• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

الحالة
مغلق و غير مفتوح للمزيد من الردود.

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته


تشفيره جديده بتاريخ 19/6/2017

كلمه مهمه لمجرب العينه

من الافضل اجراء التجربه على الوضع الافتراضى لبرنامج الحمايه لديك

لان ليس هناك اى فائده من ضبطه على اليدوى وتجربه العينه لان الوضع اليدوى انت الذى تتحكم فيه فلا جدوى من تجربه وضع انت تتحكم فيه

دع البرنامج على وضعه واختبر الملف لترى هل ستصدى للملف ام لا

لا اقيد احد باعدادات معينه وكل شخص حر فى اعداداته

ولكن افضل ان تجرب الملف على وضع الشركه للبرنامج

لانى كما ذكرت ليس هناك اى فائده من وضع نتائج على اليدوى انت الذى تتحكم بها

ولا ننسى الهدف الاساسى من اختبار العينات

وهو للتعلم وتطوير الزات فى فهم الرسائل التى تظهر برامج الحمايه فى تعاملاتها مع الملفات الخبيثه

ايضا يجب تجميد الجهاز ببرنامج shadow defender او deep freeze لضمان سلامه الجهاز او التجربه على الوهمى

مع العلم ان العينه ليست تدميريه وانما نوع من انواع ملفات التجسس


ملاحظات مهمه

- فى حاله التشغيل : اترك الملف يعمل لمده دقيقتين لتاكيد عمل الملف بشكل سليم

- العينه ليست للتدرب على الفك وانما موجهه لاختبار برامج الحمايه بشكل خاص ( الدفاع الاستباقى + الجدار وجميع الطبقات الاخرى ) لكن لا باس فى محاوله الفك :222D:222D:222D

- العينه تعمل تحت بيئه X86 + تعمل تحت البيئه الوهميه بدون مشاكل



[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


الباس

infected

[/hide]


تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى Black007
 

توقيع : black007
تحياتى وكل عام وانت بخير اخى مصطفى
bitdefender 2018 beta تم التصدى للعينه يظهر ان هناك تقدم فى اداء البت ديفندر بوحده advanced threat defense :222cool:(222n)
 

المرفقات

  • 1xx1.webp
    1xx1.webp
    23.1 KB · المشاهدات: 27
بارك الله فيك
كل رمضان ونحن واحبابنا واياكم بصحة وعافية وتوفيق

بمجرد فك الضغط تحرك النود وازال العينه مباشره بشكل الي

upload_2017-6-19_17-50-18.webp
 
توقيع : التميمي14
بفك الضغط


2017-06-19_193036.webp
 
توقيع : اليوناني
السلام عليكم

شكرا أخي مصطفى على التشفيرة

التشفيرة مكشوفة من أغلب المحركات قمت بإيقاف الحماية في الوقت الحقيقي

وشغلت التشفيرة هل طلعت عندك ام لا ولو طلعت عندك حاول تحذف برنامج الحماية
عندي لإختبار الدفاع الذاتي أيضا

وعندي نقطة بسيطة وهي لإختبار دروع برنامج الحماية
لازم يكون ملف يقوم بعدة عمليات مشبوهة في وقت واحد
مثلا حقن وإضافة نفسه في عدة مناطق في الجهاز لان هناك
دروع في برنامج الحماية لا تتحرك الا عندما ترى تغيرات غير شرعية

ممكن التشفيرة موجهة للمحرك والدفاع الإستباقي والجدار كما تفضلت أخي مصطفى

وصح فطورك ورمضان كريم عليكم

 
توقيع : ALI 145
السلام عليكم

شكرا أخي مصطفى على التشفيرة

التشفيرة مكشوفة من أغلب المحركات قمت بإيقاف الحماية في الوقت الحقيقي

وشغلت التشفيرة هل طلعت عندك ام لا ولو طلعت عندك حاول تحذف برنامج الحماية
عندي لإختبار الدفاع الذاتي أيضا

وعندي نقطة بسيطة وهي لإختبار دروع برنامج الحماية
لازم يكون ملف يقوم بعدة عمليات مشبوهة في وقت واحد
مثلا حقن وإضافة نفسه في عدة مناطق في الجهاز لان هناك
دروع في برنامج الحماية لا تتحرك الا عندما ترى تغيرات غير شرعية

ممكن التشفيرة موجهة للمحرك والدفاع الإستباقي والجدار كما تفضلت أخي مصطفى

وصح فطورك ورمضان كريم عليكم


التشفيره مكشوفه من اغلب المحركات لانها موجوده على الفايرس توتل منذ اعتمادها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


راجع هنا

First submission 2017-06-19 14:02:47 UTC ( 4 hours, 49 minutes ago )

اذا حسبت الزمن بين الوقت ستجد انها اقل من ساعه منذ اعتمادها ورفعها

ولذلك ستم كشفها سريعا

بخصوص التجربه

لا لم تظهر عندى

ربما بعد اغلاق الدروع ايضا لم تعمل التشفيره ويتم الامسكاك بها

فى النهايه الملف موجه للاختبار كما ذكرنا ولكن بما ان الجميع يعتمد على المحرك فلا باس
 
توقيع : black007
[hide]
كود:
whois.serveblog.net
156.194.1XX.1XX
443
NT AUTHORITY\ANONYMOUS LOGON
[/hide]
 
التعديل الأخير بواسطة المشرف:
توقيع : prooonet
اسف بخصوص نشر المعلومات كنت لا اعلم انه لايجوز وضعة بالعام
 
توقيع : prooonet
[hide]
كود:
whois.serveblog.net
156.194.1XX.1XX
443
NT AUTHORITY\ANONYMOUS LOGON
[/hide]

اخى الغالى مره اخرى لا تذكر البيانات على العام خصوصا فى التشفيرات لان البيانت تخصنى

يكفى التقاط الصوره + اخفاء اجزاء من الاى بى
 
توقيع : black007
اخى الغالى مره اخرى لا تذكر البيانات على العام خصوصا فى التشفيرات لان البيانت تخصنى

يكفى التقاط الصوره + اخفاء اجزاء من الاى بى

(y)
 
توقيع : prooonet
الجميل انه السيرفر لايتصل عند قطع الاتصال لكي لايثير الشكوك
 
توقيع : prooonet
الجميل انه السيرفر لايتصل عند قطع الاتصال لكي لايثير الشكوك

كيف استطع اذا استخراج البيانات

:222p:222p:222D:222D:222D
 
توقيع : black007
كيف استطع اذا استخراج البيانات

:222p:222p:222D:222D:222D

حاليا الفحص بالوضع الساكن صعب علي ساحاول بطرق اخرى تحليل السلوك :222D
 
توقيع : prooonet
بارك الله فيك أخي مصطفى وجزاك الله خير :rose:

وجزيل الشكر لأخواننا :rose:

تم استخراج البيانات المشار عليها من قبل أخونا الغالي prooonet

وإن شاء الله بس يكون تحليلي صحيح هالمره :unsure:

وبأي وقت تحب أضع شرح أو بيانات الدالة ف تآمر أخي الغالي
 
توقيع : ihere
بارك الله فيك أخي مصطفى وجزاك الله خير :rose:

وجزيل الشكر لأخواننا :rose:

تم استخراج البيانات المشار عليها من قبل أخونا الغالي prooonet

وإن شاء الله بس يكون تحليلي صحيح هالمره :unsure:

وبأي وقت تحب أضع شرح أو بيانات الدالة ف تآمر أخي الغالي

ضع مع عندك اخى سليمان ستفيد كل من يطلع على الموضوع

على الرغم ان الملف لاختبار برامج الحمايه لكن لا باس فى قليل من التحليل

ستفيد ولو بشى قليل
 
توقيع : black007
تم عمل Dumps لسيرفر وهو محمي من قبل Eazfuscator ساحاول فك الضغط وتوصل الى نتيجة
 
توقيع : prooonet
تم عمل Dumps لسيرفر وهو محمي من قبل Eazfuscator ساحاول فك الضغط وتوصل الى نتيجة

جميل جدا بالانتظار
 
توقيع : black007
الصعوبة ليست في فك الضغط وتحليل السلوك الصعوبة في فك التشفير تحتاج خبرة في البرمجة :222(
 
توقيع : prooonet
شاهدت بعض الفيديوهات وهي تتطلب صناعة برنامج في بعض الاحيان لفك التشفير
او استدعاء السيرفر الخام وهذي اعتقد من المستحيل اتعلمها من غير برمجة راح اكتفي
بتحليل السلوك بواسطة الادوات التي تفسر سلوك البرنامج لكن لاتستطيع قراءة السلوك
من غير فك الضغط لانه لاتستطيع قراءة string
 
توقيع : prooonet
الصعوبة ليست في فك الضغط وتحليل السلوك الصعوبة في فك التشفير تحتاج خبرة في البرمجة :222(

شاهدت بعض الفيديوهات وهي تتطلب صناعة برنامج في بعض الاحيان لفك التشفير
او استدعاء السيرفر الخام وهذي اعتقد من المستحيل اتعلمها من غير برمجة راح اكتفي
بتحليل السلوك بواسطة الادوات التي تفسر سلوك البرنامج لكن لاتستطيع قراءة السلوك
من غير فك الضغط لانه لاتستطيع قراءة string

احياننا فعلا حتى تتمكن من استخراج او فك تشفير الاسترنج المشفر عليك ان يكون عندك خبره برمجيه لا باس بها

لان فى التشفيرات التى اعتمدها

اعتمد على اسلوب تحويل الملف EXE الى نص مشفر بخوارزميات معقد والتى احياننا اكون انا مكن كتبتها

او استخدم خوارزميات مشهور او اقوم باستخدام خورزميات اوقم بالتعديل عليها ولا اكتفى بها بشكل مباشر

من ثم يتم تحويل النص string الى بتات صغيره byte حتى يتم تحميلها الى الزاكره لكى تعمل هناك

الاسلوب المتبع فى الشتفيره مختلف فى كل مره لكن المبدا واحد

ربما هذه الكلام نظرى لن يفيد كثيره

خصوصا انك بالضغط على الملف لا تشعر باى شى يحدث فى الخلفيه :222D:222D:222D

لكن اذا احببت ان تتابع جميع الاجرائات التى يقوم بها الملف

ربما ادلك على برنامج اعتبره اسطوره لكن سيبقى السوال كيف ستتعامل معه

وللاسف حتى الان لم استطيع بعد ان اتمكن من كل ما فيه لكبر حجمه واسلوبه الرائعه فى التحليل

+

كنت احضر للبرنامج منذ اول شهر مضان لكى اقوم بتنزيل شرح شامل للبرنامج وكيف تستخدمه لكن للاسف لم انتهى من اعداد الشرح لعده اسباب

منها الدوال الكثيره التى سنعتمدها فى تحليل اى ملف مهما كان نوعه

وهذه بعض منها

accept
AdjustTokenPrivileges
AttachThreadInput
bind
BitBlt
CallNextHookEx
CertOpenSystemStore
CheckRemoteDebuggerPresent
CoCreateInstance
connect
ConnectNamedPipe
ControlService
CreateFile
CreateFileMapping
CreateMutex

ومازال هناك الكثير لان ستم وضع كل داله وفائدتها

اخيرا اذا حابب تبحث عن البرنامج تفضل

API Monitor

وهذه صوره منه

149790581620691.png


:222eek::222eek::222eek:


بالتوفيق فى البحث
 
توقيع : black007
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى