29-09-2020, 11:17 AM
(آخر تعديل لهذه المشاركة : 29-09-2020, 05:36 PM بواسطة Cyros.
تعديل السبب: استبدال بالملف الاصلي ورفعه
)
السلام عليكم
هنالك Crackme جربت ان افحصه ب RDG فظهر انه يحتوي IsDebuggerPresent
بحثت عن المنطقة التي يستدعي بها البرنامج هذه الدالة وقمت بكتابة
XOR EAX,EAX لكي لا يقفز ( يعني استبدلت CALL IsDebuggerPresent ب XOR EAX,EAX لان بعدها تعليمة TEST EAX,EAX ) عند العنوان 708D17BD
ثم قمت بحفظ التعديلات بملف تنفيذي باسم Crackme2
Copy to executable > All modifiction >Copy all > save file
ثم جربت افحصه ان لا تزال IsDebuggerPresent عبر فحصه ب RDG Packer detector ولكن بقيت !
ثم حملت Crackme2 في Ollydbg و
ctrl+G (IsDebuggerPresent)
ووضعت توقف على ما تطلب دالة IsDebuggerPresent من تعليمات فيمكتبة kernelbase.dll يعني تعليمات
جربت ابحث يوجد شيئ رابت شيئ اسمه Anti-debugging ارجو من لديه خبرة ان يشرح عنه
ولاحظت الكثير من البرامج المعروفة التي نستخدمها التي فيها تسجيل ودفع ك WinRAR , Internet Download Manger ليست محمية وانما عندما فحصها ب RDG يعطي انها IsDebuggerPresent هل هذا يعني انها تحتوي خوارزمية كشف المنقح ؟
ايضا هذه ال Crackme ثقيلة بالنسبة بالنسبة ل crackmes بحجم 3.9MB هل هذا بسبب هذه الخوارزمية ؟
![[صورة مرفقة: pqWYH5z.png]](https://i.imgur.com/pqWYH5z.png)
ارجو من لديه خبرة يفيد باجابته
هذا رابط ال Crackme :
https://gofile.io/d/9x7Ay0
هنالك Crackme جربت ان افحصه ب RDG فظهر انه يحتوي IsDebuggerPresent
بحثت عن المنطقة التي يستدعي بها البرنامج هذه الدالة وقمت بكتابة
XOR EAX,EAX لكي لا يقفز ( يعني استبدلت CALL IsDebuggerPresent ب XOR EAX,EAX لان بعدها تعليمة TEST EAX,EAX ) عند العنوان 708D17BD
ثم قمت بحفظ التعديلات بملف تنفيذي باسم Crackme2
Copy to executable > All modifiction >Copy all > save file
ثم جربت افحصه ان لا تزال IsDebuggerPresent عبر فحصه ب RDG Packer detector ولكن بقيت !
ثم حملت Crackme2 في Ollydbg و
ctrl+G (IsDebuggerPresent)
ووضعت توقف على ما تطلب دالة IsDebuggerPresent من تعليمات فيمكتبة kernelbase.dll يعني تعليمات
INT3
MOV EAX,DWORD PTR FS:[0x30]
MOVZX EAX,BYTE PTR DS:[EAX+0x2]
RETN
جربت ابحث يوجد شيئ رابت شيئ اسمه Anti-debugging ارجو من لديه خبرة ان يشرح عنه
ولاحظت الكثير من البرامج المعروفة التي نستخدمها التي فيها تسجيل ودفع ك WinRAR , Internet Download Manger ليست محمية وانما عندما فحصها ب RDG يعطي انها IsDebuggerPresent هل هذا يعني انها تحتوي خوارزمية كشف المنقح ؟
ايضا هذه ال Crackme ثقيلة بالنسبة بالنسبة ل crackmes بحجم 3.9MB هل هذا بسبب هذه الخوارزمية ؟
ارجو من لديه خبرة يفيد باجابته
هذا رابط ال Crackme :
https://gofile.io/d/9x7Ay0
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )