+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة (/thread-2729.html)
برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة - mounirsoltan - 16-05-2021
السلام عليكم ورحمة الله وبركاته
مرحبا اخوتي المتخصصين في الهندسة العكسية بما أن هذا أول موضوع لي هنا أردت أن أشكركم على دروسكم القيمة التي ساعدتني مع العديد من البرامج 
البرنامج الذي أريد كسره هذه المرة صعبٌ بعد الشيء بالنسبة لي ربما لأنه مازال لدي الكثيرة لاتعلمه
إسم البرنامج : CashBot
لنك التحميل الأصلي : هنا
نواة البرنامج: 64bit
نوع الحماية :
البرنامج الذي أريد كسره هذه المرة صعبٌ بعد الشيء بالنسبة لي ربما لأنه مازال لدي الكثيرة لاتعلمه
إسم البرنامج : CashBot
لنك التحميل الأصلي : هنا
نواة البرنامج: 64bit
نوع الحماية :
![[صورة مرفقة: s-Y38he-A-RROg-Nm-Vy-R-76-Q.png]](https://i.ibb.co/qrH5pn4/s-Y38he-A-RROg-Nm-Vy-R-76-Q.png)
![[صورة مرفقة: ZSCo-N0-Ta-Rkes-BQyl1-Tv-H1g.png]](https://i.ibb.co/0s6t0vS/ZSCo-N0-Ta-Rkes-BQyl1-Tv-H1g.png)
هنا جربت العديد من الدروس من أجل فك هذه الحماية ( enigma) على x64dbg لكن لم ينفع أي شيء ...هنا لدي بعض الأسئلة للاخوة المحترفين :
- ما مقدار صعوبة هذا النوع هذه الحماية ؟
- هل هناك إضافة ك ODBGSCRIPT على x64dbg يسهل هذا أأمر ؟
-
![[صورة مرفقة: download-2.png]](https://i.ibb.co/5xkJfYG/download-2.png)
-
- هل هناك إضافة ك ODBGSCRIPT على x64dbg يسهل هذا أأمر ؟
- بعد فشل فك الضغط اضطررت على التعامل مع هذا بوت وهو محمي فقمت بالإستعانة بأداة PYG_DLL_Patcher_x64 memory لكن لم تنجح عملية hooking
رغم أنها تشتغل في كل tutorial التي شاهدتها هنا نقطة إستفهامٍ أيضاً 
لم أعرف أين هو الخطأ 
- رغم ذلك واصلت السعي لتكسيره
في هذه المرة بعدما توصلت للقفزة التي يتثبت منها من بيانات المستخدم وتجاوزتها البرنامج يضهر بهذه الحالة 
![[صورة مرفقة: download-1.png]](https://i.ibb.co/zRthWcg/download-1.png)
- اعتذر عن الاطاله في الموضوع ولكني تعبت كثيراً وأردت أن اشارككم تجربتي كما هي مالذي توصلت إليه في الأخر على حسب خبرتي البسيطة :
- البرنامج عندما يتصل بالسرفير فإنه يتوصل بملف سكربت بصيغة json ليكمل تشغيل البرنامج قمت باكتشاف ذلك عنطريق HTTP Debugger
-
![[صورة مرفقة: download.png]](https://i.ibb.co/CmDBMGF/download.png)
-
- هنا في ملف engine.dll المسؤول على مراحل تشغيل البرنامج كان هناك شيءٌ له علاقة بإختفاء نوافذ البرنامج ورغم وضع breakpoint لم أصل لشيء .
من فضلكم المساعدة لقد يئست حقاً ...... 
RE: برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة - the9am3 - 16-05-2021
وعليكم السلام البرنامج Server Side فمااعتقد يمكنك عمل شي لان عند طلب الدخول سيطلب سكريبت الواجه الخاصة بعمل اعدادات التخمين (الملفات والسكريبتات موجودة على السرفر) ... يمكنك تحميل البرنامج من هنا
https://bablosoft.com/distr/FastExecuteScriptProtected64/24.0.7/FastExecuteScriptProtected.x64.zip
ولن يطلب تسجيل دخول لكن بما ان سكريبت الواجه غير موجود فلن تستطيع اضهاراها الا اذا وجدت هذا السكريبت من شخص عنده حساب او اذا شخص يعطيك فقط ملف الكونقيق فيكمنك تشغيله
الرسالة الخطاء تاتي من السرفر بهذا الرد
https://bablosoft.com//scripts/Instagram777/last/data
{
"message" : "Wrong credentials",
"script" : "",
"success" : false
}
وهذا واجه تسجيل الدخول
https://bablosoft.com//apps/Instagram777/logininterface
(تقريبا نقدر نقول البرنامج عبارة عن متصفح)
RE: برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة - mounirsoltan - 17-05-2021
أخي شكراً جزيلاً على التجاوب مع الموضوع
كلامك صحيح كان لدي بعض الشكوك من تلك الناحية وقد تمكنت من الحصول على فترة تجريبية لمدت يوم
email=yKLN9MGE
Pass=rkbqx3Kf
وأريد دمج سكريبت الواجه مع البرنامج ليعمل بدون إتصال
هل يمكن المساعدة وإرفاق شرحٍ بسيطٍ خاصةٍ لفك الضغط أو لكيفية اتغلب على تلك الحماية ودمج اسكريبتلتعم الفائدة عالجميع لأنه يعتبر من البرامج التي لم يأتي على شرحها أحداً في منتديات عربية أو أجنبية وشكراً جزيلاً
RE: برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة - Cyros - 17-05-2021
وعليكم السلام
إقتباس :بأداة PYG_DLL_Patcher_x64 memory لكن لم تنجح عملية hookingاعمل hook لمكتبة version.dll بشكل يدوي افضل من استخدام الاداة PYG
استخدم هذا version.dll proxy
https://github.com/advancedmonitoring/ProxyDll/tree/master/01_TryHard
افحص اي دالة يستخدمها البرنامج من مكتبة version.dll ثم ضع كود الكتابة بتلك الدالة
ان اخفقت معك الدالة WriteProcessMemory بالكتابة على ذاكرة البرنامج قم بالكتابة بشكل مباشر عبر المسجلات (لاتنسى استخدام الدالة VirtualProtect قبل الكتابة والا سيحدث خطأ Access violation ) مثلا هكذا
DWORD OLDP;
VirtualProtect((LPVOID)0xTargetAddress,0x01,PAGE_EXECUTE_READWRITE,&OLDP);
__asm{
mov eax,TargetAddress
mov byte ptr ds:[eax],0xByteShouldBeWritten
}
RE: برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة - mounirsoltan - 17-05-2021
تحديث إعدادات الدخول ليوم : ⏳ 17.05.2021 ⏳ لمن يريد المساعدة في دمج سكريبت الواجه مع البرنامج ليعمل بدون إتصال
user=GsNhye37
Pass=7s4g9K6e
(17-05-2021, 01:14 AM)Cyros كتب : اعمل hook لمكتبة version.dll بشكل يدوي افضل من استخدام الاداة PYG
استخدم هذا version.dll proxy
https://github.com/advancedmonitoring/Pr...01_TryHard
افحص اي دالة يستخدمها البرنامج من مكتبة version.dll ثم ضع كود الكتابة بتلك الدالة
ان اخفقت معك الدالة WriteProcessMemory بالكتابة على ذاكرة البرنامج قم بالكتابة بشكل مباشر عبر المسجلات (لاتنسى استخدام الدالة VirtualProtect قبل الكتابة والا سيحدث خطأ Access violation ) مثلا هكذا
DWORD OLDP;VirtualProtect((LPVOID)0xTargetAddress,0x01,PAGE_EXECUTE_READWRITE,&OLDP);
__asm{
mov eax,TargetAddress
mov byte ptr ds:[eax],0xByteShouldBeWritten
}
شكرا جزيلا أخي
لو أمكن شرح عملي أو أحد الدروس يشرح طريقتك هذه وشكرا
RE: برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة - dani_jassm - 22-07-2021
(16-05-2021, 07:10 PM)mounirsoltan كتب : في هذه المرة بعدما توصلت للقفزة التي يتثبت منها من بيانات المستخدم وتجاوزتها البرنامج يضهر بهذه الحالة
صديقي ممكن تسوي فيديو او تفيدني معلومه عن هاي القفزه