• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

الحالة
مغلق و غير مفتوح للمزيد من الردود.

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

الباس

[hide]infected[/hide]

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع
 

توقيع : black007
13253385113.gif

365986259.gif
 
توقيع : رضا سات
  • Like
التفاعلات: ihere
السلام عليكم
ستتم المحاولة ان شاء الله في المساء ..
كنظرة بسيطة على العينة
p_504wa6ll1.png


هل حاولت فك القيمة ؟ لكي لايضيع جهدي سدى:222D:222D
 
السلام عليكم
ستتم المحاولة ان شاء الله في المساء ..
كنظرة بسيطة على العينة
p_504wa6ll1.png


هل حاولت فك القيمة ؟ لكي لايضيع جهدي سدى:222D:222D

هذا ما كنت اقصده بتعقيد بعض عينات الدوت نت

هذه التشفيره معموله بعنايه فائقه

تحتوى على رات من نوع NanoCore وهذا الرات تحديدا ارفع له القبعه

لانه يعتبر الاصعب فى كشف الهوست والبورت عن اى رات اخر

لان كل شى به يعتمد على Plugin ولا يستخدم اى شى بشكل مباشر وحجم السرفر الخاص به كبير نوع ما

بالتوفيق فى الفك
 
توقيع : black007
لك كل الشكر أخي الغالي مصطفى
 
توقيع : SASA G
  • Like
التفاعلات: ihere
السلام عليكم
أعتذر عندي ظروف دراسية (اختبارات) لاتسمح لي بالمواصلة
وبالأخص أن العينة تحتاج وقت لكتابة الخوارزمية وفك التشفير ..
rq3l1th7b6iv.png

للمهتمين خوارزمية جاهزة للفك بالبايثون
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


الى الملتقى شباب .. بالتوفيق لكم ..
 
السلام عليكم
أعتذر عندي ظروف دراسية (اختبارات) لاتسمح لي بالمواصلة
وبالأخص أن العينة تحتاج وقت لكتابة الخوارزمية وفك التشفير ..
rq3l1th7b6iv.png

للمهتمين خوارزمية جاهزة للفك بالبايثون
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


الى الملتقى شباب .. بالتوفيق لكم ..

شكرا لك اخى الغالى على المحاوله + اضافه الاسكربت

بانتظار عودتك اخى الغالى للمتابعه

وبالتوفيق لك فى الاختبارات
 
توقيع : black007
ستتم مراجعة كل العينات ان شاء الله لاحقا
الان امر بظروف عمل ضيقة جدا $$
^^ شكرا على الرفع
 
ستتم مراجعة كل العينات ان شاء الله لاحقا
الان امر بظروف عمل ضيقة جدا $$
^^ شكرا على الرفع

مونامي ههههههههه
 
تابعني حتى هنــا ابوراس ههههه
داك اللي على بالك ^^ صياد النعام ..
 
  • Like
التفاعلات: at810
تابعني حتى هنــا ابوراس ههههه
داك اللي على بالك ^^ صياد النعام ..
متبعكش -_- عندنا نفس الادواق هههههه
سبحان الله .. جد جد سعيد بتواجدك هنا يا خبير ;)
انا حافظت على اسم العضوية لذلك قمت بكشفي هههه
هههه العينات تنتظرنا و الظروف لا تساعدنا ...
صياد النعام تقبل مروري و بالتوفيق في الاختبارات ^^
 
متبعكش -_- عندنا نفس الادواق هههههه
سبحان الله .. جد جد سعيد بتواجدك هنا يا خبير :wink:
انا حافظت على اسم العضوية لذلك قمت بكشفي هههه
هههه العينات تنتظرنا و الظروف لا تساعدنا ...
صياد النعام تقبل مروري و بالتوفيق في الاختبارات ^^

الله يحفظك أستاذي .. لي الشرف يتواجدك :)
ان شاء الله بعد الاختبارات ..
 
تم تجربة فتح العينة من غير انتي فايروس لتجربة حاولت رصد اتصال
عن طريق tcpview لايوجد شي 222o_O عينة تجلب الياس لاحضت وجود
عمليتين جديدتين MSBuild.exe يعمل تحتها cswuzynfx.exe تم ضغط
الملف وفحصة بالكاسبر وكتشف انه تروجان لكن السؤال لماذا لايوجد
اثر لاي اتصال
 
توقيع : prooonet
بعد ساعات طويلة ومحاولات عديدة هذا ماتوصلت له

8762a26743d8b67.jpg


4fd0b1c4cddb231.jpg


1f22f93caa008fa.jpg


7d5a503a6b9545d.jpg


4b2b8294448af30.jpg


c47e12c37c8d32a.jpg


اكواد مشفرة توحي لوجود اوامر حماية وحماية للهوست
واوامر عمل بالخفاء و ايبي ادرس لاكن لم استطع الوصول
الى شي علامات واضحة لوجود تجسس لاكن من غير الوصول
للمعلومات بشكل كامل

كود:
public static bool #=qd7RJPnCy4YddvoQeTJhlwA==(IPAddress #=qhA4OqIvVSMpJakxtoytoCw==)
{
    byte[] buffer;
    if (#=qhA4OqIvVSMpJakxtoytoCw==.AddressFamily != AddressFamily.InterNetwork)
    {
        return false;
    }
    if (8 != 0)
    {
        buffer = #=qhA4OqIvVSMpJakxtoytoCw==.GetAddressBytes();
    }
    else
    {
        byte[] expressionStack_14_0 = #=qhA4OqIvVSMpJakxtoytoCw==.GetAddressBytes();
    }
    if ((buffer[0] != 10) && ((((buffer[0] != 0xac) || (buffer[1] <= 15)) || (buffer[1] >= 0x20)) && ((buffer[0] != 0xc0) || (buffer[1] != 0xa8))))
    {
        return false;
    }
    return true;
}




------------



public static string smethod_4()
{
    return (string) smethod_35("PrimaryConnectionHost", "127.0.0.1");
}



------------


namespace System.Windows.Forms
{
    using System;
    using System.Collections.Specialized;
    using System.ComponentModel;
    using System.Drawing;
    using System.Runtime.InteropServices;
    using System.Security;
    using System.Security.Permissions;
    using System.Windows.Forms.Internal;
    using System.Windows.Forms.Layout;

    [ClassInterface(ClassInterfaceType.AutoDispatch), ComVisible(true)]
    public class ContainerControl : ScrollableControl, IContainerControl
    {
        private Control activeControl;
        private SizeF autoScaleDimensions = SizeF.Empty;
        private System.Windows.Forms.AutoScaleMode autoScaleMode = System.Windows.Forms.AutoScaleMode.Inherit;
        private System.Windows.Forms.AutoValidate autoValidate = System.Windows.Forms.AutoValidate.Inherit;
        private SizeF currentAutoScaleDimensions = SizeF.Empty;
        private Control focusedControl;


        private const string fontMeasureString = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";


        private static readonly int PropAxContainer = PropertyStore.CreateKey();
        private BitVector32 state = new BitVector32();
        private static readonly int stateParentChanged = BitVector32.CreateMask(stateScalingChild);
        private static readonly int stateProcessingMnemonic = BitVector32.CreateMask(stateValidating);
        private static readonly int stateScalingChild = BitVector32.CreateMask(stateProcessingMnemonic);
        private static readonly int stateScalingNeededOnLayout = BitVector32.CreateMask();
        private static readonly int stateValidating = BitVector32.CreateMask(stateScalingNeededOnLayout);
        private Control unvalidatedControl;

        

------------




public Type_54(Socket #=qw2XWrJCQCyTO0Iwdbz8TWw==, bool #=qoTGj8$mBoje$u1RSJ6obYA==, int #=qN76bQl1CQ6EpIJzS4bbSnw==, int #=qZ8pysPk74rQ5GX0s5CkOJQ==, bool #=qP05CRmbt2pJg10eRU50wu1vx$mfteEn$pCn9SEbehP8=)
{
    this.boolean_8 = true;
    this.int32_9 = 0xffff;
    this.int32_10 = 0xa00000;
    this.int32_12 = 0xa00000;
    this.int32_13 = 0x9c4;
    this.int32_14 = 0x1f40;
    this.object_38 = RuntimeHelpers.GetObjectValue(new object());
    this.socket_25 = #=qw2XWrJCQCyTO0Iwdbz8TWw==;
    this.string_22 = Guid.NewGuid().ToString();
    this.boolean_20 = true;
    this.uint16_18 = (ushort) ((IPEndPoint) #=qw2XWrJCQCyTO0Iwdbz8TWw==.LocalEndPoint).Port;
    this.boolean_8 = #=qoTGj8$mBoje$u1RSJ6obYA==;
    this.int32_9 = #=qN76bQl1CQ6EpIJzS4bbSnw==;
    this.int32_10 = #=qZ8pysPk74rQ5GX0s5CkOJQ==;
    this.boolean_11 = #=qP05CRmbt2pJg10eRU50wu1vx$mfteEn$pCn9SEbehP8=;
    this.Method_360();
    this.Method_367(#=qw2XWrJCQCyTO0Iwdbz8TWw==);


بعد هذا التعب الطويل احتاج الى نومه عميقة :pensive:
 
توقيع : prooonet
تم التعرف على الهوست ويوجد اتصالان للملف واحد
داخلي وواحد خارجي هل هذا يعتبر تمويه لعدم كشفه
في الفحص وسؤال الثاني لماذا برنامج apateDNS
لم يكتشف الهوست :222mad: دوخني كنت اعتمد عليه


----------

الاتصال الداخلي

127.0.0.1
222

----------

الخارجي

82-145-149-8.network.biggnet.net
82.145.149.8
222

Geolocation Information

Continent: Europe
Country: Sweden se flag
State/Region: Jönköping
City: Gislaved
Latitude: 57.3 (57° 17′ 60.00″ N)
Longitude: 13.5333 (13° 31′ 59.88″ E)
Postal Code: 332 01

----------

زارع ملف KB_22497562.dat
تم تحويل الامتداد الى html
وتم الفتح وتبين مابداخلة
يتم التجسس على البرامج
المفتوحة وصفحات وكلشي

3529df90b30ea08.jpg
 
التعديل الأخير:
توقيع : prooonet
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى