19-02-2019, 09:28 AM
(18-02-2019, 08:28 PM)Gu-sung18 كتب :فحصت البرنامج عبر PEID وهذه كانت النتيجة:(18-02-2019, 10:35 AM)mribraqdbra كتب : WARNING: The file isn't a .NET PE file: c:\input\900.exe
هذا التحذير يقول ان البرنامج ما مكتوب بلغات الدوت نت (NET.)، انت قلت سابقاً انك عملت فحص عن طريق ExeinfoPe ماذا كانت لغة البرمجة المكتوب بها البرنامج في نتيجة الفحص؟ جرب الفحص من جديد عن طريق PEiD و ExeinfoPe لنعرف اذا كان البرنامج مكتوب بلغات الدوت نت (NET.) او بلغات اخرى كأن تكون دلفي او سي++.
----------
كذلك جرب طريقة الاخ rhopalocera هنا #pid1050
إقتباس :عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...
الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.
Nothing found [Overlay] *
وعند الفحص عبر برنامج EXEInfoPE يعطيني هذه النتيجة:
XenoCode Virtual Application Studio - Spoon Studio [ 2011 - 2018 ] - Overlay : 78766D... Nothing discovered
عملت dump للبرنامج عبر PETools وعند فحصه عبر EXEInfoPE هذه كانت النتيجة:
Microsoft Visual C++ ~v.7.10 - 9 - Visual 2008
المشكلة ان البرنامج حجمه اصبح صغيرا!
يعني تقريبا... من 150ميجا الى 1ميجا
وعند محاولة تشغيله لا يعمل؟
بنسبة لبرنامج MegaDumper حملته لكن لا اعرف الطريقة الصحيحة لعمل dump!