دخول

**the9am3**

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته

كيفكم شباب ان شاء الله تكونوا بالف صحة وعافيه

اول شي الشرح اهداء لاخي العزيز ابو البراء [New Tiger] الي تعملت منه الكثير والكثير ... الله يعطي الصحة والعافيه ويشفي ويزيده من علم flower

والى كل اعضاء المنتدى الكريم flower

محتوى الشرح :

1- فك الضغط عن [Armadillo] اصدار 9.64 نسخة 32bit يدويا وتخطي
- Debugger blocker
- Code Splicing
- Fix IAT Redirection

[صورة مرفقة: AOULklH.png]

2- كسر البرنامج b@tch!tultra وحقن اسمنا بالــ Environment Variable اظهاره عند كتابه licensed to ... Cool

طبعا الشرح شوية طويل لكن حاولت قدر الامكان ابسط واوضح الطريقة Heart

اعذرونا اذا في اخطاء بالشرح Heart

موقع البرنامج المطبق عليه الشرح Big Grin

:

https://www.batchimage.com/product/batchitultra/

**Newhak** · 09-07-2020, 02:08 AM

درس جميل لقد تمتعت بالشرح بارك الله فيك عندما يكون لدي بعض الوقت ساكتب بعض الملاحظات ان شاء الله

**the9am3** · 09-07-2020, 08:36 AM

(09-07-2020, 02:08 AM)Newhak كتب : درس جميل لقد تمتعت بالشرح بارك الله فيك عندما يكون لدي بعض الوقت ساكتب بعض الملاحظات ان شاء الله

بارك الله فيك اخي ابو البراء سعيد جدا لان الدرس عجبك وهذه كلها تعلمنها منك انت استاذنا .... اي والله ياريت تكتب الملاحظات لنستفاد منها ان شاء الله

**Newhak**

اخي الحبيب الدرس جميل بالفعل فقط اضافة لوسمحت لى وهي
ان الملف المكتبي Armaccess.dll هي اضافة استخدمتها شركة SoftwarePassport لزيادة حمايتها في الاصدارات الاخيرة فقط واعتقد من الاصدار الثامن ان لم تخني الذاكرة وتتلخص الفكرة في عمل مايسمي VerifyKey وقد سرقت الشركة الفكرة من شركة انتاج Asprotect فالجميع يذكر انه عند فك برامج Asprotect تحتاج في بعض الاحيان لاضافة ملف aspr_ide.dll

طبعا يمكن عمل باتش ل VerifyKey
طريقة استخدام VirtualProtect طريقة استخدمت من الاصدارات القديمة ومن ثم البحث على النداء السحري وتغير امر الدفع لامر رجوع لمنع اعادة توجيه جدول الدوال. المشكلة في هذه الطريقة انها ساتصطدم بمشكلة تجاوز Armaccess.dll وضرورة عمل باتش لتجاوز الخطاء وخروج البرنامج

الطريقة الثانية والتى احبذه كثيرا هي الاعتماد على GetModuleHandleA ومن تم البحث عن الدالة LoadLibraryA وتحديد القفزة السحرية بعدها مباشرة ولاتحتاج لعمل الباتش لتجاوز ArmAccess.dll ساتجد شرح سريع لها في الرابط التالي اسفل

طبعا الكثير لايعرف انه توجد طريقة اخرى واماكن اخرى للقفزات السحرية ولايستعملها الا بعض الاشخاص وهي نادرة ربما اشرحها يوم اخر

بالنسبة Codesplicing يفضل وضعه في احد الاقسام المضافة بواسطة الحماية ولكن يفضل القسم الاكبر حجم وعادة يكون .pdata
ويوجد طريقة لحل مشكلة Codesplicing يدويا بدون استخدام ادوات

اخيرا يجب استخدام UIF عند اتمام اي فك حتى تظمن عمل البرنامج على اي نظام تشغيل واي جهاز

طبعا كان لي صولات وجولات مع فك الارماديليو وكل هذه المواضيع شرحتها في بوابة العرب المتحدون AoRE لكن للاسف كل الدروس ضاعت ولم اجدها فقد كانت توجد في سلسلة اسمها فك حماية ارماديليو

رابط شرح الفك عن طريق الدالة GetModuleHandleA

الدرس

اسف على الاطالة فاصبحت كثير الكلام هههههههه وهذا حال الختيارة والمتقاعدين

**the9am3**

(10-07-2020, 02:37 PM)Newhak كتب : اخي الحبيب الدرس جميل بالفعل فقط اضافة لوسمحت لى وهي

اول شي الله يطول عمرك اخي العزيز ابو البراء و يعطيك الصحة والعافيه ويزيدك من علم كنت متاكد ان راح نستفاد من ملاحظاتك لان وضحت امور كثيرة بخصوص حماية الارماديلو
وبالنسبة للــ Codesplicing الي فهمته هو عبارة عن قفزة تذهب الى خارج الــ pe Section ويكون بالميموري للبحث عن مكانه بطريقة يدوية
1- طريقتك الي اشرت اليها بااسطوانة المبتدئين الثانية .... تكون قبل اول dll
2- شفت درس لــ mr.exodia .. يقول بعد ان وجدنا الــ OEP ننزل الى الاسفل الى ان نجد jmp يذهب الى عنوان يكون خارج عنوان Section البرنامج ف يكون هذا هو Code Splicing

مرة اخرى الله يعطيك الصحة والعافيه ويشفك وشكرا على الاضافات الرائعة ودرس ايضا ... فتحت مجال للي حاب يعرف اكثر عن الحماية ويجد القفزات السحرية الاخرى ... الف الف شكر على كل ما التقدمة لنا من معلومات

**Newhak**

نعم بالنسبة لماقاله mr.exodia بخصوص Code Splicing فهو صحيح 100% وهو افضل من كتب وتكلم على الارماديليو بكل صراحة وهذه الطريقة تساعدك كثيرا لكي تتاكد من مكانه في حالة عجزت الادوات على تحديد مكانه ففي 90% من الحالات يوجد مكان Code Splicing قبل اول ملف مكتبي ولكن في بعض الحالات للخدعة تجد المبرمج يعيد توجيهه ليكون قبل قسم الكود واذا تذكر هذه الحالة شرحتلك برنامج IPview لكن هناك علامة مميزة اخرى له ولم يتكلم عليها احد وهي حجم Code Splicing وهي القيمة 20000 وفي معظم الحالات تجدها متكررة في الاماكن التى ذكرتها لك مرتين فقط فتجدها مرة تظهر هذه القيمة 20000 ولكن امامها Reserved بمعنى محجوزةوهذه لانريدها بينما تظهر في المكان الاخر بدون شي وهذه هي المكان الصحيح ل Code Splicing

للامانة كل مايعيب فك ارماديليو هو عدم توضيح التعامل مع ال Nan يدويا وهذا الموضوع بالذات بقى حكر وسر لم يكشف عنه فمنذ الاصدار الثالث للاداءة توقف الكلام عن هذا الموضوع والادات اصبحت غير قادرة على التكيف والعمل على انظمة التشغيل الجديدة في اغلبية الحالات حالها حال معظم الادوات التى تم صناعتها لارماديليو ولحسن الحظ ان حتى الادوات التى اخترعها mr.exodia مازلت تعمل لان الشركة توقف على الانتاج والا ساتكون هناك الكثير من المشاكل لفك الحماية

ارماديليو كانت حماية رائعة لكنها ساتختفي قريبا بسبب توقف الشركة المنتجة للاسف وعدم وجود Technical Support

**the9am3**

(10-07-2020, 04:57 PM)Newhak كتب : عم بالنسبة لماقاله mr.exodia بخصوص Code Splicing فهو صحيح 100% وهو افضل من كتب وتكلم على الارماديليو بكل صراحة وهذه الطريقة تساعدك كثيرا لكي تتاكد من مكانه في حالة عجزت الادوات على تحديد مكانه ففي 90% من الحالات يوجد مكان Code Splicing قبل اول ملف مكتبي ولكن في بعض الحالات للخدعة تجد المبرمج يعيد توجيهه ليكون قبل قسم الكود واذا تذكر هذه الحالة شرحتلك برنامج IPview لكن هناك علامة مميزة اخرى له ولم يتكلم عليها احد وهي حجم Code Splicing وهي القيمة 20000 وفي معظم الحالات تجدها متكررة في الاماكن التى ذكرتها لك مرتين فقط فتجدها مرة تظهر هذه القيمة 20000 ولكن امامها Reserved بمعنى محجوزةوهذه لانريدها بينما تظهر في المكان الاخر بدون شي وهذه هي المكان الصحيح ل Code Splicing

للامانة كل مايعيب فك ارماديليو هو عدم توضيح التعامل مع ال Nan يدويا وهذا الموضوع بالذات بقى حكر وسر لم يكشف عنه فمنذ الاصدار الثالث للاداءة توقف الكلام عن هذا الموضوع والادات اصبحت غير قادرة على التكيف والعمل على انظمة التشغيل الجديدة في اغلبية الحالات حالها حال معظم الادوات التى تم صناعتها لارماديليو ولحسن الحظ ان حتى الادوات التى اخترعها mr.exodia مازلت تعمل لان الشركة توقف على الانتاج والا ساتكون هناك الكثير من المشاكل لفك الحماية

ارماديليو كانت حماية رائعة لكنها ساتختفي قريبا بسبب توقف الشركة المنتجة للاسف وعدم وجود Technical Support

صحيح عاشت ايدك اخي ابو البراء على التوضيح ... بارك الله فيك شكرا
ومثل ماتفضلت فقط NAN بقى حكر توجد اداتين فقط لحذفها تقريبا هي عبارة عن int32 الادوات تقوم فقط تحويلها الى jmp
او قفزات لم افهمها بشكل صحيح لكن هذا الي فهمته الاداتين هي :
الاولى اسمها NanoLol صنعها mr.exodia
والثانية Armadillo_Nanomites_Fixer_v1.2

وصحيح ماقلته عن Codesplicing انا جربت بدون الادوات اخمن على العناوين الي تكون حجمها 20000 بعد شرحك لي لفك برنامج IPview والطريقة ناجحة

الف الف شكر ابو البراء وضحت لنا كيف التعامل مع الارماديلو بشكل كبير ...بارك الله فيك والله يزيدك من علم

**Newhak** · 10-07-2020, 06:38 PM

(10-07-2020, 06:02 PM)the9am3 كتب : الف الف شكر ابو البراء وضحت لنا كيف التعامل مع الارماديلو بشكل كبير

اخي الحبيب انا لم افعل شي فقط شاركت معكم ماتعلمته في ايام لم تكن توجد حتى ادوات mr.exodia وكان معظم الشغل يدوي لهذا استفدنا وتعلمنا الكثير فمثلنا سلسلة ارماديليو التى اخبرتك عنها كانت خلال الفترة من 2010 الى 2011 لكن كان هناك اساتذة كبار صراحة واستفدنا منهم كثيرا ولم يظهر mr.exodia على الساحة الا في نهاية 2010 او بداية 2011 ولم يهتم بارماديليو الا في الفترة مابين 2012 و 2014 تقريبا وبعدها صمم الادوات التى تستخدم بكثرة الان

على فكرة انا لم اجرب او اشاهد درس عن استخدام NanoLol فاذا كان هناك شرح لها او درس فيديو فياريت احد يتكرم علينا به اويشرحها لنا وكذلك ان يرفع الاداءة لنا وبارك الله فيه مقدما

**the9am3** · 10-07-2020, 06:46 PM

(10-07-2020, 06:38 PM)Newhak كتب : على فكرة انا لم اجرب او اشاهد درس عن استخدام NanoLol فاذا كان هناك شرح لها او درس فيديو فياريت احد يتكرم علينا به اويشرحها لنا وكذلك ان يرفع الاداءة لنا وبارك الله فيه مقدما

بارك الله فيك اخي ابو البراء شكرا على مشاركتنا هذه المعلومات المفيدة
وانت تامر اخي ابو البراء هذه هي الاداءة مع كتاب يشرح الاداءة

**Newhak** · 10-07-2020, 08:40 PM

هل يوجد اي احد جرب الاداءة سابقا ياريت يفيدنا بنتائج تجربته

دخول
إسم المستخدم :
كلمة المرور :	فقدت كلمة المرور ؟
	تذكرني