قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | من نحن ؟ | تبرع للموقع | Donate

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers v
فك الحمايات

تقييم الموضوع :
  • 4 أصوات - بمعدل 2.25
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
فك الحمايات
Untold غير متصل
.: عضو متميز :.
***
المشاركات : 190
المواضيع : 65
الإعجاب المحصل: 0
الإعجاب المعطى: 2
الإنتساب : Oct 2018
السمعة : 6
#1
04-01-2019, 05:55 PM (آخر تعديل لهذه المشاركة : 12-01-2019, 08:10 PM بواسطة Gu-sung18. تعديل السبب: تعديل التنسيق )
السلام عليكم ورحمة الله وبركاته

 
[-]PE: protector: Babel .NET(1.0-2.X)
[-]PE: protector: Dotfuscator(-)
[-]PE: protector: Goliath(-)
[-]PE: protector: Yano(1.X)
[-]PE: library: .NET(v4.0.30319)
[-]PE: compiler: VB.NET(-)
[-]PE: linker: Microsoft Linker(80.0*)[EXE32]
PHP


كيف اقوم بفك هذه الحمايات ؟
البحث
Gu-sung18 غير متصل
.: عضو سابق بـ AT4RE :.
*****
Retired
المشاركات : 454
المواضيع : 33
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Oct 2018
السمعة : 0
#2
04-01-2019, 07:42 PM (آخر تعديل لهذه المشاركة : 12-01-2019, 08:08 PM بواسطة Gu-sung18.)
يبدوا ان برنامجك محمي بأكثر من حماية واحدة وهو برنامج مكتوب بلغة VB.NET
بعد بحث فان برنامج https://github.com/0xd4d/de4dot قادر على فك ثلاث من حماياتك حسب صفحة البرنامج على github
فهو قادر على فك
Babel.NET
Dotfuscator
Goliath.NET
والحماية الاخيرة Yano لا اعرف ان كان بإمكان de4dot فكها لعدم خبرتي بلغات الدوت نت أولاً ولعدم استخدامي للبرنامج من قبل ثانياً.
ولكني وجدت هذا البرنامج https://github.com/XenocodeRCE/YanoDeobfuscator الذي يمكنه فكها حسب صفحة البرنامج على github
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
rhopalocera غير متصل
.: عضو نشيط :.
*
المشاركات : 4
المواضيع : 0
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Dec 2018
السمعة : 0
#3
04-01-2019, 08:40 PM
عمل دامب للملف المحمي يتيح التخلص من بعض الحمايات، و تمرير الملفات الناتجة من الدامب على de4dot يعمل احيانا...

الخطوات:
1- دامب للملف المستهدف بــ MegaDumper.
2- تمرير الملفات الناتجة على de4dot.
3- تمرير الملفات التي عالجها de4dot على Simple Assembly Explorer (SAE) لفك النصوص.
¯\_(ツ)_/¯
البحث
Untold غير متصل
.: عضو متميز :.
***
المشاركات : 190
المواضيع : 65
الإعجاب المحصل: 0
الإعجاب المعطى: 2
الإنتساب : Oct 2018
السمعة : 6
#4
06-01-2019, 02:52 PM (آخر تعديل لهذه المشاركة : 06-01-2019, 03:22 PM بواسطة Untold.)
عند محاولة عمل Dump يكتشفها البرنامج ويغلق نفسه 

[صورة مرفقة: vWh9ZYQ.jpg]
يكشف برنامج الـ Mega Dumber ويطفي نفسه عشان ما اعمله Dump
البحث
rhopalocera غير متصل
.: عضو نشيط :.
*
المشاركات : 4
المواضيع : 0
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Dec 2018
السمعة : 0
#5
06-01-2019, 03:56 PM
توجد بعض الخدع البسيطة التي تتيح تجاوز الكشف اذا كان هذا الأخير مبني على فحص العمليات و تطابق اسم الملف...
- جرب تشغيل البرنامج المستهدف اولا ثم MegaDumper.
- جرب اعادة تسمية الملف التنفيذي على القرص MegaDumper الى اسم آخر.
- جرب كبديل NETUnpack لعمل دامب:
https://ntcore.com/?page_id=353
PHP
¯\_(ツ)_/¯
البحث
Untold غير متصل
.: عضو متميز :.
***
المشاركات : 190
المواضيع : 65
الإعجاب المحصل: 0
الإعجاب المعطى: 2
الإنتساب : Oct 2018
السمعة : 6
#6
06-01-2019, 07:31 PM
جربت اعادة التسمية وايضا غير الاسم باستخدام resource hacker

كنت بدي  اغير كلاس نيم بس نسيت كيف الطريقة
رح اجرب البرنامج الي ذكرته حضرتك
البحث
Untold غير متصل
.: عضو متميز :.
***
المشاركات : 190
المواضيع : 65
الإعجاب المحصل: 0
الإعجاب المعطى: 2
الإنتساب : Oct 2018
السمعة : 6
#7
06-01-2019, 09:00 PM
لم ينجح برنامج NETUnpack  باخذ دامب للاسف
البحث
R@sfa.NET غير متصل
.: عضو مثابر :.
**
المشاركات : 70
المواضيع : 2
الإعجاب المحصل: 0
الإعجاب المعطى: 0
الإنتساب : Oct 2018
السمعة : 0
#8
06-01-2019, 09:09 PM
هل يمكنك رفع البرنامج حتى نحاول معه
الموقع البحث


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم