قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | إصدارات الفريق | من نحن ؟ | تبرع للموقع

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers v
برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة

تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
برنامجٌ أخرجني من عقلي ولم أجد الحل أرجو المساعدة
mounirsoltan غير متصل
.: عضو متميز :.
***
المشاركات : 105
المواضيع : 17
الإعجاب المحصل: 1
الإعجاب المعطى: 1
الإنتساب : Nov 2020
السمعة : 10
#1
Lightbulb  16-05-2021, 07:10 PM
السلام عليكم ورحمة الله وبركاته
مرحبا اخوتي المتخصصين في الهندسة العكسية بما أن هذا أول موضوع لي هنا أردت أن أشكركم على دروسكم القيمة التي ساعدتني مع العديد من البرامج  good
البرنامج الذي أريد كسره هذه المرة صعبٌ بعد الشيء بالنسبة لي ربما لأنه مازال لدي الكثيرة لاتعلمه  Undecided

إسم البرنامج : CashBot
لنك التحميل الأصلي : هنا
نواة البرنامج: 64bit
نوع الحماية :
[صورة مرفقة: s-Y38he-A-RROg-Nm-Vy-R-76-Q.png]

[صورة مرفقة: ZSCo-N0-Ta-Rkes-BQyl1-Tv-H1g.png][صورة مرفقة: 1307502]
[صورة مرفقة: 1305s4y]
Cafe هنا جربت العديد من الدروس من أجل فك هذه الحماية ( enigma) على x64dbg لكن لم ينفع أي شيء ...
هنا لدي بعض الأسئلة للاخوة المحترفين :
  • ما مقدار صعوبة هذا النوع هذه الحماية ؟
    • هل هناك إضافة ك ODBGSCRIPT على x64dbg يسهل هذا أأمر ؟
    •  
    • [صورة مرفقة: download-2.png]
    •  
  • بعد فشل فك الضغط اضطررت على التعامل مع هذا بوت وهو محمي فقمت بالإستعانة بأداة PYG_DLL_Patcher_x64 memory  لكن لم تنجح عملية hooking  Sleepy رغم أنها تشتغل في كل tutorial التي شاهدتها هنا نقطة إستفهامٍ أيضاً  Dodgy  لم أعرف أين هو الخطأ  Huh
  • رغم ذلك واصلت السعي لتكسيره  Angry في هذه المرة بعدما توصلت للقفزة التي يتثبت منها من بيانات المستخدم وتجاوزتها البرنامج يضهر بهذه الحالة  Confused [صورة مرفقة: download-1.png]
  •  اعتذر عن الاطاله في الموضوع ولكني تعبت كثيراً وأردت أن اشارككم تجربتي كما هي مالذي توصلت إليه في الأخر على حسب خبرتي البسيطة :
  • البرنامج عندما يتصل بالسرفير فإنه يتوصل بملف سكربت بصيغة json ليكمل تشغيل البرنامج قمت باكتشاف ذلك عنطريق HTTP Debugger 
  •  
  • [صورة مرفقة: download.png]
  •  
  • هنا في ملف engine.dll المسؤول على مراحل تشغيل البرنامج كان هناك شيءٌ له علاقة بإختفاء نوافذ البرنامج ورغم وضع breakpoint لم أصل لشيء .
من فضلكم المساعدة لقد يئست حقاً ...... help
البحث
the9am3 غير متصل
.: عضو سابق بـ AT4RE :.
*****
Retired
المشاركات : 955
المواضيع : 46
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Oct 2019
السمعة : 10
#2
16-05-2021, 09:53 PM (آخر تعديل لهذه المشاركة : 16-05-2021, 10:06 PM بواسطة the9am3.)
وعليكم السلام البرنامج Server Side فمااعتقد يمكنك عمل شي لان عند طلب الدخول سيطلب سكريبت الواجه الخاصة بعمل اعدادات التخمين (الملفات والسكريبتات موجودة على السرفر) ... يمكنك تحميل البرنامج من هنا
https://bablosoft.com/distr/FastExecuteS...ed.x64.zip
ولن يطلب تسجيل دخول لكن بما ان سكريبت الواجه غير موجود فلن تستطيع اضهاراها الا اذا وجدت هذا السكريبت من شخص عنده حساب او اذا شخص يعطيك فقط ملف الكونقيق فيكمنك تشغيله

الرسالة الخطاء تاتي من السرفر بهذا الرد 

https://bablosoft.com//scripts/Instagram777/last/data
{
   "message" : "Wrong credentials",
   "script" : "",
   "success" : false
}

وهذا واجه تسجيل الدخول 

https://bablosoft.com//apps/Instagram777/logininterface

(تقريبا نقدر نقول البرنامج عبارة عن متصفح)
البحث
mounirsoltan غير متصل
.: عضو متميز :.
***
المشاركات : 105
المواضيع : 17
الإعجاب المحصل: 1
الإعجاب المعطى: 1
الإنتساب : Nov 2020
السمعة : 10
#3
17-05-2021, 12:20 AM
Salam
أخي شكراً جزيلاً على التجاوب مع الموضوع  Blush
كلامك صحيح كان لدي بعض الشكوك من تلك الناحية وقد تمكنت من الحصول على فترة تجريبية لمدت يوم  
email=yKLN9MGE
Pass=rkbqx3Kf
وأريد دمج سكريبت الواجه مع البرنامج ليعمل بدون إتصال  ok ​​​​​​​ هل يمكن المساعدة وإرفاق شرحٍ بسيطٍ  خاصةٍ لفك الضغط أو لكيفية اتغلب على تلك الحماية ودمج اسكريبت
لتعم الفائدة عالجميع لأنه يعتبر من البرامج التي لم يأتي على شرحها أحداً في منتديات عربية أو أجنبية وشكراً جزيلاً  Heart
البحث
Cyros غير متصل
.: عضو مثابر :.
**
المشاركات : 78
المواضيع : 17
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Aug 2020
السمعة : 0
#4
17-05-2021, 01:14 AM
وعليكم السلام
إقتباس :بأداة PYG_DLL_Patcher_x64 memory  لكن لم تنجح عملية hooking
اعمل hook لمكتبة version.dll بشكل يدوي افضل من استخدام الاداة PYG
استخدم هذا   version.dll proxy
https://github.com/advancedmonitoring/Pr...01_TryHard
افحص اي دالة يستخدمها البرنامج من مكتبة version.dll ثم ضع كود الكتابة بتلك الدالة  
ان اخفقت معك الدالة WriteProcessMemory بالكتابة على ذاكرة البرنامج قم بالكتابة بشكل مباشر عبر المسجلات (لاتنسى استخدام الدالة VirtualProtect قبل الكتابة  والا سيحدث خطأ Access violation ) مثلا هكذا
DWORD OLDP;
VirtualProtect((LPVOID)0xTargetAddress,0x01,PAGE_EXECUTE_READWRITE,&OLDP);
__asm{
mov eax,TargetAddress
mov byte ptr ds:[eax],0xByteShouldBeWritten
}
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
البحث
mounirsoltan غير متصل
.: عضو متميز :.
***
المشاركات : 105
المواضيع : 17
الإعجاب المحصل: 1
الإعجاب المعطى: 1
الإنتساب : Nov 2020
السمعة : 10
#5
17-05-2021, 10:11 AM (آخر تعديل لهذه المشاركة : 17-05-2021, 10:26 AM بواسطة mounirsoltan.)
تحديث إعدادات الدخول ليوم : ⏳ 17.05.2021 ⏳ لمن يريد المساعدة في دمج سكريبت الواجه مع البرنامج ليعمل بدون إتصال

user=GsNhye37
Pass=7s4g9K6e
(17-05-2021, 01:14 AM)Cyros كتب : اعمل hook لمكتبة version.dll بشكل يدوي افضل من استخدام الاداة PYG
استخدم هذا   version.dll proxy
https://github.com/advancedmonitoring/Pr...01_TryHard
افحص اي دالة يستخدمها البرنامج من مكتبة version.dll ثم ضع كود الكتابة بتلك الدالة  
ان اخفقت معك الدالة WriteProcessMemory بالكتابة على ذاكرة البرنامج قم بالكتابة بشكل مباشر عبر المسجلات (لاتنسى استخدام الدالة VirtualProtect قبل الكتابة  والا سيحدث خطأ Access violation ) مثلا هكذا
DWORD OLDP;VirtualProtect((LPVOID)0xTargetAddress,0x01,PAGE_EXECUTE_READWRITE,&OLDP);
__asm{
mov eax,TargetAddress
mov byte ptr ds:[eax],0xByteShouldBeWritten
}

شكرا جزيلا أخي  Wink لو أمكن شرح عملي أو أحد الدروس يشرح طريقتك هذه وشكرا 
البحث
dani_jassm غير متصل
.: عضو نشيط :.
*
المشاركات : 36
المواضيع : 10
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Mar 2021
السمعة : 0
#6
22-07-2021, 11:56 PM
(16-05-2021, 07:10 PM)mounirsoltan كتب : في هذه المرة بعدما توصلت للقفزة التي يتثبت منها من بيانات المستخدم وتجاوزتها البرنامج يضهر بهذه الحالة  Confused

صديقي ممكن تسوي فيديو او تفيدني معلومه عن هاي القفزه
البحث


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 3 ) ضيف كريم