• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تشفيرة عينه بتاريخ 16/8/2017

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]

http://www83.zippyshare.com/v/3jPGuUk2/file.html

الباس

infected

[/hide]

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع
 

توقيع : black007
هوب هوب هوب
جامدة يادرش جاري التحليل
بس تشفيرة لذيذة
dropper (222y)
 
توقيع : MagicianMiDo32
kimo7 قال:
وعليكم السلام
البرنامج يرفض التشغيل
[hide]
150295752986461.png
[/hide]
أنقر للتوسيع...

برنامج ماذا الذى يرفض التشغيل

العينه تعمل بدون مشاكل على الوهمى + تقوم ايضا باسقاط ملفات فى مسارات مختلفه

حاول التحليل مجددا حسب طريقتك سواء كانت ديناميكيه او استاتيكيه
 
توقيع : black007
السلام عليكم

اسم الملف MSASCui.exe
المسار
"C:\DOCUME~1\Admin\LOCALS~1\Temp\MSASCui.exe

الأبي 73.33.172.17
المنفذ 54984

اذا تتبعنا ip عبر الأمر tracert

نلاحظ أنه يتصل بهذا الدومين

585314060.jpg


 
تسلم يا درش تم الفك يدويا

الملف في الريسورس غالبا شيل ميتربريتر
وهناك ملف بات يتم كتابته من قبل الملف الدوت نت سطر بسطر لغرض الإخفاء واضافة ستارت اب
بس الصراحة عينة جامدة
[hide]
ffjrhrth.webp
[/hide]

[hide]
jfyjjtj.webp
[/hide]

https://www.virustotal.com/#/file/c...df8eb2d6be613a132558d075a9310f3c381/detection


وهذا الملف الخام بعد الاستخراج

[hide]https://up.top4top.net/downloadf-5944tlai1-rar.html[/hide]


infected



https://www.hybrid-analysis.com/sam...be613a132558d075a9310f3c381?environmentId=100
 
توقيع : MagicianMiDo32
vallecano قال:
السلام عليكم

اسم الملف MSASCui.exe
المسار
"C:\DOCUME~1\Admin\LOCALS~1\Temp\MSASCui.exe

الأبي 73.33.172.17
المنفذ 54984

اذا تتبعنا ip عبر الأمر tracert

نلاحظ أنه يتصل بهذا الدومين

585314060.jpg


أنقر للتوسيع...

vallecano قال:
الأن اصبح الأبي مغاير تماما عن الأول

138.197.122.94
أنقر للتوسيع...

MagicianMiDo32 قال:
تسلم يا درش تم الفك يدويا

الملف في الريسورس غالبا شيل ميتربريتر
وهناك ملف بات يتم كتابته من قبل الملف الدوت نت سطر بسطر لغرض الإخفاء واضافة ستارت اب
بس الصراحة عينة جامدة
[hide]مشاهدة المرفق 142541[/hide]

[hide]مشاهدة المرفق 142542[/hide]

https://www.virustotal.com/#/file/c...df8eb2d6be613a132558d075a9310f3c381/detection


وهذا الملف الخام بعد الاستخراج

[hide]https://up.top4top.net/downloadf-5944tlai1-rar.html[/hide]


infected



https://www.hybrid-analysis.com/sam...be613a132558d075a9310f3c381?environmentId=100
أنقر للتوسيع...

تحليل ممتاز ويمكن القول اننا يمكن ان نقول البدايه كلها من هنا

بعد ازاله الحمايه الى على الملف حمايه Smart Assembly(6.9.0.114)

فى هذا الميثود تحديدا

15030017501251.jpg


+

150300175140612.jpg


فانكشن فك الضغط هنا وعكس القيم

150300175156443.jpg


يفكى فقط كتابه اداه بسيطه وستتطيع استخراج النصوص المشفره من الملف

بالتوفيق للشباب
 
توقيع : black007
تسلم يا درش أن بحثت في نيم سبيس واحد الي استخرج الشيل ,, لان حماية السمارت اسمبلي مش اتفكت كاملة ومعظم الاكواد تبع الحماية نفسها
ان شاء الله هشوف السترنجات الباقية

[hide]
PHP: 
Imports System.Text
Imports System.Security.Cryptography
Imports System.IO


Public Class Form1

    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        IO.File.WriteAllBytes("D:\l.exe", unc(IO.File.ReadAllBytes("D:\1"), "sdgfisjiJ9SAEJRUW453242#%@#%@#$@#$%@#%@3"))


    End Sub


    Public Shared Function goi(ByVal string_0 As String) As String
        On Error Resume Next
        Dim password As String = "家贝朋没很港那贵"
        Dim s As String = "cffffffffffffffffff"
        Dim str As String = "@1B2c3D4e5F6g7H8"
        Dim bytes As Byte() = Encoding.ASCII.GetBytes(str)
        Dim salt As Byte() = Encoding.ASCII.GetBytes(s)
        Dim buffer5 As Byte() = Convert.FromBase64String(string_0)
        Dim rgbKey As Byte() = New Rfc2898DeriveBytes(password, salt, 2).GetBytes(&H20)
        Dim managed As New RijndaelManaged
        managed.Mode = CipherMode.CBC
        Dim transform As ICryptoTransform = managed.CreateDecryptor(rgbKey, bytes)
        Dim stream As New MemoryStream(buffer5)
        Dim stream2 As New CryptoStream(stream, transform, CryptoStreamMode.Read)
        Dim buffer As Byte() = New Byte(((buffer5.Length - 1) + 1) - 1) {}
        Dim count As Integer = stream2.Read(buffer, 0, buffer.Length)
        stream.Close()
        stream2.Close()
        Return Encoding.UTF8.GetString(buffer, 0, count)
    End Function

    Public Function unc(ByVal byte_0 As Byte(), ByVal string_0 As String) As Byte()
        On Error Resume Next
        Dim buffer2 As Byte() = New Byte((byte_0.Length + 1) - 1) {}
        Dim num2 As Integer = (byte_0((byte_0.Length - 1)) Xor &H70)
        Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
        Dim num4 As Integer = (byte_0.Length - 1)
        Dim i As Integer = 0
        Do While (i <= num4)
            Dim num As Integer
            buffer2(i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
            If (num = (string_0.Length - 1)) Then
                num = 0
            Else
                num += 1
            End If
            i += 1
        Loop
        Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer2, Array), New Byte(((byte_0.Length - 2) + 1) - 1) {}), Byte())
    End Function


    Private Sub TextBox1_TextChanged(sender As System.Object, e As System.EventArgs) Handles TextBox1.TextChanged

    End Sub

    Private Sub Button1_Click(sender As System.Object, e As System.EventArgs) Handles Button1.Click
        On Error Resume Next
        TextBox1.Text = goi(TextBox2.Text)
    End Sub
End Class
[/hide]​
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
تسلم يا درش أن بحثت في نيم سبيس واحد الي استخرج الشيل ,, لان حماية السمارت اسمبلي مش اتفكت كاملة ومعظم الاكواد تبع الحماية نفسها
ان شاء الله هشوف السترنجات الباقية

[hide]
PHP: 
Imports System.Text
Imports System.Security.Cryptography
Imports System.IO


Public Class Form1

    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        IO.File.WriteAllBytes("D:\l.exe", unc(IO.File.ReadAllBytes("D:\1"), "sdgfisjiJ9SAEJRUW453242#%@#%@#$@#$%@#%@3"))


    End Sub


    Public Shared Function goi(ByVal string_0 As String) As String
        On Error Resume Next
        Dim password As String = "家贝朋没很港那贵"
        Dim s As String = "cffffffffffffffffff"
        Dim str As String = "@1B2c3D4e5F6g7H8"
        Dim bytes As Byte() = Encoding.ASCII.GetBytes(str)
        Dim salt As Byte() = Encoding.ASCII.GetBytes(s)
        Dim buffer5 As Byte() = Convert.FromBase64String(string_0)
        Dim rgbKey As Byte() = New Rfc2898DeriveBytes(password, salt, 2).GetBytes(&H20)
        Dim managed As New RijndaelManaged
        managed.Mode = CipherMode.CBC
        Dim transform As ICryptoTransform = managed.CreateDecryptor(rgbKey, bytes)
        Dim stream As New MemoryStream(buffer5)
        Dim stream2 As New CryptoStream(stream, transform, CryptoStreamMode.Read)
        Dim buffer As Byte() = New Byte(((buffer5.Length - 1) + 1) - 1) {}
        Dim count As Integer = stream2.Read(buffer, 0, buffer.Length)
        stream.Close()
        stream2.Close()
        Return Encoding.UTF8.GetString(buffer, 0, count)
    End Function

    Public Function unc(ByVal byte_0 As Byte(), ByVal string_0 As String) As Byte()
        On Error Resume Next
        Dim buffer2 As Byte() = New Byte((byte_0.Length + 1) - 1) {}
        Dim num2 As Integer = (byte_0((byte_0.Length - 1)) Xor &H70)
        Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
        Dim num4 As Integer = (byte_0.Length - 1)
        Dim i As Integer = 0
        Do While (i <= num4)
            Dim num As Integer
            buffer2(i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
            If (num = (string_0.Length - 1)) Then
                num = 0
            Else
                num += 1
            End If
            i += 1
        Loop
        Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer2, Array), New Byte(((byte_0.Length - 2) + 1) - 1) {}), Byte())
    End Function


    Private Sub TextBox1_TextChanged(sender As System.Object, e As System.EventArgs) Handles TextBox1.TextChanged

    End Sub

    Private Sub Button1_Click(sender As System.Object, e As System.EventArgs) Handles Button1.Click
        On Error Resume Next
        TextBox1.Text = goi(TextBox2.Text)
    End Sub
End Class
[/hide]​
أنقر للتوسيع...

الحاجات الى من النوعيه دى بالزات بيكون فيها فنكشنات كتير

انا قبلتنى قبل كدا ملف شبه ده وكان معمول بنفس الطريقه بس كان كيلوجر

اول ديما تبص فى جميع الفنكشنات الى بتبقه موجوده فى الملف لان الاجانب ديما مش بيحطوا حاجه كده غير لمه يستفيد منها كويس

مش هيحط الفانكشن وهو مش هيستخدمه

ده لو قولنا انه مبيبصش للحجم

نظام الدونلودر عندهم مختلف شويه عن عندنا لمه بيحبوا يعملو دونلودر بيستخدمو اسكربتات vbs او js ودى اكتر حاجات كنت بقبلها كتير برضه

(222y)(222y)(222y)
 
توقيع : black007
kernel32
ntdll
kernel32
DebugActiveProcess
WaitForDebugEvent
DebugSetProcessKillOnExit
ContinueDebugEvent
VirtualProtectEx
NtResumeThread
ntdll
ntdll
CreateProcessA
ReadProcessMemory
WriteProcessMemory
GetThreadContext
NtSetContextThread
NtUnmapViewOfSection
VirtualAllocEx
NtResumeThread

PHP: 
Imports System.Text
Imports System.Security.Cryptography
Imports System.IO
Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        Dim str() As String = {"k2D78XfKUUTlauYHJy5jbw==", "hz/hd3D/wavPOBKI/GwbLA==", "k2D78XfKUUTlauYHJy5jbw==", "3yeAttilqYJ+EMxWxVE4ddmWY1HjswCfYgKGLyrZLhY=", "V6N+8pSqbcH59jYCQu9UhOsheGehiCWwgMWITX/35sI=", "yBuVrMO/CT3bRB6JacZwOLoNPvBrACveNZiDA4uNRL4=", "RP2oKOFv5zcdQxBfVkwNWV/4xNZKt9aR8FkYZz7dohA=", "7u2yBsZOLRTRRBdycIOGrxCCPJ0aELG0050xuxwLeQI=", "uS4yA9pQAUxtMJao/fRBSg==", "hz/hd3D/wavPOBKI/GwbLA==", "hz/hd3D/wavPOBKI/GwbLA==", "5swmu3DmQiIV8apfrAbwEg==", "74rVa+3Aor4AJbfrPJKSmNUtkaSRtW4BgSdbJeK5ZTM=", "Lik+qU0gGldGPdmKCxzW3ygMUENMCLECkcqigFIsSbE=", "FVSLYiH2b8Zca/XxHFH45Sy7wcGl/wiKuzpNiXI1FpY=", "NoTKZvk33CmrNmsxkrYR8fpfiQSvKPuGulJp87OhO90=", "uJA9KEAyPwsIBjO5QwzfgvwIQ/9InOarhXI0ovrKN1Q=", "Rn9QGk24F2GAlThgCfqH+A==", "uS4yA9pQAUxtMJao/fRBSg=="}
        For Each h As String In str
            TextBox1.Text = TextBox1.Text & zero(h) & vbCrLf
        Next
    End Sub
    Public Function zero(ByVal string_0 As String) As String
        Dim password As String = "fsa"
        Dim s As String = "cffffffffffffffffff"
        Dim str2 As String = "@1B2c3D4e5F6g7H8"
        Dim bytes As Byte() = Encoding.ASCII.GetBytes(str2)
        Dim salt As Byte() = Encoding.ASCII.GetBytes(s)
        Dim buffer As Byte() = Convert.FromBase64String(string_0)
        Dim rgbKey As Byte() = New Rfc2898DeriveBytes(password, salt, 2).GetBytes(&H20)
        Dim managed As New RijndaelManaged
        managed.Mode = CipherMode.CBC
        Dim transform As ICryptoTransform = managed.CreateDecryptor(rgbKey, bytes)
        Dim stream2 As New MemoryStream(buffer)
        Dim stream As New CryptoStream(stream2, transform, CryptoStreamMode.Read)
        Dim buffer4 As Byte() = New Byte(((buffer.Length - 1) + 1) - 1) {}
        Dim count As Integer = stream.Read(buffer4, 0, buffer4.Length)
        stream2.Close()
        stream.Close()
        Return Encoding.UTF8.GetString(buffer4, 0, count)
    End Function
End Class


لا بس ايه رأيك ف الشوية الي لسة فاكرهم من تالتة ثانوي دول

تحب اكتبلك معادلة نيترة الجليسرول بالمرة :222D
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
kernel32
ntdll
kernel32
DebugActiveProcess
WaitForDebugEvent
DebugSetProcessKillOnExit
ContinueDebugEvent
VirtualProtectEx
NtResumeThread
ntdll
ntdll
CreateProcessA
ReadProcessMemory
WriteProcessMemory
GetThreadContext
NtSetContextThread
NtUnmapViewOfSection
VirtualAllocEx
NtResumeThread

PHP: 
Imports System.Text
Imports System.Security.Cryptography
Imports System.IO
Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        Dim str() As String = {"k2D78XfKUUTlauYHJy5jbw==", "hz/hd3D/wavPOBKI/GwbLA==", "k2D78XfKUUTlauYHJy5jbw==", "3yeAttilqYJ+EMxWxVE4ddmWY1HjswCfYgKGLyrZLhY=", "V6N+8pSqbcH59jYCQu9UhOsheGehiCWwgMWITX/35sI=", "yBuVrMO/CT3bRB6JacZwOLoNPvBrACveNZiDA4uNRL4=", "RP2oKOFv5zcdQxBfVkwNWV/4xNZKt9aR8FkYZz7dohA=", "7u2yBsZOLRTRRBdycIOGrxCCPJ0aELG0050xuxwLeQI=", "uS4yA9pQAUxtMJao/fRBSg==", "hz/hd3D/wavPOBKI/GwbLA==", "hz/hd3D/wavPOBKI/GwbLA==", "5swmu3DmQiIV8apfrAbwEg==", "74rVa+3Aor4AJbfrPJKSmNUtkaSRtW4BgSdbJeK5ZTM=", "Lik+qU0gGldGPdmKCxzW3ygMUENMCLECkcqigFIsSbE=", "FVSLYiH2b8Zca/XxHFH45Sy7wcGl/wiKuzpNiXI1FpY=", "NoTKZvk33CmrNmsxkrYR8fpfiQSvKPuGulJp87OhO90=", "uJA9KEAyPwsIBjO5QwzfgvwIQ/9InOarhXI0ovrKN1Q=", "Rn9QGk24F2GAlThgCfqH+A==", "uS4yA9pQAUxtMJao/fRBSg=="}
        For Each h As String In str
            TextBox1.Text = TextBox1.Text & zero(h) & vbCrLf
        Next
    End Sub
    Public Function zero(ByVal string_0 As String) As String
        Dim password As String = "fsa"
        Dim s As String = "cffffffffffffffffff"
        Dim str2 As String = "@1B2c3D4e5F6g7H8"
        Dim bytes As Byte() = Encoding.ASCII.GetBytes(str2)
        Dim salt As Byte() = Encoding.ASCII.GetBytes(s)
        Dim buffer As Byte() = Convert.FromBase64String(string_0)
        Dim rgbKey As Byte() = New Rfc2898DeriveBytes(password, salt, 2).GetBytes(&H20)
        Dim managed As New RijndaelManaged
        managed.Mode = CipherMode.CBC
        Dim transform As ICryptoTransform = managed.CreateDecryptor(rgbKey, bytes)
        Dim stream2 As New MemoryStream(buffer)
        Dim stream As New CryptoStream(stream2, transform, CryptoStreamMode.Read)
        Dim buffer4 As Byte() = New Byte(((buffer.Length - 1) + 1) - 1) {}
        Dim count As Integer = stream.Read(buffer4, 0, buffer4.Length)
        stream2.Close()
        stream.Close()
        Return Encoding.UTF8.GetString(buffer4, 0, count)
    End Function
End Class


لا بس ايه رأيك ف الشوية الي لسة فاكرهم من تالتة ثانوي دول

تحب اكتبلك معادلة نيترة الجليسرول بالمرة :222D
أنقر للتوسيع...

ههههههههه

البرمجه مبتتنسيش

مجرد مبتبدا تكتب فانكشن وتمشى ايدك شويه فى الفيجول هتفتكر كل حاجه

فى عينات حلوه جدا فى الملفات الى بيرفعها الاعضاء هنا لزيزه

خدلك لفه جدا على العينات الى بيبقه فيها تجميعها هتلاقى ملفات لزيزه

اكتر ملفات هتلقيها اسكربتات js بقت منتشره بطريقه غريبه

بالتوفيق ياكبير فى الجامعه وخلى ديما عندك هوايه تفتكر بيها كل حاجه انا كنت زيك كده لمه كان على ايامى

يدوبك هى سنه واحده بالظبط ونسيت كل معادلات الكيمياء من الواحد بيشوفه

:222D:222D:222D
 
توقيع : black007
black007 قال:
ههههههههه

البرمجه مبتتنسيش

مجرد مبتبدا تكتب فانكشن وتمشى ايدك شويه فى الفيجول هتفتكر كل حاجه

فى عينات حلوه جدا فى الملفات الى بيرفعها الاعضاء هنا لزيزه

خدلك لفه جدا على العينات الى بيبقه فيها تجميعها هتلاقى ملفات لزيزه

اكتر ملفات هتلقيها اسكربتات js بقت منتشره بطريقه غريبه

بالتوفيق ياكبير فى الجامعه وخلى ديما عندك هوايه تفتكر بيها كل حاجه انا كنت زيك كده لمه كان على ايامى

يدوبك هى سنه واحده بالظبط ونسيت كل معادلات الكيمياء من الواحد بيشوفه

:222D:222D:222D
أنقر للتوسيع...
هواية الحفر في الطرطليت واستخراج المازوت :222D
هتوحشني ياكبير
بس يدوبك جبت السورسات القديمة بصيت عليها شوية افتكرت كتير الحمد لله (222y)
 
توقيع : MagicianMiDo32
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى