الفريق العربي للهندسة العكسية
شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الهندسة العكسية - Reverse Code Engineering (https://www.at4re.net/f/forum-19.html)
+--- الموضوع : شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing (/thread-1909.html)

الصفحات: 1 2

شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - the9am3 - 08-07-2020

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته 

كيفكم شباب ان شاء الله تكونوا بالف صحة وعافيه

اول شي الشرح اهداء لاخي العزيز ابو البراء [New Tiger] الي تعملت منه الكثير والكثير ... الله يعطي الصحة والعافيه ويشفي ويزيده من علم  flower

والى كل اعضاء المنتدى الكريمflower

محتوى الشرح :

1- فك الضغط عن [Armadillo] اصدار 9.64 نسخة 32bit يدويا وتخطي 
  - Debugger blocker
  - Code Splicing
 - Fix IAT Redirection 

[صورة مرفقة: AOULklH.png]


2- كسر البرنامج b@tch!tultra  وحقن اسمنا بالــ Environment Variable  اظهاره عند كتابه licensed to ...  Cool

طبعا الشرح شوية طويل لكن حاولت قدر الامكان ابسط واوضح الطريقة  Heart

اعذرونا اذا في اخطاء بالشرح  Heart

موقع البرنامج المطبق عليه الشرح  Big Grin
 
https://www.batchimage.com/product/batchitultra/


RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - Newhak - 09-07-2020

درس جميل لقد تمتعت بالشرح بارك الله فيك عندما يكون لدي بعض الوقت ساكتب بعض الملاحظات ان شاء الله

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - the9am3 - 09-07-2020

(09-07-2020, 02:08 AM)Newhak كتب : درس جميل لقد تمتعت بالشرح بارك الله فيك عندما يكون لدي بعض الوقت ساكتب بعض الملاحظات ان شاء الله

بارك الله فيك اخي ابو البراء سعيد جدا لان الدرس عجبك وهذه كلها تعلمنها منك انت استاذنا .... اي والله ياريت تكتب الملاحظات لنستفاد منها ان شاء الله

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - Newhak - 10-07-2020

اخي الحبيب الدرس جميل بالفعل فقط اضافة لوسمحت لى وهي
ان الملف المكتبي Armaccess.dll  هي اضافة استخدمتها شركة SoftwarePassport لزيادة حمايتها في الاصدارات الاخيرة فقط واعتقد من الاصدار الثامن ان لم تخني الذاكرة وتتلخص الفكرة في عمل مايسمي VerifyKey وقد سرقت الشركة الفكرة من شركة انتاج Asprotect فالجميع يذكر انه عند فك برامج Asprotect تحتاج في بعض الاحيان لاضافة ملف aspr_ide.dll

طبعا يمكن عمل باتش ل VerifyKey
طريقة استخدام VirtualProtect طريقة استخدمت من الاصدارات القديمة ومن ثم البحث على النداء السحري وتغير امر الدفع لامر رجوع لمنع اعادة توجيه جدول الدوال. المشكلة في هذه الطريقة انها ساتصطدم بمشكلة تجاوز Armaccess.dll وضرورة عمل باتش لتجاوز الخطاء وخروج البرنامج

الطريقة الثانية والتى احبذه كثيرا هي الاعتماد على GetModuleHandleA ومن تم البحث عن الدالة LoadLibraryA وتحديد القفزة السحرية بعدها مباشرة ولاتحتاج لعمل الباتش لتجاوز ArmAccess.dll ساتجد شرح سريع لها في الرابط التالي اسفل

طبعا الكثير لايعرف انه توجد طريقة اخرى واماكن اخرى للقفزات السحرية ولايستعملها الا بعض الاشخاص وهي نادرة ربما اشرحها يوم اخر

بالنسبة Codesplicing يفضل وضعه في احد الاقسام المضافة بواسطة الحماية ولكن يفضل القسم الاكبر حجم وعادة يكون .pdata
ويوجد طريقة لحل مشكلة Codesplicing يدويا بدون استخدام ادوات

اخيرا يجب استخدام UIF عند اتمام اي فك حتى تظمن عمل البرنامج على اي نظام تشغيل واي جهاز

طبعا كان لي صولات وجولات مع فك الارماديليو وكل هذه المواضيع شرحتها في بوابة العرب المتحدون AoRE لكن للاسف كل الدروس ضاعت ولم اجدها فقد كانت توجد في سلسلة اسمها فك حماية ارماديليو

رابط شرح الفك عن طريق الدالة GetModuleHandleA

الدرس

اسف على الاطالة فاصبحت كثير الكلام هههههههه وهذا حال الختيارة والمتقاعدين

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - the9am3 - 10-07-2020

(10-07-2020, 02:37 PM)Newhak كتب : اخي الحبيب الدرس جميل بالفعل فقط اضافة لوسمحت لى وهي

اول شي الله يطول عمرك اخي العزيز ابو البراء و يعطيك الصحة والعافيه ويزيدك من علم كنت متاكد ان راح نستفاد من ملاحظاتك لان وضحت امور كثيرة بخصوص حماية الارماديلو 
وبالنسبة للــ Codesplicing  الي فهمته هو عبارة عن قفزة تذهب الى خارج الــ pe Section ويكون بالميموري للبحث عن مكانه بطريقة يدوية 
1- طريقتك الي اشرت اليها بااسطوانة المبتدئين الثانية .... تكون قبل اول dll 
2- شفت درس لــ mr.exodia .. يقول بعد ان وجدنا الــ OEP ننزل الى الاسفل الى ان نجد jmp يذهب الى عنوان يكون خارج عنوان Section البرنامج  ف يكون هذا هو Code Splicing 

مرة اخرى الله يعطيك الصحة والعافيه ويشفك وشكرا على الاضافات الرائعة ودرس ايضا ... فتحت مجال للي حاب يعرف اكثر عن الحماية ويجد القفزات السحرية الاخرى ...  الف الف شكر على كل ما التقدمة لنا من معلومات

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - Newhak - 10-07-2020

نعم بالنسبة لماقاله mr.exodia  بخصوص  Code Splicing فهو صحيح 100% وهو افضل من كتب وتكلم على الارماديليو بكل صراحة وهذه الطريقة تساعدك كثيرا لكي تتاكد من مكانه في حالة عجزت الادوات على تحديد مكانه ففي 90% من الحالات يوجد مكان Code Splicing قبل اول ملف مكتبي ولكن في بعض الحالات للخدعة تجد المبرمج يعيد توجيهه ليكون قبل قسم الكود واذا تذكر هذه الحالة شرحتلك برنامج IPview لكن هناك علامة مميزة اخرى له ولم يتكلم عليها احد وهي حجم Code Splicing وهي القيمة 20000 وفي معظم الحالات تجدها متكررة في الاماكن التى ذكرتها لك مرتين فقط فتجدها مرة تظهر هذه القيمة 20000 ولكن امامها Reserved بمعنى محجوزةوهذه لانريدها  بينما تظهر في المكان الاخر بدون شي وهذه هي المكان الصحيح ل Code Splicing

للامانة كل مايعيب فك ارماديليو هو عدم توضيح التعامل مع ال Nan يدويا وهذا الموضوع بالذات بقى حكر وسر لم يكشف عنه فمنذ الاصدار الثالث للاداءة توقف الكلام عن هذا الموضوع والادات اصبحت غير قادرة على التكيف والعمل على انظمة التشغيل الجديدة في اغلبية الحالات حالها حال معظم الادوات التى تم صناعتها لارماديليو ولحسن الحظ ان حتى الادوات التى اخترعها mr.exodia مازلت تعمل لان الشركة توقف على الانتاج والا ساتكون هناك الكثير من المشاكل لفك الحماية

ارماديليو كانت حماية رائعة لكنها ساتختفي قريبا بسبب توقف الشركة المنتجة للاسف وعدم وجود Technical Support

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - the9am3 - 10-07-2020

(10-07-2020, 04:57 PM)Newhak كتب : عم بالنسبة لماقاله mr.exodia  بخصوص  Code Splicing فهو صحيح 100% وهو افضل من كتب وتكلم على الارماديليو بكل صراحة وهذه الطريقة تساعدك كثيرا لكي تتاكد من مكانه في حالة عجزت الادوات على تحديد مكانه ففي 90% من الحالات يوجد مكان Code Splicing قبل اول ملف مكتبي ولكن في بعض الحالات للخدعة تجد المبرمج يعيد توجيهه ليكون قبل قسم الكود واذا تذكر هذه الحالة شرحتلك برنامج IPview لكن هناك علامة مميزة اخرى له ولم يتكلم عليها احد وهي حجم Code Splicing وهي القيمة 20000 وفي معظم الحالات تجدها متكررة في الاماكن التى ذكرتها لك مرتين فقط فتجدها مرة تظهر هذه القيمة 20000 ولكن امامها Reserved بمعنى محجوزةوهذه لانريدها  بينما تظهر في المكان الاخر بدون شي وهذه هي المكان الصحيح ل Code Splicing

للامانة كل مايعيب فك ارماديليو هو عدم توضيح التعامل مع ال Nan يدويا وهذا الموضوع بالذات بقى حكر وسر لم يكشف عنه فمنذ الاصدار الثالث للاداءة توقف الكلام عن هذا الموضوع والادات اصبحت غير قادرة على التكيف والعمل على انظمة التشغيل الجديدة في اغلبية الحالات حالها حال معظم الادوات التى تم صناعتها لارماديليو ولحسن الحظ ان حتى الادوات التى اخترعها mr.exodia مازلت تعمل لان الشركة توقف على الانتاج والا ساتكون هناك الكثير من المشاكل لفك الحماية

ارماديليو كانت حماية رائعة لكنها ساتختفي قريبا بسبب توقف الشركة المنتجة للاسف وعدم وجود Technical Support

صحيح عاشت ايدك اخي ابو البراء على التوضيح ... بارك الله فيك شكرا
ومثل ماتفضلت فقط NAN بقى حكر توجد اداتين فقط لحذفها تقريبا هي عبارة عن int32  الادوات تقوم فقط تحويلها الى jmp 
او قفزات لم افهمها بشكل صحيح لكن هذا الي فهمته الاداتين هي :
الاولى اسمها NanoLol صنعها mr.exodia
والثانية Armadillo_Nanomites_Fixer_v1.2

وصحيح ماقلته عن Codesplicing انا جربت بدون الادوات اخمن على العناوين الي تكون حجمها 20000 بعد شرحك لي لفك برنامج  IPview  والطريقة ناجحة


الف الف شكر ابو البراء وضحت لنا كيف التعامل مع الارماديلو بشكل كبير ...بارك الله فيك والله يزيدك من علم

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - Newhak - 10-07-2020

(10-07-2020, 06:02 PM)the9am3 كتب : الف الف شكر ابو البراء وضحت لنا كيف التعامل مع الارماديلو بشكل كبير

اخي الحبيب انا لم افعل شي فقط شاركت معكم ماتعلمته في ايام لم تكن توجد حتى ادوات mr.exodia وكان معظم الشغل يدوي لهذا استفدنا وتعلمنا الكثير فمثلنا سلسلة ارماديليو التى اخبرتك عنها كانت خلال الفترة من 2010 الى 2011 لكن كان هناك اساتذة كبار صراحة واستفدنا منهم كثيرا ولم يظهر mr.exodia على الساحة الا في نهاية 2010 او بداية 2011 ولم يهتم بارماديليو الا في الفترة مابين 2012 و 2014 تقريبا وبعدها صمم الادوات التى تستخدم بكثرة الان

على فكرة انا لم اجرب او اشاهد درس عن استخدام NanoLol فاذا كان هناك شرح لها او درس فيديو فياريت احد يتكرم علينا به اويشرحها لنا وكذلك ان يرفع الاداءة لنا وبارك الله فيه مقدما

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - the9am3 - 10-07-2020

(10-07-2020, 06:38 PM)Newhak كتب : على فكرة انا لم اجرب او اشاهد درس عن استخدام NanoLol فاذا كان هناك شرح لها او درس فيديو فياريت احد يتكرم علينا به اويشرحها لنا وكذلك ان يرفع الاداءة لنا وبارك الله فيه مقدما
بارك الله فيك اخي ابو البراء شكرا على مشاركتنا هذه المعلومات المفيدة
وانت تامر اخي ابو البراء هذه هي الاداءة مع كتاب يشرح الاداءة

RE: شرح فك ضغط يدويا وكسر برنامج مضغوط ارماديلو 9.64 وتخطي Code splicing - Newhak - 10-07-2020

هل يوجد اي احد جرب الاداءة سابقا ياريت يفيدنا بنتائج تجربته