(27-05-2023, 03:12 AM)M!X0R كتب : خاصة إذا تم حمايتها و المبرمج عادة يقوم باضافة الحماية
لمنع التطفل و معرفة كيفية عمل برنامجه حتى لا يبرمج شيء مشابه له
أعلم هذا الشيئ لكن النسخة الملغومة من برنامح SharpOD x64 محمية أيضاً ببرنامج الحماية vmprotect و لكنها أكبر حجماً و يمكن مقارنتها مع الملف من هذا الرابط:
https://github.com/A-new/x64dbg_plugin/blob/master/x32/SharpOD%20x64.dp32
و هذا هو تقرير virustotal الخاص بهذه النسخة
https://www.virustotal.com/gui/url/ccdbac2856ee3aedcea0b446b8cfa2c1bf5762fdef748c4dcfc857a2dfcbb4f7/detection
و كما ترى الملف نضيف تماماً،
أنا ما أقصده هو التحذير من وجود نسخة ملغومة من SharpOD x64.dp32 يستخدمها البعض دون علمه بهذا الأمر.
و بالنسبة لي أستخدم عدة أجهزة وهمية للتنقيح و لكن هذا لا يمنع أن تكون البرامج التي عملت عليها مصابة بالـفيروس دون علمك
(27-05-2023, 05:28 AM)SeGNMeNT كتب : مرة نزلت نسخة IDA Pro لا تحتاج الى تثبيت (بدون installer) وجاهزة للاستخدام المباشر, رافع تلك النسخة قام بارفاق رابط تقرير VirusTotal لكل ملف يحويه الأشريف, جميع التقارير كانت سليمة 100%(أمر غير مألوف) وبعد فتح ida.exe أصبح يظهر لي في ادارة المهام استخدام وحدة المعالجة 90% rundll.exe فبدا وكانه ملغم.
نعم هي هذه النسخة التي قصدتها أنا، جربتها و واجهت نفس الأشكال
(27-05-2023, 05:28 AM)SeGNMeNT كتب : لا يمكن الاعتماد على هذا الموقع في تحديد احتمالية كون ملف تنفيذي ملغم, يظهر العديد من التقارير الخاطئة, مثلا مرة برمجت مكتبة d3d8 proxy تقوم بتغييرات طفيفة في ذاكرة لعبة واظهار واجهة رسومية باستخدام Visual C++, الحقت ملفات خطوط TTF ك Resources, كان هناك 7 مضادات فيروسات تبلغ على ان المكتبة فيروس من بينهم مضاد مايكروسوفت, بعد ازالتي لملفات الخطوط, أصبح 4 مضادات, بعد ضغطي للمكتبة باستخدام UPX أصبح 3.
كلنا نعاني من هذا الأمر و بالنسبة لي عالجت هذه المشكلة جزئياً عن طريق أستخدام certificate و ساعدني في تجاوز الكثير من العقبات