أهلين أخي مصطفي ..
و الله دائما منور المواضيع وتقوم باطرائها بتعليقاتك النيرة و التي تفيد كثيرا يا طيب ...
و أتفق معك في كل ما قلته بالخصوص اذا أردنا تحليل العينات الاحترافية ،،،
لكني اظن أنه يمكن تعلم التحليل الأولي و ذلك بغرض الحماية ..
فلما لا نعمل دورات مبسطة و ان أمكن .. دورات مغلقة ... برعاية حضرتك طبعا
و نحاول وضع ديناميكية جديدة لبعث حركة لتكوين فرق للتحليل مستقبلا ..
و الله المستعان ...
اهلا بيك اخى الغالى النوميدى
للاسف لن تكون الدوره على المستوى لانها ستقتصر على شرح بعض الادوات البسيطه التى يمكن استخدامها فى الرصد
يمكننا القول ان اغلب الادوات يتم تحديثها بشكل مستمر لكن تبقى طريقه عملها واحد
فقد ظهر كثير من التخطيات والالعيب الكثيره لتخطى تلك الادوات منه على سبيل المثال لا الحصر ( تخطى باسم العميله / تخطى بقتل العمليه / تخطى عن طريقه النافذه / تخطى عن طريق حجم الملف )
وغيرها من الطريق الكثيره فى التخطى
ايضا ادوات المراقبه فى الوقت الحقيقى لن تكون بتلك الدقه التى تتمتع بها ادوات التنقيح المختلفه واكبر مثال على ذلك الملف الذى امامننا لانك بقرائته لتعلمات الملف الداخليه
اصبحت تطلع بشكل واضح على سورس الملف المكتوب فيسهل عليك معرفه ما هو مكتوب فى البرنامج من الداخل
للاسف دوره تحليل الملفات الخبيثه تفتقر الى ان يجب ان يكون عندك مقومات تؤهلك لقرائه سورسات البرامج
للاسف عالم تحليل الملفات الخبيثه لا يرحم وانت معرض الى انت تقع امام ملف ما لا يمكنك معرفه دواخله ان لم يكن لديك خبره كافيه فى اساسيات مهمه
لكنى لن اترك الامر يمر ان شاء الله وسافكر فى ايجاد حال وسط يفيد الجميع حتى وان كان بسيط ليفيد الجميع
بخصوص بيانات الملف الذى اماممنا
اذا حاولنا سباقا كما ذكرت بالبحث عن نوع الحمايه الى على الملف فستجد ان اغلب برامج كشف الحمايه الى على الملف تعطى نتائج خطا وهذا يدخلك فى دوامه من الاتشتييت ولا تعرف ماذا تفعل
اذا حاولنا تجربه الاداه المشهوره de4dot باغلب اصدارتها وحتى المعدل منها وقمت بتمرير الملف عليها اكثر من مره لازاله الحمايه الى على الملف ستجد ان الملف مازال مشفر وتحديدا string
بالنظر الى طريقه تشفير السورس ستجد ان هناك نوع من obfuscator هو من يقوم بتشفير السورسات بهذا الشكل وهو AppFuscator
ولفك تلك الحمايه عليك الاستعانه بادوات خاصه لفكه
يمكن استخدام الطريقه اليدويه بالتعديل على الملف عن طريق المنقح olly والتعديل على جميع عنوانين الكواد فى الذاكره وتقوم بعمل fulldump للملف ومن ثم سيظهر لك الملف خام غير مشفر
او يمكنك كما ذكرت استخدام اداه الفك الخاصه بالحمايه سنقوم بفك الحمايه اولا AppFuscatorUnpacker ومن ثم يتم فك الاستنرج المشفر AppFuscatorStringsDecryptor وطريقه عمل الاداتين نفس الفكره الاولى
بعدها ستحصل على الملف بدون حمايه بالنظر فيه بالتنقيح عن طريق الرفلكتور
رابط صوره
عند الاطلاع على الصوره بقرائه الهكس ستجد السرفر مخبا داخلها
ولفصلهم استخدم اى محرر hex editor وقم بفصل الصوره عن السرفر ببدايه ملف MZ
وفى النهايه ستحصل على سرفر خام
بالبيانات
اتمنى تكون الفكره وصلت
بالتوفيق للشباب
