تشفيرة عينه بتاريخ 6/9/2017

[black007]

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]

http://www3.zippyshare.com/v/6utKTBir/file.html

الباس

infected

[/hide]


ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات فقط

بالتوفيق للجميع

 

[النوميديالنوميدي is verified member.]

السلام عليكم و رحمة الله
أسعدت مساءا أخي مصطفى .. و ان شاء الله أنك بخير و في أتم الصحة و العافية ..
يا طيب ... هل العينة تعمل على النواتين أم 32 بت فقط ؟

 

[black007]

السلام عليكم و رحمة الله
أسعدت مساءا أخي مصطفى .. و ان شاء الله أنك بخير و في أتم الصحة و العافية ..
يا طيب ... هل العينة تعمل على النواتين أم 32 بت فقط ؟

وعليكم السلام واهلا بصديقى العزيز سليم

العينه عند تشغيلها تقوم باستدعاء ملف dw20.exe الخاص بمكتبه Microsoft.NET\Framework\v2.0.50727\ لكى تقوم بحقن نفسها فيه

ولكنها تفشل فى الحقن ويظهر رساله خطاء

لذلك تشغيل العينه فى الحالات العاديه ربما لان يفيد كثيرا

الا اذا اردت ان تقوم بعمل fulldump واستخراج الملفات الخام

العينه تعمل مع النواتين 64x / 86x

بالتوفيق

 

[vallecano]

السلام عليكم

استخرجت البيانات بالتشغيل فقط بعد فك الضغط على الملف لا أريد الاكتفاء بهذا يبدو أن النصوص مشفرة سأحاول فك التشفير بOllyDbg
رغم أن هذا الأخير لا ينقح برامج دوت نت لكن سأحاول بعد صلاة المغرب ان شاء الله

 

[black007]

السلام عليكم

استخرجت البيانات بالتشغيل فقط بعد فك الضغط على الملف لا أريد الاكتفاء بهذا يبدو أن النصوص مشفرة سأحاول فك التشفير بOllyDbg
رغم أن هذا الأخير لا ينقح برامج دوت نت لكن سأحاول بعد صلاة المغرب ان شاء الله

بانتظار التحليل اليدوى

خصوصا فعلا ان جميع البيانات الاسترنج داخل الملف فعلا كلها مشفره

وتحتاج الى دوال للفك ستجدها كلها داخل الملف

بالتوفيق

 

[MagicianMiDo32]

تسلم ادرش
شكلها ضعبة حبتين كدا
متوهة شوية
وفيه بايت ونص في الريسورس
وبعدين بحلل بالـ IL علشان الريفليكتور مش راضي يعرض القيم المشفرة
بس ان شاء الله هوصلها

 

[MagicianMiDo32]

بقولك أدرش

أنا وصلت لحد هنا RUN PE
استخرجت مكتبة من الذاكرة بالدي ان سباي
المشكلة ان الاكواد مشفرة يعني obfuscated
ومش شايف اي كود بيعمل اي وظيفة

لا استدعاء تشفير لانقاط ادخال لااستدعاء ران بي

الحماية صعبة ورزلة

 

[vallecano]

السلام عليكم

بعد فك الضغط على الملف

ينتج عنه ملفين تنفيذيين واحد exe و الثاني dll أيضا مضغوطة بSmartAssembly 6.9.0.114
عند فك الضغط على المكتبة تجد جميع النصوص مشفرة وهنا المشكلة.
عند محاولة فك التشفير عن النصوص تختفي أداة فك التشفير
يعني anti debug
ليست لدي خبرة في عمل anti anti debug لبرامج الدوت نت أو تجاوزها

ان بقي الموضوع مفتوح سأحاول مرة أخرى فك تشفير النصوص ان استطعت
​

 

[black007]

بقولك أدرش

أنا وصلت لحد هنا RUN PE
استخرجت مكتبة من الذاكرة بالدي ان سباي
المشكلة ان الاكواد مشفرة يعني obfuscated
ومش شايف اي كود بيعمل اي وظيفة

لا استدعاء تشفير لانقاط ادخال لااستدعاء ران بي
مشاهدة المرفق 143987

الحماية صعبة ورزلة

فى string فى الريسورس بصيت عليها ؟؟

بما انك مش عايز تشتغل بال dump بص على الاسترنج الى فى الريسورس

+

فيها ملفات ايضا فيه

الاستدعائات فى الغالب عن طريق الشروط لانه لمه بصت على الملف مركزتش اوى فيه من ناحيه قرائه الشروط

الملف متشفر بطريقه رخمه فعلا وليس كالطرق التقليديه + عليه حمايه Smart Assembly(6.8.0.121) الى لو فعلت اغلب خواصه بيشفر الملف ومينفعش تفكها

حتى لو استخدمت d4dot

الملف الهدف هو تحت اسم Microsoft كما اوضح الغالى vallecano

السلام عليكم

بعد فك الضغط على الملف

ينتج عنه ملفين تنفيذيين واحد exe و الثاني dll أيضا مضغوطة بSmartAssembly 6.9.0.114
عند فك الضغط على المكتبة تجد جميع النصوص مشفرة وهنا المشكلة.
عند محاولة فك التشفير عن النصوص تختفي أداة فك التشفير
يعني anti debug
ليست لدي خبرة في عمل anti anti debug لبرامج الدوت نت أو تجاوزها

ان بقي الموضوع مفتوح سأحاول مرة أخرى فك تشفير النصوص ان استطعت
​

مرحله جيده ما وصلت لها اخى الغالى حتى الان

يتبقى لك فقط فك الاسترنج المشفر بعكس القيم عن طريقه كتابه برنامج بسيط بالفيجول

لفك الاسترنج المشفر ستحتاج الى داله الفك وتجدها داخل الملفات المستخرجه

لا تقلق لن اقوم بغلق الموضوع حتى اقوم بوضع فديو لفك التشفير الملف بالكامل + استخراج البيانات

بانتظار المحاوله وخذ وقتك

تحياتى وتقديرى

 

[النوميديالنوميدي is verified member.]

فى string فى الريسورس بصيت عليها ؟؟

بما انك مش عايز تشتغل بال dump بص على الاسترنج الى فى الريسورس

+

فيها ملفات ايضا فيه

الاستدعائات فى الغالب عن طريق الشروط لانه لمه بصت على الملف مركزتش اوى فيه من ناحيه قرائه الشروط

الملف متشفر بطريقه رخمه فعلا وليس كالطرق التقليديه + عليه حمايه Smart Assembly(6.8.0.121) الى لو فعلت اغلب خواصه بيشفر الملف ومينفعش تفكها

حتى لو استخدمت d4dot

الملف الهدف هو تحت اسم Microsoft كما اوضح الغالى vallecano



مرحله جيده ما وصلت لها اخى الغالى حتى الان

يتبقى لك فقط فك الاسترنج المشفر بعكس القيم عن طريقه كتابه برنامج بسيط بالفيجول

لفك الاسترنج المشفر ستحتاج الى داله الفك وتجدها داخل الملفات المستخرجه

لا تقلق لن اقوم بغلق الموضوع حتى اقوم بوضع فديو لفك التشفير الملف بالكامل + استخراج البيانات

بانتظار المحاوله وخذ وقتك

تحياتى وتقديرى

لكن أخي مصطفي لا يمكن عمل Dump الملف لا يبقى ثانيتين و يختفي و ال d4dot لم تنفع لفك الشيفرة
المهم ...مثابر ...

 

[MagicianMiDo32]

الملفات بالداخل عبارة عن صور
ذات انتروبي عالي
لتضليل المحركات

 

[MagicianMiDo32]

' This item is obfuscated and can not be translated.


حلل بالـ IL مش C# أو فيجوال
حتى الـ dnspy
بيطلع الدالة فاضية هخهخهخهخههخ

 

[vallecano]

ما أتيت على شيء الا جعلته مشفرا
باسثتناء البورت هو الظاهر أمامي 26
بخصوص البرمجة فقد أردت تحميل الفيجوال استديو أول أمس لمحاولة البرمجة لكن البرنامج حجمه كبير جدا و جهازي أظنه لا يحتمل ذلك لهذا سأحاول فك التشفير عكسيا​

 

[MagicianMiDo32]

ما أتيت على شيء الا جعلته مشفرا
باسثتناء البورت هو الظاهر أمامي 26
بخصوص البرمجة فقد أردت تحميل الفيجوال استديو أول أمس لمحاولة البرمجة لكن البرنامج حجمه كبير جدا و جهازي أظنه لا يحتمل ذلك لهذا سأحاول فك التشفير عكسيا​

يمكنك تحميل visual basic express 2010
حجمه صغير ويكفي ويوفي
البرنامج الكبير فيه خصائص شاسعة اعتقد لن تحتاجها

 

[black007]

لكن أخي مصطفي لا يمكن عمل Dump الملف لا يبقى ثانيتين و يختفي و ال d4dot لم تنفع لفك الشيفرة
المهم ...مثابر ...

تجاهل الخطا الذى يعطيه لك ان الملف معطوب ويمكن استخراج محتوياته

قم بتشغيل اداه MegaDumper وبعدها قم بتشغيل الملف واستخرج جميع محتوياته ستجد جميع الملفات ظهرت امامك كما اوضح الاخ vallecano

الملف الهدف هو Microsoft.exe

الملفات بالداخل عبارة عن صور
ذات انتروبي عالي
لتضليل المحركات
مشاهدة المرفق 144001

همممممم

طيب هرجع ابص فى الملف تانى بس متاكد ان الريسورس فى ملفات ممكن نستخدمها

ما أتيت على شيء الا جعلته مشفرا
باسثتناء البورت هو الظاهر أمامي 26
بخصوص البرمجة فقد أردت تحميل الفيجوال استديو أول أمس لمحاولة البرمجة لكن البرنامج حجمه كبير جدا و جهازي أظنه لا يحتمل ذلك لهذا سأحاول فك التشفير عكسيا​

يمكنك تحميل النسخه الاخف على الاطلاق من الفيجول استديو visual studio 2012 express

تفضل الرابط

http://download.microsoft.com/downl...F9-8820-0A7972DF5683/VS2012_RC_WinExp_ENU.iso

بالتوفيق

 

[vallecano]

هذا ما توصلت اليه لحد الأن

كل شيء مشفر

هل هو لتدمير أني فيروس الضحية؟

جلب الابي الخارجي

الأبي المحلي

هنا RunPE

يتم تشغيل الملف vbc.exe الذي يوجد في هذا المسار

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727

الملاحظ من خلال مراقبة العمليات الشغالة أن الملف عندما يظهر في العمليات الشغالة يتصل بالأبي و البورت
عندما يختفي. يختفي الأبي المخترق أيضا

شكرا على الرابط أنت و الأخ ميدو

لدي xp على النظام الوهمي جربت تقريبا جميع نسخ dnspy ولا نسخة اشتغلت
هل تعرف نسخة تشتغل عليها
علما أن لدي الاصدار Framework 4.5





​

 

[black007]

هذا ما توصلت اليه لحد الأن

كل شيء مشفر

هل هو لتدمير أني فيروس الضحية؟

جلب الابي الخارجي

الأبي المحلي

هنا RunPE

يتم تشغيل الملف vbc.exe الذي يوجد في هذا المسار

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727

الملاحظ من خلال مراقبة العمليات الشغالة أن الملف عندما يظهر في العمليات الشغالة يتصل بالأبي و البورت
عندما يختفي. يختفي الأبي المخترق أيضا

شكرا على الرابط أنت و الأخ ميدو

لدي xp على النظام الوهمي جربت تقريبا جميع نسخ dnspy ولا نسخة اشتغلت
هل تعرف نسخة تشتغل عليها
علما أن لدي الاصدار Framework 4.5





​

احسنت للوصول الى هذا الحد

بخصوص نسخه برنامج dnspy فتحتاج الى Framework 4.6

انتظر الشرح الفديو لكشف كافه البيانات

 

[black007]

شرح الفك

[hide]
http://www116.zippyshare.com/v/e3mCpNOh/file.html

[/hide]

بالتوفيق للجميع

 

[النوميديالنوميدي is verified member.]

شرح الفك

[hide]
http://www116.zippyshare.com/v/e3mCpNOh/file.html

[/hide]

بالتوفيق للجميع

تمام أخي مصطفى ...كذى الشغل احترافي ..
تسلم الأيدي أخي الطيب ... موضوع مثل هذا أسبوعيا ...يعطي اضافة كبيرة للمنتدى
و ان شاء الله الجميع يضع فيديو للحل في أخر مواضيعهم ..
للاستفادة من الخبرات و أظنها موجودة ... ربما ينقصها بعض الحماس..
و مثل هذه المواضيع يمكن أن تحمس الجميع
تحياتي أخي الطيب

 

[MagicianMiDo32]

الملف مش كان بيشتغل عندي علشان اخبطه Dump
فقعدت أعصلج مع الحماية

معقولة
ايه الي حصل في الدنيا ياولاه
السمارت اسمبلي الي كان مبياخدش غلوة
دلوقتي مش راضي يتفك ولا باستعمال الطبل البلدي

دا غير التودو ابو 2 جنيه بقى ب 4 جنيه ولا علبة التونة وبتاع زبادو دا

دي مش ثانوية عامة دي اخش اطلع الاقي الدنيا اتقلبت
ههههه ياخراااشييييي
دا انا لو كنت رحت افغانستان مكانش حصل كدا

بص أنا عملت كدا بالظبت

فتحت الملف الأصلي بالـ dnspy من غير فك
حطيت نقطة ادخال
وعملت Save module

طلعلي مكتبة الـ Run pe
بس مش بتتفك غير IL بس ومتوهة خالص