+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : هل يوجد طريقة لفك الحماية الجديدة من XenoCode (/thread-579.html)
الصفحات:
1
2
هل يوجد طريقة لفك الحماية الجديدة من XenoCode - mribraqdbra - 16-02-2019
السلام عليكم،
بعد اجرا فحص للبرنامج المطلوب،
عبر PE Tools
وجدت ان الحماية من نوع XenoCode
وهذه نتيجة الفحص:
XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered
البرنامج المطلوب حجمه كبير جدا تقريبا... 150 ميجا بايت!
بعد عمل القليل من البحث...
وجدت احد البرنامج الرائعه من تصميم الاخ الذي يدعى Libx
لكن وللاسف البرنامج لا يدعم تلك الحماية!
مصدر البرنامج:
http://www.reteam.org/board/showthread.php?t=484
السؤال هو:
هل هناك طريقة لفك الحماية؟
في انتظاركم.
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - Gu-sung18 - 16-02-2019
وعليكم السلام
هل جربت de4dot؟ فهو البرنامج رقم 1# حالياً في هذا المجال فهو عبارة عن NET deobfuscator و unpacker
يمكنه فك الضغط/ التشفير للعديد من الحمايات ومنها Xenocode حسب صفحة البرنامج على github
https://github.com/0xd4d/de4dot
https://www.at4re.net/f/thread-477.html
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - mribraqdbra - 17-02-2019
لا، سمعت عنه كثيرا لكن لم اقم بتجريبه بعد!
بنسبة لذالك الموضع قراته سابقا بطريقة جيدة ولكن لم اتوصل لشيء!
اما الان بعد قرائتها مجددا استفدت منها حقا!
بنسبة de4dot هل يوجد منه برنامج؟ هل طريقة استخدامه الوحيدة هي الاوامر؟ ماهي متطلباته؟
تعديل: البرنامج المستخدم في الفحص هو ExeinfoPe وليس PE Tools
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - Gu-sung18 - 17-02-2019
إقتباس :بنسبة de4dot هل يوجد منه برنامج؟حسب صفحة البرنامج يمكنك تحميل البرنامج (EXE) من هنا
https://ci.appveyor.com/project/0xd4d/de4dot/branch/master/artifacts
إقتباس :هل طريقة استخدامه الوحيدة هي الاوامر؟حسب ما فهمت فالبرنامج لا يحتاج واجهه رسومية فهو بسيط وسهل الاستخدام من قبل المبتدئين كل ما عليك فعله هو سحب الملف وأسقاطه داخل البرنامج اي عمل Drag and drop
-----
اوامر البرنامج بسيطة مثل استخدام
de4dot -d file1.exe
او اذا تريد ان تجد كل الملفات الي معمول لها obfuscate وعمل deobfuscate لها عن طريق هذه الاوامر
de4dot -r c:\input -ru -ro c:\output
حيث "r-" يعني بحث تكراري و "ru-" تجاهل الملفات الغير معروفه و "ro-" يعني ضع المخرجات في المسار التالي وهو "c:\output"
إقتباس :لم اعمل مع هذا البرنامج من قبل ولكن بما انه مكتوب بـ #C فهو من الطبيعي يحتاج الى منصة NET.ماهي متطلباته؟
اذا كنت تستخدم ويندوز 10 اعتقد ان اخر اصدار من هذه المنصة موجود بشكل افتراضي.
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - mribraqdbra - 18-02-2019
قبل كل شيء عملت مجلدين في c وهما input و output
جربت الامر
de4dot -d c:\input\900.exe
لتفحص الملف وهذه كانت النتيجة:
WARNING: The file isn't a .NET PE file: c:\input\900.exe
جربت ايضا استخدم هذا الامر لكن دون اي نتيجة:
de4dot -r c:\input -ru -ro c:\output
يعني غير مدعوم؟ ايش الحل؟
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - Gu-sung18 - 18-02-2019
(18-02-2019, 10:35 AM)mribraqdbra كتب : WARNING: The file isn't a .NET PE file: c:\input\900.exe
هذا التحذير يقول ان البرنامج ما مكتوب بلغات الدوت نت (NET.)، انت قلت سابقاً انك عملت فحص عن طريق ExeinfoPe ماذا كانت لغة البرمجة المكتوب بها البرنامج في نتيجة الفحص؟ جرب الفحص من جديد عن طريق PEiD و ExeinfoPe لنعرف اذا كان البرنامج مكتوب بلغات الدوت نت (NET.) او بلغات اخرى كأن تكون دلفي او سي++.
----------
كذلك جرب طريقة الاخ rhopalocera هنا #pid1050
إقتباس :عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...
الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - mribraqdbra - 19-02-2019
(18-02-2019, 08:28 PM)Gu-sung18 كتب :فحصت البرنامج عبر PEID وهذه كانت النتيجة:(18-02-2019, 10:35 AM)mribraqdbra كتب : WARNING: The file isn't a .NET PE file: c:\input\900.exe
هذا التحذير يقول ان البرنامج ما مكتوب بلغات الدوت نت (NET.)، انت قلت سابقاً انك عملت فحص عن طريق ExeinfoPe ماذا كانت لغة البرمجة المكتوب بها البرنامج في نتيجة الفحص؟ جرب الفحص من جديد عن طريق PEiD و ExeinfoPe لنعرف اذا كان البرنامج مكتوب بلغات الدوت نت (NET.) او بلغات اخرى كأن تكون دلفي او سي++.
----------
كذلك جرب طريقة الاخ rhopalocera هنا #pid1050
إقتباس :عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...
الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.
Nothing found [Overlay] *
وعند الفحص عبر برنامج EXEInfoPE يعطيني هذه النتيجة:
XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered
عملت dump للبرنامج عبر PETools وعند فحصه عبر EXEInfoPE هذه كانت النتيجة:
Microsoft Visual C++ ~v.7.10 - 9 - Visual 2008
المشكلة ان البرنامج حجمه اصبح صغيرا!
يعني تقريبا... من 150ميجا الى 1ميجا
وعند محاولة تشغيله لا يعمل؟
بنسبة لبرنامج MegaDumper حملته لكن لا اعرف الطريقة الصحيحة لعمل dump!
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - ISHITSUKI - 19-02-2019
و عليكم السلام و رحمة الله
اخي الحبيب يوجد اشكال في الطريقة التي اتبعتها في تحليل البرنامج...
XenoCode Virtual Application Studio
هو عبارة عن Virtual box يتيح لك تشغيل برنامج ما مع كل الملفات التي يحتاجها (مكتبات و غيرها) دون الحاجة لحفظها على القرص...
ناتج (البرنامج الذي عندك) XenoCode Virtual Application Studio متكون من Stub و Overlay الــ Stub الذي حصلت عليه بعد عملية الدمب 1 ميقا يقوم بكل العمل و يحتاج لوجود الــ Overlay لكي يعمل...
و الــ Overlay يحتوي بدوره على الملفات (مشفرة) التي يتم فكها تشغيلها في الذاكرة...
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - mribraqdbra - 20-02-2019
(19-02-2019, 10:50 AM)ISHITSUKI كتب : و عليكم السلام و رحمة الله
اخي الحبيب يوجد اشكال في الطريقة التي اتبعتها في تحليل البرنامج...
XenoCode Virtual Application Studio
هو عبارة عن Virtual box يتيح لك تشغيل برنامج ما مع كل الملفات التي يحتاجها (مكتبات و غيرها) دون الحاجة لحفظها على القرص...
ناتج (البرنامج الذي عندك) XenoCode Virtual Application Studio متكون من Stub و Overlay الــ Stub الذي حصلت عليه بعد عملية الدمب 1 ميقا يقوم بكل العمل و يحتاج لوجود الــ Overlay لكي يعمل...
و الــ Overlay يحتوي بدوره على الملفات (مشفرة) التي يتم فكها تشغيلها في الذاكرة...
اولا شكر على هذه المعلومات الرائعة!
نعم يوجد اشكال!
ExeinfoPe
السبب!
قمت بتفعيل خيار ignore exe errors من الاعدادات!
قمت بعمل dectect compler عبر اذاة FastScanner
وهذه نتيجة:
Linker Version = 9.00 May be Microsoft Visual C++/C
هل هذه الحماية معقدة فعلا؟ هل هي مثل حماية VMPtoctect حقا؟ هل هناك حل؟
RE: هل يوجد طريقة لفك الحماية الجديدة من XenoCode - Gu-sung18 - 20-02-2019
(19-02-2019, 09:28 AM)mribraqdbra كتب : XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered
بعد بحث في الويب، موقع وكيبيديا يقول ان الشركة طورت XenoCode Virtual Application Studio من 2006 الى 2009 وبعدها اتى الجيل الجديد المسمى Spoon Studio في 2010 اذا Spoon Studio مذكور ربما الاصدار هو Spoon Studio وليس XenoCode.
العضو h4sh3m في منتدى exetools نشر Spoon Studio Extractor (Lite Version) حسب ما يقول فهي اداة لاستخراج الملفات من Spoon Studio
https://www.mediafire.com/file/yjjkon2rds9mjd1/Spoon_Studio_Extractor.zip/file
تم الفحص على نظام Windows XP SP3 و البرنامج يدعم
- BoxedApp Packer 3.2.3.8
- Cameyo 2.0.8.32
- Enigma Protector 4.20.20140508
- Enigma Virtual Box 7.10.20131218
- Evalaze Commercial Edition 2.2.1.1
- Molebox Virtualization Solution 5.4.6.2
- Smart Packer Pro 1.93
- Spoon Virtual Application Studio 11.4.176
- VMware ThinApp Enterprise 5.0.0.1391583
https://www48.zippyshare.com/v/sNonVptY/file.html
http://www.ysgyfarnog.co.uk/utilities/Injector/
https://securityxploded.com/remotedll.php
--------------------
إقتباس :هل هذه الحماية معقدة فعلا؟ هل هي مثل حماية VMPtoctect حقا؟ هل هناك حل؟لا هي ليست مثل VMPtoctect هي اقرب ما يكون لانشاء نظام وهمي مثل vmware و Virtual box