الفريق العربي للهندسة العكسية
فك تشفير Armadillo 9.64 - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : فك تشفير Armadillo 9.64 (/thread-2426.html)

فك تشفير Armadillo 9.64 - ExCodeMaker - 04-01-2021

طريقة الاخ ابو البراء مختصرة وعملية، حاولت استخدامها وبالرغم انها عملت معي مسبقا، للاسف لم تعد تعمل كما هو متوقع . حيث انه يرجع لمكان غريب بعد الوصول الى VirtualAlloc . ولا يرجع للمكان الذي فيه LoadLibraryA. ممكن مشاهدة الفيديو المرفق. 

مع الشكر للجميع

https://www.mediafire.com/file/xgqcsfeo5dzkdyl/f.rar/file

NewHak

RE: فك تشفير Armadillo 9.64 - the9am3 - 04-01-2021

ارجع بنداء الثاني يعني مرتين ارجع للخلف >> وماهي خصائص الحماية ؟ 
[صورة مرفقة: Return.png]

RE: فك تشفير Armadillo 9.64 - ExCodeMaker - 04-01-2021

اذا فهمت قصدك ، حماية الذاكرة ؟
ومرتين للخلف، يعني رجوع من النداءات مرتين؟.

RE: فك تشفير Armadillo 9.64 - the9am3 - 04-01-2021

نعم اخي وهذا العنوان 
03066f3e
عبارة عن نداء لدالة LoadLibraryA
وهنا 03066f5c هذه الـMagic jump
[صورة مرفقة: 2.png]

RE: فك تشفير Armadillo 9.64 - Newhak - 05-01-2021

اخي الكريم مثل ماتفضل الاخ محمد كانت المشكلة لديك في نداء الرجوع والطريقة تعمل بدون مشاكل وقد قمت سابقا بفك البرنامج نفسه هنا وبنفس الطريقة

https://www.at4re.net/f/thread-1292.html

هناك طريقة ثانية للوصول لاماكن التعديل ومنع اعادة توجيه الدوال ساشرحها اذا توفر لدي وقت ان شاء الله انا والله مشغول جدا هذه الايام بالعمل بالتوفيق للجميع

RE: فك تشفير Armadillo 9.64 - ExCodeMaker - 06-01-2021

اشكرك اخي ابا البراء،
كنت اعمل على طريقة اخرى تبحث عن الاوامر push 14 ثم push  100، لاحظت ان الاوامر ذاتها موجودة بنفس المكان. وكان تعطيل النداء مباشرة بعدpush 100 يمنع اعادة توجيه الدوال. لكن لم اعرف ما الفائدة من تعطيل القفزة السحرية واعادة تفعيلها؟

مع الاحترام

RE: فك تشفير Armadillo 9.64 - Newhak - 06-01-2021

(06-01-2021, 02:53 AM)ExCodeMaker كتب : لكن لم اعرف ما الفائدة من تعطيل القفزة السحرية واعادة تفعيلها؟

في بعض الحالات وليس كلها بعد التعديل على القفزة والخروج من اللوب يكتشف ارماديليو التغير اثناء التوجه الى نقطة البداية بمعنى قد يكون checksum او CRC بوضوح اكثر وهذا حدث في بعض البرامج اثناء فكي لها لذلك نقوم بمنع التوجيه وقبل الذهاب لنقطة البداية نلغي التعديل بمجرد الخروج من اللوب

يعني اجراء احترازي لااكثر