عـيـنة عينات يستحق النظر لها (1)

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله

السلام عليكم ورحمه الله وبركاته

فى سبيل زياده الوعى الامنى وتحفيز قدرات التحليل لدى الاعضاء

تقرر نشر عينات يستحق النظر اليها من قبلى للتحليل و ليس الفحص

لزياده المناقشه بين الاعضاء ووضع البرامج تحت الاختبارات القاسيه

العينات التى ستطرح ليست من برمجتى لذلك يرجى توخى كافه الاحتياطات اللزمه عند التحليل

المطلوب هو المشاركه بفاعليه فى هذه النوع من التحليلات ( لا يشترط التجربه على اليدوى او الحقيقى )

الغرض هنا زياده قدرات التحليل والاعتماد على النفس فى تحليل العينات المطروحه

هل هى خبيثه ام حميه

ايضا كل من سيشارك يقوم بشرح تحليله الخاص للملف من خلال برنامجه

ويعطى رائيه بخصوص سلوكيات الملف

لتحميل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

باس فك الضغط

infected

بالتوفيق للجميع
 

توقيع : black007
جاري نسفها
 
توقيع : MagicianMiDo32
الحقن في المتصفح
 
توقيع : tiktoshitiktoshi is verified member.
توقيع : MagicianMiDo32
SOFTWARE\Borland\Delphi\RTL
software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders
SOFTWARE/Microsoft/Windows/CurrentVersion

C:\default.html

Software\Microsoft\Active Setup\Installed Components\StubPath
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Software\Microsoft\Windows\CurrentVersion\Run
explorer.exe
 
توقيع : tiktoshitiktoshi is verified member.
علشان كده انا قولت للتحليل

هل اضع البيانات وشرح سريع للطريقه ام انتظر قليلا
 
توقيع : black007
[hide]

البيانات

برمجه السرفر : دلفى

نوع السرفر : CyberGate

الاى بى : 46.152.19.118

الهوست : bncv00.no-ip.info

البورت : 999

النزول باسم : C:\directory\CyberGate\install\server.exe

يقوم برزراعه قيم فى الرجيسترى startup

يقوم بحقن العمليه فى explorer.exe


[/hide]
 
توقيع : black007
بانتظار تحليل الشباب
 
توقيع : black007
دا الواد الي عامل البتاع دا ابن تيت

بيتخطى الساندبوكس والجهاز الوهمي


VBoxService.exe




بص بيقولي أيه لما جبته بالـ Apate DNS


بيضحك عليا يا صاحبي

بل.webp
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
دا الواد الي عامل البتاع دا ابن تيت

بيتخطى الساندبوكس والجهاز الوهمي


VBoxService.exe




بص بيقولي أيه لما جبته بالـ Apate DNS


بيضحك عليا يا صاحبي

مشاهدة المرفق 98206
أنقر للتوسيع...

بالفعل الملف مخادع بشكل كبير

يتخطى الوهمى ولحظت ذلك عند التحليل لكنى لم اذكر ذلك

حتى الان لم يتفاعل احد غيرك ياميدو
 
توقيع : black007
الملف دا كنت فاكر شفته قبل كدا في عينة أجنبية
هو نفسه

هعغف.webp


لاز ز.webp
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
الملف دا كنت فاكر شفته قبل كدا في عينة أجنبية
هو نفسه

مشاهدة المرفق 98213

مشاهدة المرفق 98214
أنقر للتوسيع...

انت لسه شفت حاجه ياعم ميدو

ده لسه فى ملفات هتعجبك لمه انشرها

منهم ملف دوت نت من الى بتحبهم بس مش متشفر فيه شغل حلو

ransomware locker

بس مش هنشره الاول فى ملف برمجته فيجول بيزك 6 هنشره الاول ونشوف ردود الافعال

مش عايز اتكلم عن الملف علشان لزيز
 
توقيع : black007
طب والنبي شوفلي حل مع الملف البضين دا

هو فيه سيرفرين باين
Chrome
و
Server.exe


كل شوية يقولي hahaha testing

مش راضي يطلع الهوست أبدا

أجيبه يمين أروحله شمال أبدا
عملت معاه كل حاجة

يمكن علشان نظامي 64 بت
وهو بيتخطى الوهمي \\ عرفته من PE Studio
بيجيبلي نافذة خطأ لما اشغله
علشان طبعا انت عارف أنا مش عارف فالهندسة العكسية ,, دوت نت بس , فبشغله
 
توقيع : MagicianMiDo32
عملت معاه فكرة حلوة علشان ميحقنش في الأكسبلورر وهو بيشتغل

هو بيجيب العملية بالإسم بتاعها Get Process by name


عملت ملف تبعي وسميته Explorer.exe

قام حقن فيه ,,محقنش في الأكسبلورر بتاع الويندوز
 
توقيع : MagicianMiDo32
عملتلك شرح سريع باستخدام ollydbg

لاستخراج الهوست والبورت معا

طبعا البرنامج غنى عن التعريف ويخليك تتوه اصلا لو هتحلل بيه

لكن ده تحليل سريع بيه علشان تستخرج الهوست والبورت

الاول استخدمت الدوال

LockResource استدعاء الريسورس لبدايه عمل الملف
RegCreateKeyW لتتتبع انشاء مفاتيح الرجيسترى
RegCreateKeyExW نفس السابقه
CreateProcessW لتتبع الحقن
CopyFileW لنسخ الملف

ثانيا كل داله وضعت بها نقطه توقف breakpoint

وبعدها شغل الملف

[hide]
i_f25de932b91.gif
[/hide]

والباقى تابعه فى الشرح المتحرك

استنى شويه لمه الصوره تتحمل بالكامل لان حجمها كبير شويه

بالتوفيق يامعلم
 
توقيع : black007
تسلم ياصاحبي
أنا جبته بالتشغيل

[hide]
dsfsf.webp
[/hide]


كنت بفحص في سيرفر تاني وتهت بينهم هههههههه
هيا نفس طريقة التشفير ودا انا ملاحظه كتير جدا في العينات الأجنبية
مميزة آه لكن عيكتيرة متشابهة

حاولت بالشوية الأولي الي أعرفهم بس مش عارف شكل فيه تخطي أو حاجة زي كدا
 
توقيع : MagicianMiDo32
أنا عملت نفس حركة الدوال دي
إبدأ من
LockResource

لكن قالي Cannot bypass
حاجة كدا

تقريبا نسخة الأولي بتاعتي قديمة
 
توقيع : MagicianMiDo32
حجمه 3 ميجا ههههه

ريريي.webp



بحثت عن النسخة الي انتا كنت شغال بلقيتها 43 ميجا

فرق في الأحجام سيدي الرئيس
 
توقيع : MagicianMiDo32
نسخه الاولى الخاصى بى هى فعلا حجمها كبير

لانها معدله وبها اسكربتات جاهزه لفك اغلب واقوى الحمايات

من افضل نسخ الاولى المعدله

الاجانب بيشتغل بنوع تشفير مختلف يعنى بيعتمدوا على برامج تشفير اليه عمها انها بتحط الملف فى الريسورس وتشفره

وليس فقط وضعه فى الريسورس

لذلك تجد ان اغلب الطرق لديهم غريبه ومتماثله

انتظر عينه اليوم كما ذكرت لك

ransomware locker

مبرمج دوت نت ولكنه للاسف غير محمى اكواده كلها مكشوفه بسهوله

ياريت اشوف تفاعل فى المواضيع لان حتى الان ليس هناك اى تفاعل
 
توقيع : black007
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى