23-12-2018, 01:14 AM
(آخر تعديل لهذه المشاركة : 23-12-2018, 01:22 AM بواسطة Gu-sung18.
تعديل السبب: تصحيح بعض الاخطاء.
)
وعليكم السلام ورحمه الله وبركاته
بعد بحث بجوجل وجدت ما معنى تلك الكلمة والتي كانت مدفونة في الصفحات الاخيرة لانها قديمة والمحتوى عنها قليل.
(هذه ترجمة بتصرف لمقالة وجدتها تتكلم عن الموضوع)
ان Point-H هي تقنية عرفنا عليها الكراكر الاسباني Ricardo Narvaja في احد دروسه، حرف الـ H يرمز لـ Hmemcopy وهو استدعاء API قديم كان موجود في Windows 95 وهذا الاستدعاء كان ينفذ مباشرة من قبل النظام لنسخ سلسلة محارف اسكي ( ASCII strings)، وكانت تستخدم من قبل الكراكرز، و Point-H هي الطريقة الحديثة في أتمام ذلك.
في ntdll32.dll يوجد دالة يستدعيها نظام ويندوز عندما يريد نسخ string وهذه الدالة تستخدم كثيراً، فهي تستخدم في نسخ أسماء الـ DLLs المعمول لها import وحتى مقارنة رسائل ويندوز المنبثقة وحتى دوال مثل GetDlgItemTextA و SetDlgItemTextA ، والكراكرز بدأو باستخدام هذه الطريقة كفخ عندما يتم نسخ اليوزر او الباسورد من النافذة المنبثقة ويتم الرجوع بالنتيجة للبرنامج. على سبيل المثال لو لديك برنامج يطلب باسورد وادخلت الباسورد فالبرنامج سيحصل على الباسورد عن طريق استدعاء دالة GetDlgItemTextA .
وعندما نحن نقوم باستدعاء هذه الدالة فان مكتبة kernel32 تقوم باستدعاء دالة داخلية تقوم بنسخ النص من النافذة المنبثقة ووضع النتيجة في مكان مؤقت في الذاكرة ومن ثم أرجاع النتيجة للبرنامج وتكون عبارة عن القيمة التي ترجعها دالة GetDlgItemTextA.
فلو عرفنا مكان هذه الدالة الداخلية التي قامت بنسخ الـstring واذا كان المنسوخ ما نهتم به (كأن يكون الباسورد الذي أدخلناه) عندها يمكننا تتبع تنفيذ البرنامج إلى حين الرجوع لكود البرنامج وعندها يمكننا ان نرى كيف يتمكن البرنامج الهدف من الحصول على الباسورد.
رابط المقالة https://legend.octopuslabs.io/archives/2044/2044.htm
أضافه + شرح صغير عن هذه التقنية https://tuts4you.com/e107_plugins/downlo...p?view.100
--------------------------
بالمناسبة هذه الإضافة قديمه لم لا تستخدم الإصدار الثاني على الرغم من أنها من مبرمج ثاني ألا انها افضل https://tuts4you.com/e107_plugins/downlo...view&id=23
أو اترك منقح OllyDbg يا صديقي واستخدم x64dbg
بعد بحث بجوجل وجدت ما معنى تلك الكلمة والتي كانت مدفونة في الصفحات الاخيرة لانها قديمة والمحتوى عنها قليل.
(هذه ترجمة بتصرف لمقالة وجدتها تتكلم عن الموضوع)
ان Point-H هي تقنية عرفنا عليها الكراكر الاسباني Ricardo Narvaja في احد دروسه، حرف الـ H يرمز لـ Hmemcopy وهو استدعاء API قديم كان موجود في Windows 95 وهذا الاستدعاء كان ينفذ مباشرة من قبل النظام لنسخ سلسلة محارف اسكي ( ASCII strings)، وكانت تستخدم من قبل الكراكرز، و Point-H هي الطريقة الحديثة في أتمام ذلك.
في ntdll32.dll يوجد دالة يستدعيها نظام ويندوز عندما يريد نسخ string وهذه الدالة تستخدم كثيراً، فهي تستخدم في نسخ أسماء الـ DLLs المعمول لها import وحتى مقارنة رسائل ويندوز المنبثقة وحتى دوال مثل GetDlgItemTextA و SetDlgItemTextA ، والكراكرز بدأو باستخدام هذه الطريقة كفخ عندما يتم نسخ اليوزر او الباسورد من النافذة المنبثقة ويتم الرجوع بالنتيجة للبرنامج. على سبيل المثال لو لديك برنامج يطلب باسورد وادخلت الباسورد فالبرنامج سيحصل على الباسورد عن طريق استدعاء دالة GetDlgItemTextA .
وعندما نحن نقوم باستدعاء هذه الدالة فان مكتبة kernel32 تقوم باستدعاء دالة داخلية تقوم بنسخ النص من النافذة المنبثقة ووضع النتيجة في مكان مؤقت في الذاكرة ومن ثم أرجاع النتيجة للبرنامج وتكون عبارة عن القيمة التي ترجعها دالة GetDlgItemTextA.
فلو عرفنا مكان هذه الدالة الداخلية التي قامت بنسخ الـstring واذا كان المنسوخ ما نهتم به (كأن يكون الباسورد الذي أدخلناه) عندها يمكننا تتبع تنفيذ البرنامج إلى حين الرجوع لكود البرنامج وعندها يمكننا ان نرى كيف يتمكن البرنامج الهدف من الحصول على الباسورد.
رابط المقالة https://legend.octopuslabs.io/archives/2044/2044.htm
أضافه + شرح صغير عن هذه التقنية https://tuts4you.com/e107_plugins/downlo...p?view.100
--------------------------
بالمناسبة هذه الإضافة قديمه لم لا تستخدم الإصدار الثاني على الرغم من أنها من مبرمج ثاني ألا انها افضل https://tuts4you.com/e107_plugins/downlo...view&id=23
أو اترك منقح OllyDbg يا صديقي واستخدم x64dbg
سبحان الله وبحمده، سبحان الله العظيم