قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | إصدارات الفريق | من نحن ؟ | تبرع للموقع

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers v
مشكلة في فك مكتبة مشفرة Armadillo

تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
مشكلة في فك مكتبة مشفرة Armadillo
ExCodeMaker غير متصل
ضيف شرف
*****
VIP Member
المشاركات : 283
المواضيع : 85
الإنتساب : May 2020
السمعة : 35
الإعجاب المعطى : 274
الإعجاب المحصل : 758
#1
24-07-2020, 04:15 PM (آخر تعديل لهذه المشاركة : 24-07-2020, 05:27 PM بواسطة ExCodeMaker.)
السلام عليكم
لقد قمت بفك المكتبة المشفرة ، ولكن ظهرت عندي مشكلة غريبة، وهي ان المكتبة حتوي قسميين يوجد بهما كود .text و .text1 ، جميع النداءات في القسم الثاني صحيحة ومعالجة وتؤشر الى جدول IAT ولكن النداءات في القسم الاول لم تعالج عند التحميل وبقيت تنادي العناوين الاصلية وبالتالي لا تؤشر الى جدول IAT في الذاكرة كما في القسم الثاني ؟!

البرنامج : Syncios 6.7 ultimate
المكتبة : synciosultdrm.dll
الرابط : https://www.syncios.com/setup_syncios.exe

[صورة مرفقة: CDvVxtQ.png]

النداء الصحيح في الصورة التالية GetVersion

[صورة مرفقة: 1xvwGPO.png]

وعند تحميل المكتبة من داخل البرنامج تظهر كما يلي :

[صورة مرفقة: nYTRaSz.png]


طبعا حاولت تصحيح الجدول باستخدام Universal Imports Fixer 1.2 دون جدوى !

عند تحميل المكتبة المفكوكة بالمنقح مباشرة يظهر كل شي تمام، بسبب استخدام نفس العناوين الاصلية، ولكن عند التحميل من داخل البرنامج وبسبب تغيير مواقع الذاكرة تظهر المشكلة.

قمت بفك المكتبة بعدة طرق وجميعها لها نفس النتيجة

اين تكمن المشكلة ؟

مع الشكر سلفا ...
البحث
أعضاء أعجبوا بهذه المشاركة : rce3033
Cyperior غير متصل
مجرد شخص
*****
AT4RE Cracker
المشاركات : 624
المواضيع : 22
الإنتساب : Nov 2018
السمعة : 10
الإعجاب المعطى : 1299
الإعجاب المحصل : 861
#2
24-07-2020, 05:28 PM
إذا كنت تريد فقط كسر البرنامج عن طريق المكتبة بفكها فهناك طرق أخرى تغنيك عن ذلك. أحدها استبدال المكتبة بأخرى تحتوي على الإجراءات المهمة فقط واستبدال إجراءات التسجيل بأخرى تجعل البرنامج مسجلا.
من طلب العلا ... سهر الليالي
الموقع البحث
أعضاء أعجبوا بهذه المشاركة : ExCodeMaker , Newhak , rce3033
Newhak مبتعد
معتزل
*****
VIP Member
المشاركات : 857
المواضيع : 90
الإنتساب : Jan 2019
السمعة : 25
الإعجاب المعطى : 1256
الإعجاب المحصل : 2396
#3
24-07-2020, 09:46 PM (آخر تعديل لهذه المشاركة : 24-07-2020, 09:50 PM بواسطة Newhak.)
اخي الكريم ايش المشكلة بالضبط هل تقصد بعد الفك لايعمل البرنامج بمعنى يتعطل بسبب المكتبة المفكوكة او ماذا يحدث بالضبط

اعتقد والله اعلم انك فككت المكتبة بالخطاء لان من الصورة نقطة الانطلاق اعتقد انها خطاء او قد تكون مشكلة relocation الامر الاخر انت قلت عندما استدعي الملف من البرنامج لايعمل ارجو التوضيح بالضبط كيف تقوم باستدعاءه لان عند اقلاع البرنامج لاتظهر المكتبة في قائمة الملفات التى تم استدعائها من البرنامج

ياريت توضح اكثر

على العموم جرب الملف المفكوك واخبرني بالضبط ايش المشكلة


الملفات المرفقة
.rar   synciosultdrm.rar (الحجم : 822.52 KB / التحميلات : 30)
____________________________________________
I AM RETIRED DO IT YOURSELF

اخيكم في الله معتزل فلاتنسوه من دعوة صالحة فقد ظلم نفسه اسال الله ان يغفر لي ولكم ماتقدم وماتاخر
البحث
أعضاء أعجبوا بهذه المشاركة : the9am3 , smix0024 , mohamad , ExCodeMaker , sitifis , xdvb_dz , rce3033
the9am3 غير متصل
.: كراكر بـ AT4RE :.
*****
AT4RE Cracker
المشاركات : 955
المواضيع : 46
الإنتساب : Oct 2019
السمعة : 19
الإعجاب المعطى : 1501
الإعجاب المحصل : 2139
#4
24-07-2020, 09:58 PM (آخر تعديل لهذه المشاركة : 25-07-2020, 09:08 AM بواسطة the9am3.)
ولو متاكد فك الضغط تبع ابو البراء شغال 100% 
لكن انا ايضا حاولت معاه وفكيت الضغط .. 
وارفقتلك الملف مفكوك ... 

وللافادة :-
اقتباس من شروحات ابو البراء للوصول الى نقطة الوصول نستعمل هذا النمط :
FF 15 ?? ?? ?? ?? 89 45 FC 83 7D FC 00 75 ??

الملف يتم جلبه عند تسجيل يعني يكون بنداء قبل القفزة الي تذهب الى رسالة تسجيل الخطاء


في المرة القادمة ضع استفسارك بقسم الاستفسارات
البحث
أعضاء أعجبوا بهذه المشاركة : Newhak , mohamad , ExCodeMaker , xdvb_dz , rce3033
ExCodeMaker غير متصل
ضيف شرف
*****
VIP Member
المشاركات : 283
المواضيع : 85
الإنتساب : May 2020
السمعة : 35
الإعجاب المعطى : 274
الإعجاب المحصل : 758
#5
25-07-2020, 05:36 AM (آخر تعديل لهذه المشاركة : 25-07-2020, 05:41 AM بواسطة ExCodeMaker.)
اولا، انا سعدت جدا بمشاركتكم ومساعدتكم. بارك الله فيكم وحفظكم اخواني الكرام

الفك الذي تفضل به الاخ ابو البراء تماما كما الذي وصلت اليه، وحتى وصلت اليه بخطوتين فقط بعمل نقطة توقف على تنفيذ بلوك الذاكرة لان الحماية لايوجد بها IAT Ellimination او CodeSplicing
وبها نفس المشكلة التي عندي، فزاد فضولي لمعرفة ما السبب! لذا عملت فيديو توضيحي لبيان المشكلة بالتفصيل، لعلنا نستفيد منها، خاصة انه من الواضح في هذا الموقع خبرات حقيقية امثال الاستاذ ابو البراء والزملاء الاخرين الذين ارى مشاركاتهم القيمة. جزاهم الله خير الجزاء.

ردا على ملاحظاتكم:
- انا لا اسعى لفك البرنامج فقط، فهو لدي مفكوك بطريقة باتش ولكن وددت ان امارس مهاراتي في Armadillo التي تركتها منذ زمن، فاصطدمت بهذه الظاهرة
- الصورة التي استخدمتها لا تشير الى نقطة البداية، والفك لدي صحيح، امل ان الفيديو يوضح ذلك
- طبعا انا اعرف ان الملف يستدعى فقط عند الحاجة، تتبعته ووضعت نقطة توقف عند استدعاءه وتنفيذه
- شكرا على التذكير، ساقوم ان شاء الله وضع المشاركة في المكان المناسب
- اخي the9am3 الملف لا يمكن تنزيله

هذا هو الفيديو التوضيحي:

http://www.mediafire.com/file/ye4xaos93q...s.rar/file
البحث
أعضاء أعجبوا بهذه المشاركة : samoray , Newhak , rce3033
the9am3 غير متصل
.: كراكر بـ AT4RE :.
*****
AT4RE Cracker
المشاركات : 955
المواضيع : 46
الإنتساب : Oct 2019
السمعة : 19
الإعجاب المعطى : 1501
الإعجاب المحصل : 2139
#6
25-07-2020, 09:09 AM (آخر تعديل لهذه المشاركة : 25-07-2020, 10:00 AM بواسطة the9am3.)
تفضل اخي
https://www64.zippyshare.com/v/PIwplSWU/file.html

الملفين مفكوكين عند فك ضغط الملف synciosultdrm.dll سيكتشف البرنامج فك الضغط ويضع بداله ملف   recoverydrm.dll وهو ايضا ارماديلو

وهنا 
015D6773 | C785 E8FDFFFF 00000000   | mov dword ptr ss:[ebp-0x218],0x0               |
rva=266773
اذا وضعنا قيمة 2 سيصبح البرنامج ultimate 
1- professional
2-ultimate
البحث
أعضاء أعجبوا بهذه المشاركة : Newhak , sitifis , rce3033
ExCodeMaker غير متصل
ضيف شرف
*****
VIP Member
المشاركات : 283
المواضيع : 85
الإنتساب : May 2020
السمعة : 35
الإعجاب المعطى : 274
الإعجاب المحصل : 758
#7
25-07-2020, 11:20 AM
نفس المشكلة!

ايضا البداية في الملف المرسل غير صحيحة OEP راجع النسخة التي ارسلها الاخ ابو البراء

هل اطلعت على الفيديو ؟
البحث
أعضاء أعجبوا بهذه المشاركة : Newhak
Newhak مبتعد
معتزل
*****
VIP Member
المشاركات : 857
المواضيع : 90
الإنتساب : Jan 2019
السمعة : 25
الإعجاب المعطى : 1256
الإعجاب المحصل : 2396
#8
25-07-2020, 12:24 PM (آخر تعديل لهذه المشاركة : 25-07-2020, 12:53 PM بواسطة Newhak.)
(25-07-2020, 05:36 AM)ExCodeMaker كتب : من الواضح في هذا الموقع خبرات حقيقية امثال الاستاذ ابو البراء

والله يااخي نحن كلنا مبتدئين وفقط نتعلمو يوم بعد يوم مع اني تركت المجال واعتزلته فقط ادخل في بعض الاحيان للمساعدة او مشاركة شي يمكن ان يستفيد منه الاخرين

اخي الحبيب كلامك صحيح ولاغبار عليه
الفك سهل والملف به مشكلة Relocation واذا رجعت الى مشاركتي في الاعلى رقم 3 كنت قد اشرت لذلك

لكن من خبرتي المتواضعة جدا مع ارماديليو افضل الاونلاين والذي سايجنبك الكثير من المشاكل اذا تمكنت منه طبعا اذا اردت ان تحقن الملف المكتبي اما اذا اردت فقط تكسر البرنامج فاعتقد تحتاج تغير نصف بايت في الملف التنفيذي مع العلم انا الملف التفيذي نفسه يستخدم ASLR

RAV = 266773
____________________________________________
I AM RETIRED DO IT YOURSELF

اخيكم في الله معتزل فلاتنسوه من دعوة صالحة فقد ظلم نفسه اسال الله ان يغفر لي ولكم ماتقدم وماتاخر
البحث
أعضاء أعجبوا بهذه المشاركة : ExCodeMaker , farfes , sitifis , rce3033
the9am3 غير متصل
.: كراكر بـ AT4RE :.
*****
AT4RE Cracker
المشاركات : 955
المواضيع : 46
الإنتساب : Oct 2019
السمعة : 19
الإعجاب المعطى : 1501
الإعجاب المحصل : 2139
#9
25-07-2020, 12:59 PM (آخر تعديل لهذه المشاركة : 25-07-2020, 01:15 PM بواسطة the9am3.)
للافادة للجميع هذه هي الاداءة الي تعمل اعادة عنونة مع الشرح :
+
اعتقد ايضا يمكن عملها بواسطة Armadillo Reducer 1.7.1 RC2


الملفات المرفقة
.rar   ReloX_Tutorial.rar (الحجم : 110.01 KB / التحميلات : 52)
.rar   ReloX_Help_GUI_03.rar (الحجم : 8.52 KB / التحميلات : 39)
البحث
أعضاء أعجبوا بهذه المشاركة : Newhak , ExCodeMaker , xdvb_dz , sitifis , rce3033
Newhak مبتعد
معتزل
*****
VIP Member
المشاركات : 857
المواضيع : 90
الإنتساب : Jan 2019
السمعة : 25
الإعجاب المعطى : 1256
الإعجاب المحصل : 2396
#10
25-07-2020, 01:18 PM (آخر تعديل لهذه المشاركة : 25-07-2020, 01:22 PM بواسطة Newhak.)
(25-07-2020, 12:59 PM)the9am3 كتب : للافادة للجميع هذه هي الاداءة الي تعمل اعادة عنونة مع الشرح :

اخي الحبيب هذا الاداءة تستخدم لاصلاح relocation بعد الفك وفي حالة ان الملف المفكوك لايعمل لذلك تقوم باستخدامها

اما في هذه الحالة فالملف المفكوك يعمل بدون مشاكل والغريب ان الملف المضغوط ساتجد انه لايستخدم نفس التقنية وفى كلا الحالتين انا لم اجد مبرر للتغير في الملف المكتبي لان البرنامج يكسر في الملف التنفيذي
____________________________________________
I AM RETIRED DO IT YOURSELF

اخيكم في الله معتزل فلاتنسوه من دعوة صالحة فقد ظلم نفسه اسال الله ان يغفر لي ولكم ماتقدم وماتاخر
البحث
أعضاء أعجبوا بهذه المشاركة : the9am3 , rce3033


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 2 ) ضيف كريم