ألي اعرفه ولو خبرتي بسيطة
يستعمل بالـ anti-debugging يتنفذ قبل الوصول الى Entry point يعني يعرف هل تستعمل منقح ام لا ويتنفذ قبل الوصول الى entrypoint h وينفذ التعليمات الي موجودة بالــ PeHEader
طريقة اكتشافه هو TLS لدية Section بالــ Pe Header نفتح البرنامج بواسطة مثلا PE Bear وبعدها بالــ tab .. وبعدها TLS وبعدها يوجد addressofCallbacks نعمل لها Follow ناخذ البيتات الاولى و نحولها الى big endian ويصبح عنوان نفتح المنقح و نبحث عن العنوان ونجده
وفي اكثر الحالات موجود بالــ export
وبالمنقحات مثلا x64dbg توجد اختيار tls callback
,ومثال برنامج Elcomsoft eXplorer for WhatsApp يستعملها البرنامج مضغوط Vmprotect
وهذا من كتاب الفريق
![[صورة مرفقة: d5u8rxt.png]](https://i.imgur.com/d5u8rxt.png)
هذا تقريبا الي اعرفة ...
يستعمل بالـ anti-debugging يتنفذ قبل الوصول الى Entry point يعني يعرف هل تستعمل منقح ام لا ويتنفذ قبل الوصول الى entrypoint h وينفذ التعليمات الي موجودة بالــ PeHEader
طريقة اكتشافه هو TLS لدية Section بالــ Pe Header نفتح البرنامج بواسطة مثلا PE Bear وبعدها بالــ tab .. وبعدها TLS وبعدها يوجد addressofCallbacks نعمل لها Follow ناخذ البيتات الاولى و نحولها الى big endian ويصبح عنوان نفتح المنقح و نبحث عن العنوان ونجده
وفي اكثر الحالات موجود بالــ export
وبالمنقحات مثلا x64dbg توجد اختيار tls callback
,ومثال برنامج Elcomsoft eXplorer for WhatsApp يستعملها البرنامج مضغوط Vmprotect
وهذا من كتاب الفريق
هذا تقريبا الي اعرفة ...