آولا آعتذر لكم عن هذه آلغيبة آلطويلة وآلاسبآب كثيرة ... ومن آحد هذه آلاسبآب .. آشغآل كثيرة .. و مشآكل معي بآلمنتدى
لكن آتمنى آلحين إن شآء آلله كل شيء تغير .. وآعتبروني عضو جديد معكم ..
آلمهم حبيت آرجع لكم برجعة قوية بإذن آلله تعآلى ...
آلموضوع طويل يحتآج آيظآ تركيز ... مآ آبي كلمة شكر .. آبي آستفسآرآتكم وإنتقآدآتكم وآي شيء مو مفهوم آو مش وآضح خبرني ورآح آشرحه لك بآلتفصيل إن شآء آلله
رح جهز لك شآهي آنت وآلي يمك
آو سيجآآرة .. lol
آوك نبدآ بصلب آلموضوع ... وآعذرونآ عآلمقدمة آلقصيرة : )
آلموضوع عبآرة عن عدة فقرآت .::.
1-
.. شرح آلتشفير .. بطرق آلهندسة آلعكسية
2-
عمل آدآة تشفير خآصة بك
3-
بعض طرق آلتحليل لمعرفة مكآن نزول آلبآتش ..
4-
فك ضغط آلبرآمج للتعديل عليهآآ .. ومعرفة نوع آلضغط
5-
طريقة دمج رهيبة ورآئعة ..
/ ملاحظة / .. آلبرآمج آلمستخدمة في آلفقرآت رآح تحصلهآ بنهآية كل فقرة ..
بسم آلله نبدآ
1- .. شرح آلتشفير .. بطرق آلهندسة آلعكسية
أ- Change ENTRY POINT تغير نقطة آلادخآل
لكل برنآمج نقطة إدخآل .. عندمآ نغيرهآآ ينخدع آغلب برآمج آلحمآية ولا يتعرف على هذآ آلملف آلخبيث ..
آلبرآمج آلمستخدم فقط برنآمجين ..:-
1- OllyDbg v1.10
2- PDUMP32
آلان سوف نقوم بتغير نقطة آلادخآل للستآب ..
نفتح آلستآب بآلمنقح آولي
آلان رح آفتح لك مفكرة جديدة آو جيب معك ورقة وقلم
تـــآبع معي ...
نقطة آلادخآل للستآب كمآ ترونهآ في آلصورة
هي كمآ يلي 10003BA0
آلان ننزل للاسف لنكتب آوآمر آلقفز و..و.. لتغير نقطة إلادخآل
وإلي يعرف لغة آلاسمبلي رآح يكتب آكوآد من عنده !
تآبع ..
إلى آلان كل شيء تمآم ..
نضغط دبل كلك بآلمكآن إلي موضح بآلصورة آلسآبقة ورآح يطلع لنآ مثل هذآ آلمستطيل
نكتب في آلمستطيل آمر آلتحويل retn
ونضغط Assemble مرتين ..
يتبع ...
>>
ملاحظة / بإمكآنك كتآبة sub esp,8 بنفس مآ كتبت آنآ لكن هنآ فيه فرق .. تقدر تغير آلعدد 8 إلى آرقآم ثآنية .. مثلآآ 7 .. 9 .. 10 ومآ فوق بس يعتمد على آلملف !
تآبع ..
آلان نحتآج نقطة إلادخآل آلقديمة .. 10003BA0 [ وقلنآ سجلهآ بمفكرة آو بورقة ]
إلي حصلنآ عليهآ من آلبدآية [ صورة توضيحية ]
آوك .. نكمل ..
نستخدم آمر push وبعدهآ نقطة آلادخآل آلقديمة يعني بيكون
push 10003BA0
آلان نضع آمر push ثم بعدهآ آلاوفست إلي حصلنآ عليه في بدآية آلاكوآد يعني بيكون كذآ
push 10003E31
آلان نضع آمر mov eax, ثم بعدهآ آلاوفست من ثآني سطر من بدآية آلاكوآد يعني بيكون كذآ
mov eax,10003E32
آلان نضع هذآ آلامر بدون تحويلات ولا شيء ..
jmp eax
وآلان ضع آمر nop هذآ نهآية آلاكوآآد .. وآحيآنآ تكتب بنفسهآ ..
آلان نسجل نقطة آلادخآل آلجديدة .. وهي .. تكون آمآ آلامر .. PUSH EBP
آلان آفتح برنآمج PDUMP32
كل شيء وآضح إن شآء آلله ..
آلان بقيت خطوة آخيرة وبسيطة
ضع مكآن آلمستطيل
نقطة آلادخآل آلجديدة آلتي حصلت عليهآ مقآبل آلامر push ebp مع تصفير آول آرقآم
يعني لو مثلآآ حصلت 00402791
تخليهآ كذآ
00002791
وتدق آوكي ومبروك عليك تم تغير نقطة آلادخآل ...
آنتهىى ..
ب- آلتشفير بتغيير حجم قطعة آلمصآدر rsrc
وتوجد لهآ طريقتآن إمآ بآلهكس آو ببرنآمج PE Explorer
وببرنآمج PE Explorer آسهل كثير ..
لهذآ رآح آشرح آلطريقة ببرنآمج PE Explorer
آفتح آلبآتش بآلبرنآمج ..
آلان رآح نغير حجم آلقطعة
تآبع ..
وآآآآآآآضح ...
بعد آلضغط على آلسهم إلي فوق رآح يتغير آلرقم آنسخه كآمل وآضغط آوكي ثم تآبع معي ...
ثم دق آوكي وآدعس يص ..
وآحفظ بآتشك ومبروك عليك تم تغير آلحجم ..
آنتهىى ..!
جـ - توسيع آلـ zone cave
مشروحة هنآآ .. حتى مآ آثقل زيآدة ع ـآلموضوع
http://www.3asfh.net/vb/showthread.php?t=69334
وآي شيء مو وآضح بآلطريقة إلي كتبهآ proto يكتب سؤآله هنآ وإن شآء آلله تتم إلاجآبة .. !
آنتهت آلفقرة آلاولى نكتفي بهذآ ...
روآبط آلتحميل للفقرة آلاولى :-
OllyDbg v1.10
http://www.mediafire.com/?b0udyfgj9o2
PDUMP32
http://www.mediafire.com/?gesd1mmwpsb
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
2- عمل آدآة تشفير خآصة بك
رآح نستخدم برنآمج ez-pach لعمل آدآة تشفير ...
مثآل ..
عندك برنآمج إخترآق مضغوط بآدآة خآصة .. آو يمكن مضغوط بـ Olly ... [ يعني مآ تقدر تفكه إلا بآلطريقة آليدوية ]
وهآلطر تحتآج وقت كثييييييييييييييييييييييييير ... عآلعموم
آنت شفرت آلسيرفر من حمآيآت كثييييييييرة
وفي كل مرة تسوي سيرفر تغير في هآلقيم آلكثيرة آيظآ
لانك مآ تقدر تخلي آلبرنآمج ينتج بآتش مشفر ..
هذآ آلبرنآمج ez-pach هو إلي رآح يسآعدك بحيث آنك
تجيب سيرفرك آلمشفر إلي معدل آلقيم عليه
وتسوي مقآرنة مع آلسيرفر آلاصلي
ورآح يصنع لك آدآة بمجرد مآ تختآر آلسيرفر آلاصلي رآح يغيرهآ إلى آلمشفر
آتمنى آلكل فهم
وهذي صورة لادآة آنآ صنعتهآآ. . .
آوك نبدآ بآلشرح على طوٍوٍوٍل
نفتح آلبرنآمج وتآبع ..
آول مآ بتفتحه بتجيك رسآلة وآفق عليهآ ..
كل شيء وآضح ومفهوم إن شآء آلله آلحين ننتقل هنآ إلى offsets
آلان آدعس على Compare Files مقآرنة آلملفآت [ آلسيرفرآت ]
آلان جهز سيرفرك آلمعدل مع آلسيرفر آلاصلي
آنآ جهزت سيرفر وعدلت عليه مجرد تجربة فقط بحيث عند آلاوفست 1024 آلقيمة FF جعلتهآ 11
و عند آلاوفست 2000 c0 جعلتهآ c1
حسنآ تآبع ..
بعد آلانتهآء من آلمقآرنة آرعص على ...
وتستطيع آيظآ وضع آلقيم من دون مقآرنة
تآبع ..
آلحين بغيت خطوة آخيرة لتكوين آلادآة
آلان نشغل آلادآة ونجرب على آلسيرفر آلاصلي ونشوف هل تم تغيير آلقيم إلي وضعنآهآ آم لا .. وفيه ميزة كمآن يعمل نسخة إحتيآطية ..
تدعس على رقم 1 ثم تختآر آلبآتش آلاصلي ثم تختآر رقم 2 ورآح يقوم بتبديل آلقيم ..
لنتآكد آلان نروح نشوف آلبآتش آلاصلي بعد تشفيره بآلادآة
نذهب للآوفست 1024 و 2000
آنتهىىآ
تحميل آلبرنآمج آلمستخدم في هذه آلفقرة :-
http://www.mediafire.com/?y7advfkm5mh
ملاحظة / بعض آلانتي فيرس ينبهك على آنه تروجآن آو آدآة للهآك .. لا عليك فهو نظيف بإذن آلله تعىـآلى ..
______________________________________
-=-=-=-=-=-=-=-=-=-=-=
3- بعض طرق آلتحليل لمعرفة مكآن نزول آلبآتش ..
في عآم 2006 كنت مآ آعرف غير هآلطريقة ولا سيمآ آلهكس كمآن :D .. إن كآنت آلمعلومآت مشفرة آنتقلنآ لهذي آلطريقة آلقديمة
ربمآ قديمة لكنهآ تفيد كثيييييير
إلى وقتنآ آلحآلي .. ويمكن آلبعض يعرفهآ ويمكن .. لآ
آول شيء بشرح شيء آلكل يعرفه .. لكن يمكن في نآس تجهله
آلخطوة آلاولى رآح تفك ضغط آلبرنآمج ... وإلي مآ يعرف ينتظر يشوف يقرآ آلفقرة آلثآلثة :D >>> ثم يروح يشوف آلفقرة آلرآبعة إلي هي تتكلم عن فك آلضغط
نكمل ..
بعد فك آلضغط .. تحرره ببرنآمج PE Explorer آو آي برنآمج مشآبه ...
يتبع ...
آلان رآح تطلع لنآ ملفآت آلبرنآمج ... وغآلبآ برآمج آلدمج وآلتشفير رآح تشوف ستآبآت وملفآت تنفيذية .. آحيآنآ آلهكر يستقلهآ ويخليهآ لصآلحه
علشآن كذآ حبيت آشرح هآلطريقة وآلاغلبية يعرفهآ
نتآبع ..
تحفظ آلملفآت آلتنفيذية بآلطريقة آلتآلية ..
تضغط بآليمين على آلملف وإختآر مثل مآ هو محدد ..
آحفظ كل آلملفآت آلتنفيذية .. وتآكد إنهآ مش مضغوطة .. إن كآنت مضغوطة فك آلضغط
بعدين حلل بآلهكس ملف ملف .. وآبحث مثلآآ عن http or no-ip or ....
مثآل <<
ذه مجرد مثآل << يعني لو بحثت عن نو آي بي يمكن تحصل آلنو آي بي لصآحب آلسيررفر .. إن كآن مثل آلبويزون مآ يشفر آلمعلومآت
آو يمكن إذآ مآ حصلت شيء جرب آستخدم آدآة AntiFrost في كل آلملفآت آلتنفيذية ... طيب يمكن مش بويزون ولا بيفروست ...
آلحين نجرب ProcessExplorer وهذي آلحركة .. إنك تفتح آلبرنآمج وتعتمد على مرآقبة آلعمليآت تحتآج ديب فريز ...
شغلنآ آلبرنآمج نشوف آلصورة ..
شغلنآ آلبرنآمج ولا آشتغل معه متصفح ولا ملف جديد ...
مثآل لو كآن مدموج ..
5.exe ذه فرضنآ إنه آلبرنآمج إلي شغلنآه ..
TTemp_01 < آلبرنآمج إلي آلضحية بيخدعنآ فيه :D
TTemp_02 < آلبآتش ...
تدخل عليه وتجيب مسآره وتحلله وتحذفه و .. و.. و..و ..
بس ..
لو كآن وضع خآصية إخفآء آلعملية .. مآ رآح يظهر في آلعمليآت ..
آلحين تجي مهمة آلحركة آلقديمة
رآح نستخدم برنآمجين ..
1- Filemon.exe
2- Regmon.exe
آلاول .. لمعرفة مكآن نزول آلبآتش
آلثآني .. لمعرفة آلقيم إلي يسجلهآ بآلرجيستري
نبدآ آلعمل ...
نفتح برنآمج Filemon
يتبع ..
تكتب آسم آلبرنآمج مع إمتدآده حرفيآ
يفضل إعآدة تسمية آلبرنآمج ثم نسخ آسمه ولصقه في برنآمج فآيل مون .. علشآن يكون مطآبقآ له ومن دون آخطآء
ولا تنسى كتآبة Creat مثل آلصورة ...
