قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | إصدارات الفريق | من نحن ؟ | تبرع للموقع

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers v
سؤال كيف عمل ملف التفعيل هذا

تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
سؤال كيف عمل ملف التفعيل هذا
The Hidden 2000 غير متصل
.: عضو شرف :.
*****
VIP Member
المشاركات : 73
المواضيع : 10
الإنتساب : Oct 2018
السمعة : 5
الإعجاب المعطى : 100
الإعجاب المحصل : 162
#1
11-04-2020, 11:46 AM
مرحبا كيفكم اخواني ان شاء الله طيبين

مر علي كم مره تفعيل برامج عن طريق هذا الملف  winspool.drv كيف قام بذالك ماهي الطريقه ؟
اشوفها طريقه نافعه للبرامج المشفره و المضغوطه

مثال تفعيل لبرنامج Anti DDoS Guardian/IP Blocker Firewall 3.x/5.x  لا وبعد يفعل اكثر من اصدار و اكثر من برنامج من الشركه
https://yadi.sk/d/ItSSdz5v0By-bQ

 ان شاء الله يكون احد لديه المعلومه لنستفيد جميعا
البحث
أعضاء أعجبوا بهذه المشاركة : rce3033
x-member غير متصل
.: عضو سابق بـ AT4RE :.
*****
Retired
المشاركات : 288
المواضيع : 56
الإنتساب : Oct 2018
السمعة : 5
الإعجاب المعطى : 229
الإعجاب المحصل : 687
#2
11-04-2020, 12:53 PM
إقتباس :
The winspool.drv is an executable file on your computer's hard drive. This file contains machine code. If you start the software Microsoft Windows Operating System on your PC, the commands contained in winspool.drv will be executed on your PC. For this purpose, the file is loaded into the main memory (RAM) and runs there as a Windows Printer Spooler process (also called a task).
 

الملف تابع للطابعة من حيث التعريف فوق , متأكد أن له دخل في عملية التسجيل ؟
البحث
أعضاء أعجبوا بهذه المشاركة :
the9am3 غير متصل
.: كراكر بـ AT4RE :.
*****
AT4RE Cracker
المشاركات : 955
المواضيع : 46
الإنتساب : Oct 2019
السمعة : 19
الإعجاب المعطى : 1501
الإعجاب المحصل : 2139
#3
11-04-2020, 01:01 PM (آخر تعديل لهذه المشاركة : 11-04-2020, 01:02 PM بواسطة the9am3.)
هو البرنامج عليه CRC 
[صورة مرفقة: wjdJCns.png]
يمكن تخطي من هنا لكن اعتقد انهم عملو hook لهذا الملف winspool لتخطي كتابه على الملف
البحث
أعضاء أعجبوا بهذه المشاركة :
Newhak مبتعد
معتزل
*****
VIP Member
المشاركات : 857
المواضيع : 90
الإنتساب : Jan 2019
السمعة : 25
الإعجاب المعطى : 1256
الإعجاب المحصل : 2396
#4
11-04-2020, 01:27 PM
الملف يستخدم لعمل هوك ووسيلة لتخطي مشاكل الحقن والفك
مشكلة File Integrity Check اكيد انهم حددو مكانها ويمكن تجاوزها
____________________________________________
I AM RETIRED DO IT YOURSELF

اخيكم في الله معتزل فلاتنسوه من دعوة صالحة فقد ظلم نفسه اسال الله ان يغفر لي ولكم ماتقدم وماتاخر
البحث
أعضاء أعجبوا بهذه المشاركة : farfes , x-member
GMAX غير متصل
.: عضو نشيط :.
*
المشاركات : 44
المواضيع : 6
الإنتساب : Mar 2020
السمعة : 1
الإعجاب المعطى : 32
الإعجاب المحصل : 196
#5
11-04-2020, 07:13 PM
إقتباس :من إسمه هذا ظاهر (winspool.drv) ---->

spool ===> spooling  وهو المسؤول عن قائمة الانتظار قبل إرسالها إلى جهاز ، هنا الطابعة  

أي أنه أكيد مسؤول وله دور كبير في البرنامج التابع له وخصوصا في ظهور الصور التجريبة على أي ملف ناتج  

أخي هل جربت وغييرت إمتداده من  .drv إلى  exe

لكي تقوم بتحليلة أفضل هذا إن كان هناك إمكانية طبعا

والله أعلم
البحث
أعضاء أعجبوا بهذه المشاركة :
The Hidden 2000 غير متصل
.: عضو شرف :.
*****
VIP Member
المشاركات : 73
المواضيع : 10
الإنتساب : Oct 2018
السمعة : 5
الإعجاب المعطى : 100
الإعجاب المحصل : 162
#6
11-04-2020, 07:35 PM
بارك الله فيكم جميعا

الملف شكله معدل من الكراكر لان كوده صغير و غرضه فقط التعديل على البرنامج وكسره
ولاكن هو قام بعمل البحث و الاستبدال  Search & Replace من نفس الملف المذكور
كيف عمل ذالك؟ حتى لو على ملفات النظام اللتي ممكن نقلها الى مجلد البرنامج المستهدف او حتى ملف دل تابع للبرنامج كيف نعمله بطريقة البحث و الاستبدال ليفعل البرنامج الرئيسي

لقيت هذا الشرح بمنتدى صيني ممكن يكون مفيد
https://www.52pojie.cn/thread-703853-1-1.html
البحث
أعضاء أعجبوا بهذه المشاركة :
Newhak مبتعد
معتزل
*****
VIP Member
المشاركات : 857
المواضيع : 90
الإنتساب : Jan 2019
السمعة : 25
الإعجاب المعطى : 1256
الإعجاب المحصل : 2396
#7
11-04-2020, 08:03 PM (آخر تعديل لهذه المشاركة : 11-04-2020, 08:24 PM بواسطة Newhak.)
(11-04-2020, 07:35 PM)The Hidden 2000 كتب : ولاكن هو قام بعمل البحث و الاستبدال  Search & Replace من نفس الملف المذكور

اخي فهد كيف عرفت ان الكرار قام بهذه الخاصية قد يكون انه في الاصدار الحديث نفس مكان التغير
انا اعرف انك من عشاق Search and Replace Smile

ولكن الاجابة سهلة جدا على سؤالك وقد وضحته لك سابقا الذي قام به هو الاستفادة من هذا الملف بحكم ان كل نسخ الوينذوز تستخدمه وتستدعيه ثم عمل هوك له وماتم اضافته من كود اكيد يحتوي على دالة معينة او سميه روتين تحقق معين يقارن بيتات معينة مثل مايحدث عند كتابة سكريبتات ونبحث عن مايسمى Pattern ان وجدت يتم تطبيق الباتش وهذا كل مافي الامر وصدقني الموضوع يحتاج فقط شوية تفكير

وعلى فكرة هذا الملف بالذات هو ملف تنفيذي موجود في الهارد درايف ويحتوي على كود الالة تبعك ويعمل كاتخزين مؤقت للطباعة

يعني ببساطة ملف موجود في كل الكمبيوترات ولهذا قام الكراكر باستغلاله وعمل فيه هوك وقام بتعديل الكود بطريقة يتحقق فيها من وجود بيتات في الملف المراد حقنه وان وجدت يقوم بتطبيق الباتش وان لم توجد سايعطيك Error او يخرج

هيك ياابن الحلال خليتنا كشفنا البزنس Smile
اخي فهد في الموقع الصيني مرفقين السورس تبع الكود هل ممكن الحصول عليه خلينا نحللو الكود لم اتمكن من تحميله من المرفقات

ايضا هل من الممكن الحصول على نسخة اولي المستخدمة انا شفت احد الاخوة يستخدمها هنا ولكن لم اعد اذكر
____________________________________________
I AM RETIRED DO IT YOURSELF

