+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الهندسة العكسية المتقدمة - Advanced RCE (https://www.at4re.net/f/forum-26.html)
+--- الموضوع : دراسة حالة (DiskGenius) (/thread-2878.html)
الصفحات:
1
2
دراسة حالة (DiskGenius) - overlap - 28-09-2021
كمحاولة لترقية التبادل العلمي، اقدم اكم فكرة دراسة حالة...
دراسة حالة: هي محاولة القاء نظرة احترافية و تحليل حالة موجودة و معتمدة من طرف برنامج ما...
الحالة:
DiskGenius برنامج رائع و مبرمج باحترافية، محمي بحماية تجارية شرسة...
و بما ان هذفي (الشخصي) ليس كسر البرنامج او تجاوز معلومات التسجيل بل القاء الضوء على ما اسميه بـــ countermeasure استعملها المبرمج كمضاد لــ Dll Proxying.
البرنامج لا يقبل وجود و تحميل مكتبة (version.dll على سبيل المثال)
الصورة المتحركة تبين تجربة نسخ مكتبة موثوقة الى مجلد البرنامج و محاولة تشغيله بعد ذلك...
![[صورة مرفقة: DIV2l4b.gif]](https://i.imgur.com/DIV2l4b.gif)
السؤال:
هل يمكن زرع مكتبة Dll Proxying و جعل البرنامج يحملها ؟
https://www.diskgenius.com
RE: دراسة حالة (DiskGenius) - the9am3 - 28-09-2021
بواسطة baymax او عمل inline patch وتخطي CRC
او loader خاص في واحد اسمة bb2018 بموقع tuts4you عملها
RE: دراسة حالة (DiskGenius) - overlap - 29-09-2021
(28-09-2021, 07:54 PM)the9am3 كتب : بواسطة baymax او عمل inline patch وتخطي CRC
او loader خاص في واحد اسمة bb2018 بموقع tuts4you عملها
جيد...
هل يمكن توفير PoC او مراحل آلية التخطي يمكننا تجربتها ؟
بارك الله فيك على اثراء الموضوع...
RE: دراسة حالة (DiskGenius) - Spolaya Molaya - 29-09-2021
(28-09-2021, 03:40 PM)overlap كتب : البرنامج لا يقبل وجود و تحميل مكتبة ( على سبيل المثال)البرنامج يقبل Dll Proxying
الصورة المتحركة تبين تنفيذ DiskGenius x64 وملف version.dll منسوخ من System32 وهذا هو المشكل عدم توافق
انسخ ملف version.dll من SysWOW64 لا يحدث المشكل
RE: دراسة حالة (DiskGenius) - overlap - 29-09-2021
(29-09-2021, 11:00 AM)Spolaya Molaya كتب : البرنامج يقبل Dll Proxyingيبدو انك تسرعت !!! في المحاولة و تجاهلت التحقق من ان البرنامج حمل اصلا المكتبة المزروعة...
(29-09-2021, 11:00 AM)Spolaya Molaya كتب : الصورة المتحركة تبين تنفيذ DiskGenius x64 وملف version.dll منسوخ من System32 وهذا هو المشكل عدم توافقكلام خاطئ !!!
اصدار 64 بت من البرنامج يحتاج الى مكتبة 64 بت لكي يحملها...
مكتبات النظام 64 بت موجودة في مجلد System32 (64 dlls) و لا توجد اي مشكلة توافق !!!
(29-09-2021, 11:00 AM)Spolaya Molaya كتب : انسخ ملف version.dll من SysWOW64 لا يحدث المشكلالمكتبات الموجودة في مجلد النظام SysWOW64 هي 32 بت و محاولة زرع مكتبة 32 بت في برنامج 64 بت (موضوع دراسة حالتنا) فانه لا يأبه بالمكتبة اصلا و يتجاهل تحميلها و دفعك الى نتيجة فهم خاطئة.
جرب تنصيب النسخة 32 بت من البرنامج و حاول زرع مكتبة 32 و لاحظ ما يجدث...
المبرمج قام بعمل countermeasure سواء لنسخة 32 بت او 64 بت...
RE: دراسة حالة (DiskGenius) - overlap - 02-10-2021
ممممم!!!
يبدو لي من الخمول السائد انه لا جدوى من متابعة طرح هذا النوع من المواضيع...
على كل حال، كآخر مشاركة لي في المنتدى، و لمن مازال يحاول مع الموضوع... المرفق يحتوي على ملف "محمل من النت" للدراسة، يحتوي على مضاد لــ countermeasure
موجه لاصدار 64 بت من البرنامج...
تحياتي الخالصة...
وداعا...
RE: دراسة حالة (DiskGenius) - the9am3 - 06-10-2021
(02-10-2021, 04:29 PM)overlap كتب : ممممم!!!
يبدو لي من الخمول السائد انه لا جدوى من متابعة طرح هذا النوع من المواضيع...
على كل حال، كآخر مشاركة لي في المنتدى، و لمن مازال يحاول مع الموضوع... المرفق يحتوي على ملف "محمل من النت" للدراسة، يحتوي على مضاد لــ countermeasure
موجه لاصدار 64 بت من البرنامج...
تحياتي الخالصة...
وداعا...
اخي صحيح يوجد خمول لكن مثل هذه المواضيع مو سهله اكثر الناس لحد الان مايعرفون عمل هووك للvmp او الحمايات القوية + تم رفع عضويتك لل vip وانت طلبت ارجاع عضويتك للعضوية العادية في احد اقسام الخاصة الاخ ابو البراء اشار الى طريقة تخطي CRC لحماية vmp للنسختين 32 و 64 لهذا مااشارت لها لان ليست طريقتي
انت اصلا لم توضح للاعضاء ماهو countermeasure
على العموم ان شاء الله يرجع المنتدى مثل قبل وافضل
RE: دراسة حالة (DiskGenius) - rce3033 - 07-10-2021
عندما قرأت بأن البرنامج محمي بحماية تجارية ظننتها حماية خاصة لكن بعد الفحص تبين انها VMProtect.
جربت تحميل البرنامج الى المنقح x64dbg لكنه يكشفه، رغم اني جربت استخدام sharpod مع تفعيل جميع الخيارات.
ايضا جربت استخدام اضافة ScyleHide لكن البرنامج ينهار expection c00005.
ايضا قمت باكتشاف 2 bugs للبرنامج رسلت بريد لخدمة العملاء لكن رد علي المجيب الالي
.
RE: دراسة حالة (DiskGenius) - vosiyons - 11-10-2021
مرحبا أخي العزيز هذه المقالة سوف تساعدك
https://bbs.pediy.com/thread-165661.htm
RE: دراسة حالة (DiskGenius) - rce3033 - 22-10-2021
قمت بتحميل البرنامج بنفس اليوم الذي نشر فيه الموضوع لكن لم اقم بتجريبه الى بعد 3 ايام تقريباً...
وتجربتي مع هذا البرنامج كانت سيئة حقا !
لاني فقدت قرابة 60GB من ملفاتي...
تعريف الإجراء المضاد (countermeasure):
هو مصطلح علمي وبشكل مختصر يعني اخد إجراء مضاد ضد شيء ما، فقد يعرف المبرمج ان المنهدس العكسي قد يقوم بتحليل البرنامج بعد نشره، لذالك يقوم المبرمج بعمل إجراء مضاد لهذا الأمر لمنعه من التنقيح (anti-debugging).
موضوع الاخ overlap كان بخصوص الإجراء المضاد ضد الـ anti hook
اي ان المبرمج قام بإجراء مضاد ضد الـ hook وهذا يعني استحالة كسر البرنامج عن طريق الـ hook.
دراسة الإجراء المضاد شيء مهم جدا خاصة بمثل هذه الحالة.
فقد نبه الأستاذ NewHawk بخصوص هذا الأمر أكثر من مرة...
إقتباس :https://www.at4re.net/f/thread-2039-post-10364.html#pid10364
https://www.at4re.net/f/thread-1948-post-9737.html#pid9737
https://www.at4re.net/f/thread-1453-post-6451.html#pid6451
احد أقتباسات الأستاذ NewHawk:
إقتباس :"انا لم اقل ان كل شخص يجب ان يفهم الحمايات بالتفصيل كل ما اعنيه ان الهوك اصبح موضة والكل اصبح لايهتم بدراسة وتحليل الحمايات مثل زمان لذلك لو المبرمجين طورو هذه الحمايات واصبح معظم ادوات الهوك واللودر غير قادرة على اداء المهمة صدقني لن تجد احد يقوم بعمل مضاد او تطوير او اختراع للتغلب على هذه التحديثات"
أيضا يبدو ان هناك من قام بتخطي الإجراء مضاد ضد الـ anti hook
لانه فعلا قد تم تكريك النسخة الحالية من البرنامج عبر الـ hook.
بنسبة للأخطاء التي اكتشفتها....
الخطاء (Bug) الاول:
* خيار Erase Sector يحذف الاقراص الاخرى.
لست واثقا من هذا الbug لكن هذا ماحدث، قمت بعمل خيار Erase Sector وحددت بالsector مساحة لا يتجاوز حجمها 5GB اكتملت العملية ولم يحدث شيء...
لكن في وقت لاحق وجدت ان الاقراص الاخرى قد حذفت ابتذاء من قطاع ال 5GB التي حددتها !
الخطاء (Bug) الثاني:
* انهيار البرنامج عند محاولة استراجع البيانات من قرص يحتوي على ملفات كثيرة.
تأخد عملية استرجاع الملفات وقت طويلا حسب سعة القرص.
لكن وبعد طول انتظار ينهار البرنامج في مرحله الArranging Files
بعد عدة محاولات قمت بسترجاع مايقارب 10GB وهذه المحاولات اخدت مني 3 ايام تقريبا.