تنزيل والتمعن في التحدي مع اننا تابعت الشرح حق new tiger الجزء لانه يتكلم عن حماية themida لكن مشكلتي قبل تشغيل البرنامج وليس بعد التشغيل واتمنى ان يفيدنا التحدي ٧ وتقبل تحياتي