الفريق العربي للهندسة العكسية
هل توجد برامج rebuild pe x46 - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : هل توجد برامج rebuild pe x46 (/thread-1049.html)

هل توجد برامج rebuild pe x46 - bounacer - 04-08-2019

السلام عليكم ورحمة الله وبركاته

احب أسألكم , عملت كثيرا على برامج 32بت وعملت ببرامج rebuild pe   وعمل DumpFull
واريد برامج تعمل نفس الشيء مثل برنامجين اعمل بهما هما : Pe Tools و LordPe rebuild
اريد اعمل DumpFull لبرنامج و ملف Dll اثناء تشغيل البرنامج على نظام 64 بت
وشكرا nice


RE: هل توجد برامج rebuild pe x46 - Gu-sung18 - 05-08-2019

وعليكم السلام
 حالياً اداة Scylla تعتبر الوريث الروحي لهذا النوع من الادوات خصوصاً LordPe، الاداة مفتوحة المصدر ويمكنها التعامل مع  x64 و x86 وتدعم أمكانية تطوير plugin لها، كما توجد نسخة معدلة تأتي بشكل افتراضي كـ plugin لمنقح x64dbg
 
إقتباس : - x64 and x86 support
 - full unicode support (probably some russian or chinese will like this :-) )
 - ++written in C/C
 - plugin support
 - works great with Windows 7

[صورة مرفقة: G9fYdCd.png]
[صورة مرفقة: FG5Lo6S.png]

السورس
https://github.com/NtQuery/Scylla
للتحميل
https://github.com/NtQuery/Scylla/releases


---------------------------------
توجد اداة اخرى يمكنها أيضاً التعامل مع ملفات 64 بت وهي CHimpREC من برمجة TiGa من فريق ARTeam 
إقتباس :
Some of the features:
  • The first universal 64-bit imports rebuilder
  • 32-bit version included
  • Interface similar to ImpREC
  • Integrated 32/64-bit process dumper
  • IAT AutoSearch from ImageBase or OEP
  • Unshuffle thunks function
  • Manual imports editor
Some limitations
  • No plugin support yet
  • No AutoTrace feature
  • No disassembler
CHimpREC can be used to dump a packed executable in memory in order to gather the unpacked version.
ملاحظة: تحتاج الاداة الى The Visual Studio 2005 SP1 redistributable package  لكي تعمل
[صورة مرفقة: dQOckWL.png]
للتحميل
https://tuts4you.com/download/2283/


RE: هل توجد برامج rebuild pe x46 - bounacer - 05-08-2019

شكرا لك اخي الكريم Gu-sung18 . اعرف كل هاته الادوات
ولكن هاته الادوات ضروري تضع.  OEP  .
لكن انا اريد عمل Dumfull وليس dump
لان جداول ال IAT تكون فارغة.  اما انا اريد عمل Dumpfull ثم اصلحها بعد دلك. 
لاني اتحدث عن حماية شرسة winlicense اخر اصداراتها

RE: هل توجد برامج rebuild pe x46 - Gu-sung18 - 06-08-2019

إقتباس :ولكن هاته الادوات ضروري تضع.  OEP  .
اذا انت تريد ان تختار فقط اسم البرنامج او الـ pid خاصتة وتعمل "Full Dump" للبرنامج؟
إقتباس :لان جداول ال IAT تكون فارغة.  اما انا اريد عمل Dumpfull ثم اصلحها بعد دلك. 
هل تقصد انك ستقوم باصلاح الـIAT  بشكل يدوي وانك  تريد عمل dump للميموري كما هي؟

RE: هل توجد برامج rebuild pe x46 - bounacer - 07-08-2019

نعم اخي  [b]Gu-sung18[/b]   أريد عمل Full Dump  مباشرة للبرنامج بعد تشغيله , لا اريد EOP او صلاح IAT  فقط عمل Full Dump

RE: هل توجد برامج rebuild pe x46 - Gu-sung18 - 14-08-2019

الاداة الوحيدة التي وجدتها والتي تحفظ بصيغة exe وحسب المواصفات التي طلبتها انت هي Process Dump (PD)
https://github.com/glmcdona/Process-Dump

الاداة تستخدم بالدرجة الاولى لتحليل الـ malware لذلك ستفيدك في تحليل الحمايات العنيدة وهي تدعم بشكل كامل 32 و 64 كما يمكنها عمل dump لمناطق الذاكرة التي PE headers تبعها ممحي كوسيلة من وسائل الـ anti-dumping
وفي هذه الحالة الاداة  ستقوم بتوليد الـ PE headers  والـ import tables  بشكل ألي، الاداة تستخدم ميزة الفحص عن طريق الـ hash فهي تعمل فحص للنظام قبل تشغيل الـ malware وتعمل  قاعدة بيانات بكل الـهاشات للملفات التي في الذاكرة وتعتبرها على انها نظيفة ثم بعد تشغيل الـ malware  تقوم بعمل dump  لاي process جديد لا يملك هوية تعريف في قاعدة البيانات ويعتبر process غريب. (عيب هذه الطريقة بنظري انها تأخذ بعض الوقت ولكن يمكن تخطيها)
كا يمكنك عمل dump  لـ process محدد او لكل الـ processes في النظام، كذلك ايجاد الـ modules  المخفية وعمل dump لها وايجاد الاكواد الطليقة "loose code" في مناطق الذاكرة.

اهم الاوامر التي تحتاجها
pd64.exe -db genquick
لتوليد قاعدة بيانات لجميع الـ processes

-----
pd64.exe -db gen
لتوليد قاعدة بيانات لجميع الـ processes مع فحص مجلدات مثل "WINDIR"و  "%HOMEPATH%" و  "C:\Program Files\"  و "C:\Program Files (x86)\" وهذا الامر بطيء

------
pd64.exe -pid 499
لعمل dump عن طريق   الـ pid

---------
pd64.exe -p .*chrome.*
لعمل dump عن طريق اسم البرنامج

---------
     -ni
في حال لم ترغب من الاداة اصلاح الـIAT

-------
-g
 لاجبار الاداة على توليد PE header من الصفر وتجاهل الـ PE header  الحالي

-------
-nc
لالغاء خيار ايجاد الاكواد الطليقة "loose code" في مناطق الذاكرة وعمل dump لها

---------
-db ignore
لتجاهل قاعدة بيانات الهاشات (سيتم عمل dump لكل شيء حتى وان وجد له هوية تعريف في قاعدة البيانات)

--------
لتحميل الاداة
     http://www.split-code.com/files/pd_v2_1.zip

الاداة تحتاج Microsoft Visual C++ Redistributable for Visual Studio 2015  لكي تعمل
https://www.microsoft.com/en-ca/download/details.aspx?id=48145

موقع الاداة والكود المصدري + التعليمات
https://github.com/glmcdona/Process-Dump

------
[صورة مرفقة: 0yvswcZ.png]ul
واجهة الاداة
[صورة مرفقة: BL50XEz.png]
عمل Dump لجوجل كروم
[صورة مرفقة: 4zwSj0m.png]
كما تلاحظ هنا تم اعادة بناء او اصلاح الدوال المستوردة او Imports

--------------------

ملاحظة: توجد ادوات اخرى مثل task manager  (موجود بشكل افتراضي في ويندوز) و ProcDump يمكنها عمل Dump ببضعة ضغطات ولكن المشكلة ان الـDump سيكون بصيغة (DMP.)
الا في حال رغبت باستعمال WinDbg لتحليل ملفك