• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تشفيرة عنيه بتاريخ 26/4/2017

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]http://www77.zippyshare.com/v/5deDT8Gn/file.html[/hide]

الباس

[hide]infected[/hide]

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع
 

توقيع : black007
وعليكم السلام ورحمة الله وبركاته

بارك الله فيك أخي مصطفى

كم كيلو باقي ونوصل ؟ :222D :whitedownpointing:

[hide]
p_481dxyxm1.png
[/hide]
 
توقيع : ihere
black007 قال:
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]http://www77.zippyshare.com/v/5deDT8Gn/file.html[/hide]

الباس

[hide]infected[/hide]

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع
أنقر للتوسيع...


السلام عليكم ورحمة الله وبركاته
أخي الكريم أريد أن اتعلم منكم ومعكم طرق التحليل
ولكن لا أعرف كيف
فهل من الممكن توفير البرامج المذكورة وشروحات لها
وطرق العمل عليها
بارك الله فيك وجزاك الله خيراً وجعله الله فى ميزان حسناتك
أفادنا الله بعلمك وعملك
 
توقيع : aldswqi
ihere قال:
وعليكم السلام ورحمة الله وبركاته

بارك الله فيك أخي مصطفى

كم كيلو باقي ونوصل ؟ :222D :whitedownpointing:

[hide]
p_481dxyxm1.png
[/hide]
أنقر للتوسيع...

:222LOL::222LOL::222LOL::222LOL::222LOL:

بمجرد قرائتى للعباره والاطلع على الصوره

فطست على روحى من كثر الضحك

ما احبه فيك سليمان انك تعطى نكهه خاصه للموضوع لترويق الاجواء من حولنا

وتاخذ الامور كلها ببساطه

تذكرنى بالغالى ميدو

اسال الله ان يعود الينا من الدراسه ويوفق ان شاء الله

استمر فى التحليل فانت فى الطريق الصحيح

(222y)(222y)(222y)

aldswqi قال:
السلام عليكم ورحمة الله وبركاته
أخي الكريم أريد أن اتعلم منكم ومعكم طرق التحليل
ولكن لا أعرف كيف
فهل من الممكن توفير البرامج المذكورة وشروحات لها
وطرق العمل عليها
بارك الله فيك وجزاك الله خيراً وجعله الله فى ميزان حسناتك
أفادنا الله بعلمك وعملك
أنقر للتوسيع...

اهلا بيك اخى الغالى

كما ذكرت فى اول الموضوع بعض المواضيع التى يتم كتابتها تجعل من يطلع عليها يمل منها

على الرغم من ان الاسلوب المتبع فى الشرح بسيط

ولكنها لا بد منها كما ذكرت حضرتك لانها تعتبر الشى الاساسى للتعلم

حيث ان تلك المواضيع واعزرنى انى لم اقوم بعد بعمل دوره مكتمله ربما قمت بكتابه موضوعين فيها وتركتها وذلك بسبب الظروف الخاصه بى

حيث ان يجب على ان اقوم بشرح طرق الفحص بشكل موسع اكثر ولا اهمل اى جزء كما تفعل بعض الدورات الاخرى التى ليس فيها اى شى من الاحترافيه

مجرد شرح لاستخدام الادوات دون فهم ما هيه PE تحديدا ( PE مصطلح خاص يطلق عليه portable executable فى مجال الحاسب الالى ) وانا لا اريد فعل ذلك

ولا يمكنن ان اقوم بشرح جميع الادوات التى ذكرتها ربما تاخذ وقت طويل نسيبا لفهم الاداه

لان ادوات الفحص الديناميكيه فى تتزايد يوميا بل وايضا يمكنك صناعه ادواتك الخاصه للفحص اذا كان عندك خبره برمجيه

الفكره تتمحور فى الطريقه والاسلوب المتبع فى استخدام تلك الادوات وجمعها كلها لكى تعطيك نتيجه نهائيه فى النهايه

على الرغم من ان بعض ادوات التحليل الديناميكى لا يعتمد عليها بشكل اساسى

انا شخصيا قمت بابتكار طريقتى الخاصه فى فحص واستكشاف الملفات ( مزج بين الطريق الديناميكى والاستاتيكى )

واعزرنى لان اشرح كيف فعلت ذلك لانها نابعه من عده تجارب واسلوب اكتسبته مع الوقت

حيث ان هناك بعض اجزاء من الملف عليك قرائتها بالطريقه الاستاتيكيه ولكن لحظه حتى تستطيع ان تقوم بقرائه تعليمات الملف

من الداخل بالطريقه الاستاتيكيه عليك ان يكون عند خلفيه فى اغلب برامج disassembler حيث ان كل لغه برمجيه

لها disassembler خاص بها

فى حين ان الاجزء الاخر تحتاج الى عمل debug لها

وتقوم بوضع عده نقاط توقف محدد فى اماكن تحددها انت وقت تشغيل الملف لتفهم اسلوب طريقه الملف الذى امامك

لذلك فى النهايه فضلت وضع العينه بشكل مباشر وقمت بنصحك ببعض الادوات التى تستخدمها لكى تنطلق فى تحليل العينه وتعتمد على نفسك

ارجو ان تكون فهمت فكرتى وما اريد ان اوصله لك

تحياتى وتقديرى
 
توقيع : black007
ألف شكر لك أخي مصطفى على هذا الطرح المميز ....
 
توقيع : أبو رمش
بعد فك تلك الحماية اللعينة ...
انتقلت للطريقة السهلة في جلب المعلومات :222D
"ادا كان من الضروري فك التشفير سأحاول لامشكلة "
يتم استعمال حسابين :
harrell02.duckdns.org
harrell01.duckdns.org
البورت: 7210
العملية :regasm.exe
الاي بي :175.156.82.18
 
بارك الله فيك اخونا مصطفى

ليس لي سابق ولا لاحق بهذه الامور

انما احببت ان اشكر لك طرحك المميز
 
توقيع : التميمي14
C-Man قال:
بعد فك تلك الحماية اللعينة ...
انتقلت للطريقة السهلة في جلب المعلومات :222D
"ادا كان من الضروري فك التشفير سأحاول لامشكلة "
يتم استعمال حسابين :
harrell02.duckdns.org
harrell01.duckdns.org
البورت: 7210
العملية :regasm.exe
الاي بي :175.156.82.18
أنقر للتوسيع...

احسنت يا غالى

من بعد اذنك قم بشرح طريقه وصولك للبيانات حتى يستفاد الجميع

التميمي14 قال:
بارك الله فيك اخونا مصطفى

ليس لي سابق ولا لاحق بهذه الامور

انما احببت ان اشكر لك طرحك المميز
أنقر للتوسيع...

ما فى مشكله اخى الغالى التميمى

من متابعه تلك المواضيع ستسفيد كثيرا حيث سيتم فيها نشر الطرق المتبعه فى الكشف

ويوما بعد يوم ستتعلم بنفسك

بالتوفيق
 
توقيع : black007
  • Like
التفاعلات: ihere
جزاك الله كل خير أخي الغالي مصطفى
 
توقيع : SASA G
السلام عليكم
للمهتمين بالفك اليدوي..
الملف محمي
تم استعمال اداة iMPROVE .NET Deobfuscator
p_485zvwm31.png

بعد الفك ..
++
(للمهتمين بفك التشفير)

p_4853ihck2.png

-----------
شخصيا انتقلت للطريقة التقليدية في الفحص (ديناميك)
المهم بعد التشغيل... تظهر عملية في البروسيسور تحت اسم "appd"

p_485gt2rg5.png

العملية المسؤولة عن ارسال البيانات "RegAsm"
p_4854ym6r3.png


تعديلات على الريجيستري....
p_485yfq5w1.png


++
تعديلات على النظام (يتم استدعاء القيم الموجودة في الريسورس)
p_4854w8874.png


++
p_4855r9m71.png


++
p_485w8gwh2.png



حاولت تلخيص الأمر قدر الامكان .. أتمنى تكون الامور واضحة للمهتمين ..
 
التعديل الأخير:
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى