استفسار

[hellsing]

السلام عليكم ورحمة الله وبركاته 
في البداية فرحتي بعودة منتدى الفريق العربي للهندسة العكسية حيث كنت ممن انهلت على عقولهم من منابركم المميزة وشروحاتكم المنيرة واخص اساتذتي في هذا العلم شروحات استاذي "روبن هود" استاذ الدوت نت بشروحته اللتي تابعتها كلها اتمنى من العلي العظيم ان تكون بصحة وعافية.
وموضوعي عن فك ضغط حماية تستخدم عدة خدع وطرق ضغط فتكون بلغة وضغط معين وبعدها تتفاجا  بعد عمل اسكان علي البرنامج بلغة اخرى وضغط اخر فهنا العقل  لايهدا ويقر فالواحد يستطيع استخدام الضغط عدة مرات وبطرق مختلفة لكن هل تقوم بتغيير اللغة التي طبق بها التطبيق فارجوا ممن واجه مثلي فاتشرف بمروره وذكر ما واجهة فهناك طرق متعددة كثيرة 
او من يساعدنا  لفهم مثل هذه الامور.

ودمتم بود  وجمعة مباركة على الجميع

[saudidos]

بخصوص الفحص انا افضل موقع virustotal هو يطلع لي التشفير للبرنامج جربه يمكن ينفعك

[hellsing]

شكرا اخي saudidos لاقتراحك لكن الموقع ينفع للملفات الصغيرة
فاما للملفات الكبيرة فالعمل اليدوي عليها يكون افضل وان شاء الله سارفق بعض الصورة للفحص

[mohamad]

غالبا هذه البرامج الاختصار لها عبارة عن اختصار يفك الداتا لانتاج ملف تنفيدي اخر وفتحه بشكل منفصل فنا تتوه ولا تفهم ما يجري 

شغل ومن task manager اختر اللرنامج الناتج واختر فتح موقع الملف تسجده في مكان اخر غير مكان التتبت في c مثل appdata او local  الخ. ، او بطريقة اخرى تشغل البرنامج وتدخل المنقح وتعمل له attach ثم dump 
هنا وصلت نصف الطريق الباقي عليك ان تفك حماية الملف الذي وجدته

[hellsing]

اخي محمد فهمت مع انها لم اغفل عنها فبعض البرامج تكون فيها ملفات وعند تشغيل البرنامج يفك بعض ملفات له وتكون في مسار خاص يحدده المبرمج وممكن تكون عبارة عن ملفات فيها قيم مثلا وليس تنفيذية ويستدعى منها أشياء معينة مثلا لان البرنامج الذي انقحه في اصدارته السابقة تم فتح ضغطه وكان يستخدم طريقة فك ملفات في السيستم عبارة عن ملفات xml و data فيها قيم ويستخدم خوارزمية معادلة مع القيم اللتي ياخذها وعند عدم التسجيل يقوم بمسح الملفات اللتي فكها ولكن الاصدارة الحالية استخدم عدة خدع مع ضغط ب winlicense ورسالته لطلب ملف regkey واعتقد استخدم طريقة دمج التطبيق بالدلفي والتشفير مرتين او اكثر

---

لاحظ معي عند لفحصه الصورة رقم ١ دوت نت وضغط themida 

وعند استخدام سكربت لفك الضغط طلعت هذه الرسالة

 
Your Target seems to be a NET-FRAMEWORK file!
Unpacking of NET targets is diffrent!
Dump running process with WinHex and then fix the whole PE and NET struct

لاحظ الصور ادناه المرفقة رجعت اللغة دلفي والضغط الى اصدارة اخرى وظهور ملف مرفق بداخل وبعد عدة محاولات للبحث عن OEP
وعمل dump كانت تظهر تغيرات 



وفي لايسعنا الا قول تحياتي لكم جميعا

[ADM!RAL]

أنا لست خبيرا بمجال فك التشفير
ولكن أتوقع أنه بعد فك التشفير هناك جزء أو أجزاء في الكود تستطيع إزالتها ليس لها لزوم (اللودر التابع للحماية)
وعدم إزالتها قد يعطيك نتيجة فحص خاطئة.

أهل الخبرة يستطيعون معرفة لغة البرمجة الحقيقية للبرنامج من خلال شكل الكود والتعليمات عند تنقيحة بالمنقح.

[mohamad]

استخدم megadumper في البداية فهو الافضل مع برامج الدوت نت ، لان بعض البرامج قد لا تفك بالصورة المطلوبة و يكون الدامب ناقص  ، كذالك استخدم عدة برامج للكشف بكل مرة فهي ليست دائما على صواب 100% 
شي اخر الدوت نت  الظاهر انها ليست سوى لودر ان صح التعبير ومنها ينتج الملف التنفيذي الحقيقي ،  

​​​​​​انصحك بتجربة نسخة ODt4re من المنتدى لتنقيح البرنامج فهي تعمل مع هذه الحماية بدون ان تفكها حتى بدون مشاكل وبهذا تستغني عن الفك وما الى ذلك

[hellsing]

استخدمت megadumper وللاسف لايستخرج شي المجلد فارغ
واستخدمت Odbgat4re وللاسف أيضأ النتيجة لما اصل للتجاوز من استدعائه لملف regkey.dat لانه بعد استدعاء الملف للتسجيل واتمام التسجيل او تجاوزه هنا تحصل القفزة للبرنامج والوصل الى oep الرئيسية للبرنامج واتمنى لو اجد شرح على برنامج عند تشغيله قبل تشغيل البرنامج الرئيسي تكون الخطوة خاصة بالتشفير بالتحقق وقراءة ملف التسجيل regkey.dat .
وقد استخدمت عدة منقحات حتى ان ملفات dll التي يستدعيها وقت تشغيله عددها اكثر من ٥ ملفات

[M!X0R]

راجع شروحات inline Patching و كسر البرامج باستعمال طريقة DLL Hijacking علها تفيدك...
حل التحدي 7 بقسم التحديات خير مثال...

[hellsing]

اشكرك أستاذنا M!X0R سيتم تنزيل والتمعن في التحدي مع اننا تابعت الشرح حق new tiger الجزء لانه يتكلم عن حماية themida  لكن مشكلتي قبل تشغيل البرنامج وليس بعد التشغيل واتمنى ان يفيدنا التحدي ٧ وتقبل تحياتي