اخيكم في الله معتزل فلاتنسوه من دعوة صالحة فقد ظلم نفسه اسال الله ان يغفر لي ولكم ماتقدم وماتاخر
البحث
أعضاء أعجبوا بهذه المشاركة : The Hidden 2000 , farfes , rce3033
TeRcO غير متصل
.: عضو سابق بـ AT4RE :.
*****
Retired
المشاركات : 751
المواضيع : 126
الإنتساب : Oct 2018
السمعة : 28
الإعجاب المعطى : 852
الإعجاب المحصل : 2284
#8
11-04-2020, 09:41 PM (آخر تعديل لهذه المشاركة : 11-04-2020, 09:44 PM بواسطة TeRcO.)
(11-04-2020, 08:03 PM)Newhak كتب : ايضا هل من الممكن الحصول على نسخة اولي المستخدمة انا شفت احد الاخوة يستخدمها هنا ولكن لم اعد اذكر

تفضل ياغالي اسم النسخة والرابط بالمرفقات:
吾爱破解专用版Ollydbg
(11-04-2020, 07:35 PM)The Hidden 2000 كتب : الملف شكله معدل من الكراكر لان كوده صغير و غرضه فقط التعديل على البرنامج وكسره
اذا ممكن تتأكد ..... هل ملف common.dll هو نفسه بجميع الاصدارات؟
اعتقد الحل موجود هناك


الملفات المرفقة
.txt   吾爱破解专用版Ollydbg.txt (الحجم : 106 bytes / التحميلات : 31)
" اللهم أحسن خاتمتنا وأخرجنا من الدنيا علي خير"
البحث
أعضاء أعجبوا بهذه المشاركة : The Hidden 2000
Newhak مبتعد
معتزل
*****
VIP Member
المشاركات : 857
المواضيع : 90
الإنتساب : Jan 2019
السمعة : 25
الإعجاب المعطى : 1256
الإعجاب المحصل : 2396
#9
11-04-2020, 10:59 PM (آخر تعديل لهذه المشاركة : 11-04-2020, 11:41 PM بواسطة Newhak.)
(11-04-2020, 09:41 PM)TeRcO كتب : تفضل ياغالي اسم النسخة والرابط بالمرفقات

دائما في الموعد ياخلود الله يبارك فيك

للاسف ياخالد اولي لايعمل عندي يتطلب تغير المسارات وهو باللغة الصينية لكني متاكد شفت احد الاخوة يستخدمه هنا
____________________________________________
I AM RETIRED DO IT YOURSELF

اخيكم في الله معتزل فلاتنسوه من دعوة صالحة فقد ظلم نفسه اسال الله ان يغفر لي ولكم ماتقدم وماتاخر
البحث
أعضاء أعجبوا بهذه المشاركة :
The Hidden 2000 غير متصل
.: عضو شرف :.
*****
VIP Member
المشاركات : 73
المواضيع : 10
الإنتساب : Oct 2018
السمعة : 5
الإعجاب المعطى : 100
الإعجاب المحصل : 162
#10
11-04-2020, 11:44 PM (آخر تعديل لهذه المشاركة : 11-04-2020, 11:45 PM بواسطة The Hidden 2000.)
(11-04-2020, 09:41 PM)TeRcO كتب : اذا ممكن تتأكد ..... هل ملف common.dll هو نفسه بجميع الاصدارات؟

اذا فكيت ملف الستوب يعطيني 4 ملفات من common.dll ثنين يشتغلون و ثنين لا معروف هذا البرنامج يضع جميع اصداراته في ملف الستوب واحد ويثبت الاصدار الموافق لأصدار الويندوز


نقحت البرنامج و عرفت مكان الباتش 00021A10 و سويت عليه توقف هاردوير عشان اعرف وين يتم التعديل في الملف winspool.drv  توقف مرتين اول مره ايجاد المكان 000314E3 وثاني مره التعديل في المكان 00031AA3 ولاكن لايوجد عنوان الباتش في الملف بشكل صريح مثل
MOV DWORD PTR DS:[0x21A10],0x1B8

ممكن يكون هذا الموضوع مفيد وتخص مسألتنا
https://forum.tuts4you.com/topic/42029-dynamic-iat-patching-with-a-proxy-dll/?tab=comments#comment-203492
البحث
أعضاء أعجبوا بهذه المشاركة : rce3033


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 3 ) ضيف كريم