دخول

Untold

السلام عليكم ورحمة الله وبركاته

[-]PE: protector: Babel .NET(1.0-2.X)
[-]PE: protector: Dotfuscator(-)
[-]PE: protector: Goliath(-)
[-]PE: protector: Yano(1.X)
[-]PE: library: .NET(v4.0.30319)
[-]PE: compiler: VB.NET(-)
[-]PE: linker: Microsoft Linker(80.0*)[EXE32]

كيف اقوم بفك هذه الحمايات ؟

**Gu-sung18**

يبدوا ان برنامجك محمي بأكثر من حماية واحدة وهو برنامج مكتوب بلغة VB.NET
بعد بحث فان برنامج https://github.com/0xd4d/de4dot قادر على فك ثلاث من حماياتك حسب صفحة البرنامج على github
فهو قادر على فك
Babel.NET
Dotfuscator
Goliath.NET
والحماية الاخيرة Yano لا اعرف ان كان بإمكان de4dot فكها لعدم خبرتي بلغات الدوت نت أولاً ولعدم استخدامي للبرنامج من قبل ثانياً.
ولكني وجدت هذا البرنامج https://github.com/XenocodeRCE/YanoDeobfuscator الذي يمكنه فكها حسب صفحة البرنامج على github

rhopalocera · 04-01-2019, 08:40 PM

عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...

الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.

Untold

عند محاولة عمل Dump يكتشفها البرنامج ويغلق نفسه

[صورة مرفقة: vWh9ZYQ.jpg]

يكشف برنامج الـ Mega Dumber ويطفي نفسه عشان ما اعمله Dump

rhopalocera · 06-01-2019, 03:56 PM

توجد بعض الخدع البسيطة التي تتيح تجاوز الكشف اذا كان هذا الأخير مبني على فحص العمليات و تطابق اسم الملف...
- جرب تشغيل البرنامج المستهدف اولا ثم MegaDumper.
- جرب اعادة تسمية الملف التنفيذي على القرص MegaDumper الى اسم آخر.
- جرب كبديل NETUnpack لعمل دامب:

https://ntcore.com/?page_id=353

Untold · 06-01-2019, 07:31 PM

جربت اعادة التسمية وايضا غير الاسم باستخدام resource hacker

كنت بدي اغير كلاس نيم بس نسيت كيف الطريقة
رح اجرب البرنامج الي ذكرته حضرتك

Untold · 06-01-2019, 09:00 PM

لم ينجح برنامج NETUnpack باخذ دامب للاسف

[email protected] · 06-01-2019, 09:09 PM

هل يمكنك رفع البرنامج حتى نحاول معه

دخول
إسم المستخدم :
كلمة المرور :	فقدت كلمة المرور ؟
	تذكرني