عـيـنة عينات يستحق النظر لها (8)

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله

السلام عليكم ورحمه الله وبركاته

فى سبيل زياده الوعى الامنى وتحفيز قدرات التحليل لدى الاعضاء

تقرر نشر عينات يستحق النظر اليها من قبلى للتحليل و ليس الفحص

لزياده المناقشه بين الاعضاء ووضع البرامج تحت الاختبارات القاسيه

العينات التى ستطرح ليست من برمجتى لذلك يرجى توخى كافه الاحتياطات اللزمه عند التحليل

المطلوب هو المشاركه بفاعليه فى هذه النوع من التحليلات ( لا يشترط التجربه على اليدوى او الحقيقى )

الغرض هنا زياده قدرات التحليل والاعتماد على النفس فى تحليل العينات المطروحه

هل هى خبيثه ام حميه

ايضا كل من سيشارك يقوم بشرح تحليله الخاص للملف من خلال برنامجه

ويعطى رائيه بخصوص سلوكيات الملف

لتحميل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

باس فك الضغط

infected

بالتوفيق للجميع
 

توقيع : black007
مشكور اخى مصطفى على الطرح المميز
تم التجربة على البولجارد فحص وتشغيل
[hide]
1443985774641.png
[/hide]
التشغيل النوفا شيلد قتله بالتنبيه حيث يقوم بالعديل على الريجيستري .
[hide]
1443985956181.png
1443985929031.png
[/hide]
 
التعديل الأخير:
kamelden قال:
مشكور اخى مصطفى على الطرح المميز
تم التجربة على البولجالرد فحص وتشغيل
[hide]
1443985774641.png
[/hide]
التشغيل النوفا شيلد قتله بالتنبيه حيث يقوم بالعديل على الريجيستري .
[hide]
1443985956181.png
1443985929031.png
[/hide]
أنقر للتوسيع...

ممتاز جدا

لكن لم ترصد البيانات

حاول باحدى البرامج المساعده
 
توقيع : black007
kamelden قال:
مجرد محاولة بسيطة

[hide]
1443988078431.png
[/hide]
أنقر للتوسيع...

الملف مشفر و محمى جيدا

جرب الاسهل فالاسهل بالنسيه لك

Dump مع تجميد قبل التشغيل

بالتوفيق
 
توقيع : black007
[hide]
1.webp


2.webp


بتجربة الدمب فشل في التشغيل
كسر الحماية والبحث عن البيانات
الملف مشفر من الداخل
بالتتبع في الصورة الثانية لم يظهر شيء [/hide]
 
توقيع : SkY MaRvEL
وعليكم السلام ورحمة الله وبركاته

بارك الله فيك أخي مصطفى

وجدت ملف بإسم cmd.exe وله مدخلة في بدء التشغيل في الرجيستري وجاري التحليل

أضن ملف update.exe وهمي وملف cmd.exe هو المسؤول عن الإتصال ما رأيك أخي مصطفى ننتظر ردك

حاولت إستخراج البيانات الملف محمي جيدا

dfdf.webp



SDFDF.webp


 
توقيع : ALI 145
ممكن تجد الملف المحمي في unknow name او raw dump

كان عندي ملف بوتن رهيييب بصراحة وواضح انه بوت نت مدفوع ومشفر بقوة
السورس يتوه بصراحة وواضح ان المشفر فاهم مش حافظ
ما رأيك ان ارسله لك اخي بلاك
ان شاء الله سأحلل غدا لما ازوغ من المدرسة
 
توقيع : MagicianMiDo32
ALI 145 قال:
وعليكم السلام ورحمة الله وبركاته

بارك الله فيك أخي مصطفى

وجدت ملف بإسم cmd.exe وله مدخلة في بدء التشغيل في الرجيستري وجاري التحليل

أضن ملف update.exe وهمي وملف cmd.exe هو المسؤول عن الإتصال ما رأيك أخي مصطفى ننتظر ردك

حاولت إستخراج البيانات الملف محمي جيدا

مشاهدة المرفق 98751


مشاهدة المرفق 98752

أنقر للتوسيع...

بالفعل الملف وهمي والشغل كله في ملف cmd
 
توقيع : SkY MaRvEL
ALI 145 قال:
وعليكم السلام ورحمة الله وبركاته

بارك الله فيك أخي مصطفى

وجدت ملف بإسم cmd.exe وله مدخلة في بدء التشغيل في الرجيستري وجاري التحليل

أضن ملف update.exe وهمي وملف cmd.exe هو المسؤول عن الإتصال ما رأيك أخي مصطفى ننتظر ردك

حاولت إستخراج البيانات الملف محمي جيدا

مشاهدة المرفق 98751


مشاهدة المرفق 98752

أنقر للتوسيع...

بالفعل الملف يقوم بزراعه نفسه فى المسار الذى حددته اخى على

بعدما استخرجت البيانات تتبعت الاى بى المتصل مع المللف ووجدته ايطالى

اشك ان هناك امر ما فى هذا الملف اعتقد ان صاحبه يستخدم vpn او ما شابه

والشغل كل الملف المدعى cmd ومشفر جيدا ايضا

MagicianMiDo32 قال:
ممكن تجد الملف المحمي في unknow name او raw dump

كان عندي ملف بوتن رهيييب بصراحة وواضح انه بوت نت مدفوع ومشفر بقوة
السورس يتوه بصراحة وواضح ان المشفر فاهم مش حافظ
ما رأيك ان ارسله لك اخي بلاك
ان شاء الله سأحلل غدا لما ازوغ من المدرسة
أنقر للتوسيع...

حتى اذا استخدم ال dump لن يطلع بنتيجه جيده الملف صعب فى التحليل نوع ما

لان سينتج عندك اكثر من ملف

ملحوظه الملف ليس باتش اختراق عادى

وعلى اقصى تقدير اشك انه كيلوجر واستيلر معا

بالنسبه الملف الذى لديك ياميدو ( البوت نت ) ابعتهولى على الخاص

لنرى ما به

skymarvel قال:
بالفعل الملف وهمي والشغل كله في ملف cmd
أنقر للتوسيع...

كما ذكرت اخى حسين الملف صعب قليلا فى التعامل معه

لذلك لن ينفع معه dump لان الملفات المستخرجه لن تعرف ايها الصحيح

الملف ليس رات عادى

انما استيلر وكيلوجر مبرمج ومشفر باحترافيه
 
توقيع : black007
والله يا أخي بقيت ساعات ابحث عن طرف خيط لم اجد واعود لنقطة البداية كما في الصورة الثانية
 
توقيع : SkY MaRvEL
البيانات

[hide]

الهوست : sploithost.ddns.net

الاى بى : 95.250.26.212

البورت : 1316


[/hide]
 
توقيع : black007
المشكلة أن الواد حاطط البايت في الريسورس آجر استدعيه يقعد يعملي بريك , دورت على الخطأ في النت لقيته هيوجع دماغي قلت خليه لبكرة علشان مش فاضي
vd.webp


هو شكله بيستدعي الريسورس بالأسم وهو مشفر الأسم ممكن أجرب أستدعيه أنا بطريقة تانية بس بعد ما أفهم ال property دي بترجع نوعها ايه وازاي


[hide]
Capture.webp


[/hide]
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
المشكلة أن الواد حاطط البايت في الريسورس آجر استدعيه يقعد يعملي بريك , دورت على الخطأ في النت لقيته هيوجع دماغي قلت خليه لبكرة علشان مش فاضي
مشاهدة المرفق 98804

هو شكله بيستدعي الريسورس بالأسم وهو مشفر الأسم ممكن أجرب أستدعيه أنا بطريقة تانية بس بعد ما أفهم ال property دي بترجع نوعها ايه وازاي


[hide]
مشاهدة المرفق 98803

[/hide]
أنقر للتوسيع...

يعنى وصلت للفانكشن ووقفت على الفك

بس ايه رائيك فى الملف ده متشفر بطريقه غريبه مش كده

;222);222);222);222);222);222)
 
توقيع : black007
black007 قال:
يعنى وصلت للفانكشن ووقفت على الفك

بس ايه رائيك فى الملف ده متشفر بطريقه غريبه مش كده

;222);222);222);222);222);222)
أنقر للتوسيع...
:222D الراجل الي عامله دا اكيد فاضي :222p
بيقولي نودلز وrice
شكله صيني
 
توقيع : MagicianMiDo32
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى