المشاركات : 7
المواضيع : 2
الإنتساب : Dec 2019
السمعة :
0
الإعجاب المعطى : 3
الإعجاب المحصل : 0
06-12-2019, 12:28 AM
السلام عليكم ورحمة الله وبركاته
في البداية فرحتي بعودة منتدى الفريق العربي للهندسة العكسية حيث كنت ممن انهلت على عقولهم من منابركم المميزة وشروحاتكم المنيرة واخص اساتذتي في هذا العلم شروحات استاذي "
روبن هود" استاذ الدوت نت بشروحته اللتي تابعتها كلها اتمنى من العلي العظيم ان تكون بصحة وعافية.
وموضوعي عن فك ضغط حماية تستخدم عدة خدع وطرق ضغط فتكون بلغة وضغط معين وبعدها تتفاجا
بعد عمل اسكان علي البرنامج بلغة اخرى وضغط اخر فهنا العقل
لايهدا ويقر فالواحد يستطيع استخدام الضغط عدة مرات وبطرق مختلفة لكن هل تقوم بتغيير اللغة التي طبق بها التطبيق فارجوا ممن واجه مثلي فاتشرف بمروره وذكر ما واجهة فهناك طرق متعددة كثيرة
او من يساعدنا
لفهم مثل هذه الامور.
ودمتم بود
وجمعة مباركة على الجميع
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 4
المواضيع : 2
الإنتساب : Dec 2019
السمعة :
0
الإعجاب المعطى : 0
الإعجاب المحصل : 1
بخصوص الفحص انا افضل موقع virustotal هو يطلع لي التشفير للبرنامج جربه يمكن ينفعك
المشاركات : 7
المواضيع : 2
الإنتساب : Dec 2019
السمعة :
0
الإعجاب المعطى : 3
الإعجاب المحصل : 0
شكرا اخي saudidos لاقتراحك لكن الموقع ينفع للملفات الصغيرة
فاما للملفات الكبيرة فالعمل اليدوي عليها يكون افضل وان شاء الله سارفق بعض الصورة للفحص
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 559
المواضيع : 25
الإنتساب : Nov 2018
السمعة :
7
الإعجاب المعطى : 513
الإعجاب المحصل : 497
غالبا هذه البرامج الاختصار لها عبارة عن اختصار يفك الداتا لانتاج ملف تنفيدي اخر وفتحه بشكل منفصل فنا تتوه ولا تفهم ما يجري
شغل ومن task manager اختر اللرنامج الناتج واختر فتح موقع الملف تسجده في مكان اخر غير مكان التتبت في c مثل appdata او local الخ. ، او بطريقة اخرى تشغل البرنامج وتدخل المنقح وتعمل له attach ثم dump
هنا وصلت نصف الطريق الباقي عليك ان تفك حماية الملف الذي وجدته
المشاركات : 7
المواضيع : 2
الإنتساب : Dec 2019
السمعة :
0
الإعجاب المعطى : 3
الإعجاب المحصل : 0
07-12-2019, 02:25 AM
(آخر تعديل لهذه المشاركة : 07-12-2019, 02:53 AM بواسطة hellsing.)
اخي محمد فهمت مع انها لم اغفل عنها فبعض البرامج تكون فيها ملفات وعند تشغيل البرنامج يفك بعض ملفات له وتكون في مسار خاص يحدده المبرمج وممكن تكون عبارة عن ملفات فيها قيم مثلا وليس تنفيذية ويستدعى منها أشياء معينة مثلا لان البرنامج الذي انقحه في اصدارته السابقة تم فتح ضغطه وكان يستخدم طريقة فك ملفات في السيستم عبارة عن ملفات xml و data فيها قيم ويستخدم خوارزمية معادلة مع القيم اللتي ياخذها وعند عدم التسجيل يقوم بمسح الملفات اللتي فكها ولكن الاصدارة الحالية استخدم عدة خدع مع ضغط ب winlicense ورسالته لطلب ملف regkey واعتقد استخدم طريقة دمج التطبيق بالدلفي والتشفير مرتين او اكثر
لاحظ معي عند لفحصه الصورة رقم ١ دوت نت وضغط themida
![[صورة مرفقة: 1-JPG-35332ff1894f1c7fb0de60774c02a1ba.jpg]](https://i.ibb.co/Tr2VsRL/1-JPG-35332ff1894f1c7fb0de60774c02a1ba.jpg)
وعند استخدام سكربت لفك الضغط طلعت هذه الرسالة
Your Target seems to be a NET-FRAMEWORK file!
Unpacking of NET targets is diffrent!
Dump running process with WinHex and then fix the whole PE and NET struct
لاحظ الصور ادناه المرفقة رجعت اللغة دلفي والضغط الى اصدارة اخرى وظهور ملف مرفق بداخل وبعد عدة محاولات للبحث عن OEP
وعمل dump كانت تظهر تغيرات
![[صورة مرفقة: 2-JPG-8f40fd27908bf54593fc6f3eea517c95.jpg]](https://i.ibb.co/hKnpSgX/2-JPG-8f40fd27908bf54593fc6f3eea517c95.jpg)
![[صورة مرفقة: 3-JPG-b3596889812ad27bfb579c984981c06a.jpg]](https://i.ibb.co/LJ6ytg6/3-JPG-b3596889812ad27bfb579c984981c06a.jpg)
![[صورة مرفقة: 4-JPG-a455c092a7197dbd52a42b90d56139d9.jpg]](https://i.ibb.co/mcCCF5M/4-JPG-a455c092a7197dbd52a42b90d56139d9.jpg)
وفي لايسعنا الا قول تحياتي لكم جميعا
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 26
المواضيع : 1
الإنتساب : Jul 2019
السمعة :
2
الإعجاب المعطى : 56
الإعجاب المحصل : 37
07-12-2019, 12:27 PM
(آخر تعديل لهذه المشاركة : 07-12-2019, 12:34 PM بواسطة ADM!RAL.)
أنا لست خبيرا بمجال فك التشفير
ولكن أتوقع أنه بعد فك التشفير هناك جزء أو أجزاء في الكود تستطيع إزالتها ليس لها لزوم (اللودر التابع للحماية)
وعدم إزالتها قد يعطيك نتيجة فحص خاطئة.
أهل الخبرة يستطيعون معرفة لغة البرمجة الحقيقية للبرنامج من خلال شكل الكود والتعليمات عند تنقيحة بالمنقح.
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 559
المواضيع : 25
الإنتساب : Nov 2018
السمعة :
7
الإعجاب المعطى : 513
الإعجاب المحصل : 497
استخدم megadumper في البداية فهو الافضل مع برامج الدوت نت ، لان بعض البرامج قد لا تفك بالصورة المطلوبة و يكون الدامب ناقص ، كذالك استخدم عدة برامج للكشف بكل مرة فهي ليست دائما على صواب 100%
شي اخر الدوت نت الظاهر انها ليست سوى لودر ان صح التعبير ومنها ينتج الملف التنفيذي الحقيقي ،
انصحك بتجربة نسخة ODt4re من المنتدى لتنقيح البرنامج فهي تعمل مع هذه الحماية بدون ان تفكها حتى بدون مشاكل وبهذا تستغني عن الفك وما الى ذلك
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 7
المواضيع : 2
الإنتساب : Dec 2019
السمعة :
0
الإعجاب المعطى : 3
الإعجاب المحصل : 0
استخدمت megadumper وللاسف لايستخرج شي المجلد فارغ
واستخدمت Odbgat4re وللاسف أيضأ النتيجة لما اصل للتجاوز من استدعائه لملف regkey.dat لانه بعد استدعاء الملف للتسجيل واتمام التسجيل او تجاوزه هنا تحصل القفزة للبرنامج والوصل الى oep الرئيسية للبرنامج واتمنى لو اجد شرح على برنامج عند تشغيله قبل تشغيل البرنامج الرئيسي تكون الخطوة خاصة بالتشفير بالتحقق وقراءة ملف التسجيل regkey.dat .
وقد استخدمت عدة منقحات حتى ان ملفات dll التي يستدعيها وقت تشغيله عددها اكثر من ٥ ملفات
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 1,439
المواضيع : 279
الإنتساب : Oct 2018
السمعة :
43
الإعجاب المعطى : 1388
الإعجاب المحصل : 4573
راجع شروحات inline Patching و كسر البرامج باستعمال طريقة DLL Hijacking علها تفيدك...
حل التحدي 7 بقسم التحديات خير مثال...
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.
عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ».
(صحيح - رواه مسلم).
أعضاء أعجبوا بهذه المشاركة :
المشاركات : 7
المواضيع : 2
الإنتساب : Dec 2019
السمعة :
0
الإعجاب المعطى : 3
الإعجاب المحصل : 0
اشكرك أستاذنا M!X0R سيتم تنزيل والتمعن في التحدي مع اننا تابعت الشرح حق new tiger الجزء لانه يتكلم عن حماية themida لكن مشكلتي قبل تشغيل البرنامج وليس بعد التشغيل واتمنى ان يفيدنا التحدي ٧ وتقبل تحياتي
أعضاء أعجبوا بهذه المشاركة :