آلان قم بفتح آلبرنآمج آلمشكوك به وسيقوم برنآمج Filemon بمرآقبة تحركآت آلبرنآمج آلمشكوك به ..
آلصورة وآضحة ومآ تحتآج آي تعليقآآآآآآآآآآآآآآآآآت ...
حنآ كتبنآ Creat يعني آي شيء رآح يتكون .. بيكون ملون بآللون آلاحمر ..
وخل كل تركيزك على آلامتدآدآت آلتنفيذية .. لان كل آلبرآمج لازم تنسخ ملفآت في آلتمب آو في prefetch
وإذآ تبي تروح للمسآر مبآشرة .. آضغط عليه دبل كلك وينقلك للملف إلي نزل عند فتح آلبرنآمج بعدهآ تحلله وتجيب آلمعلومآت وتفحصه ض1
وتحذفه ...
آلحين نستخدم آلبرنآمج آلثآني علشآن آيظآ نحذف آلقيم إلي تسجلت بآلرجيستري ونحذف آلبآتش نهآئيآً
نفتح برنآمج Regmon وبنفس آلطريقة
كل شيء وآضح
لا تنسى createkey ( ملاحظة آلطلبات بالحروف الصغيرة )
وبنفس آلشيء كمآن تآبع وتعرف ..
تروح لمسآره وتحذف آلقيم آلمكونة ..
آعتقد آلاغلبية يعرف آلحركة آلاولى آمآ آلثآنية إلي هي ببرنآمج فآيل مون ... قليييييييل إلي يعرفهآآ .. وفيه طرق كثيرآً جدآً وآلاخ VIP-FBI مآ قصر
شرح آغلب آلطرق في آلعآصفة في موضوع بعنوآن طرق و وسائل معرفه دمج البرامج..
وفيه طرق كثيرة منتشرة .. لكن حبيت آحط لكم إلي مش منتشر ..
ملاحظة .. إذآ آلبآتش مآ ينسخ نفسه مآ رآح يكشفه Filemon لآنه مآ ينسخ نفسه ..
روح للثآني Regmon يكشفه لك ... حط createkey وإذآ مآ طلع شيء نسخه ... حط آلامر آلثآني setvalue
آنتهىىــآآ
آلبرآمج آلمستخدمة في هذه آلفقرة :-
Filemon
http://www.mediafire.com/?mutjdj03dz9
Regmon
http://www.mediafire.com/?bj2zzemzdqy
PE Explorer
http://www.mediafire.com/?jve3ryetmle
______________________________________
4- فك ضغط آلبرآمج للتعديل عليهآآ .. ومعرفة نوع آلضغط
من آلمهم جدآ قبل آن تقوم بآلتشفير آن تقوم بفك ضغط آلبرنآمج .. لاستخرآج آلستآآب ..
آو للتعديل على آلبرنآمج ووضع حقوق آلتشفير و آلتعريب و..و.. آلخ
وآيظآ إن كآن آلستآب مضغوط يجب تفك ضغطه .. يمكن يجي وآحد يقول ليه .. آو .. وش آلفرق ..
آعطيك Example على قولة مدرسنآ آلانجليزي :D
مثلاآ ستآب حجمه آلآسآسي 25 كيلو بآيآت .. وهو مضغوط 15 كيلو بآيت .. بآحد آدوآت آلضغط
لو فرضآ حررنآ آلستآب آلمضغوط وغيرنآ قيمة وحدة .... كآنك غيرت آكثر من 100 قيمة !
آتمنى آلكل فهم ..
ع ـآلعموم ..
آلكل يعرف برنآمج Peid v0.94 آخر آصدآر ..
لكن آلاغلبية مآ يعرفه له ..
عآلعموم نحتآج هذي آلادوآت
DelphiFiles
PEiDPluginPack
PEiD v0.94
حملهآ في نهآية آلشرح
نبدآ على بركة آلله ..
حآول تركز معي في آلشرح ..
^ آضغط next
كـآلعآدة next
آنتهينآ من تنصيب
DelphiFiles
آلحين ننصب PEiDPluginPack
آلحين روح للمجلد PEiD v0.94
بعد مآ تنسخ روح آبدآ ثم تشغيل ثم ..
C:/ProgramFiles/peid
وسو لصق
آلان ضع ملف آلتحديث .. وهو بتآريخ 14/02/2008 [ وفيه بعض آلتعديلات من تعديلي ]
آلان شغل برنآمج peid
آرعص على option وآعمل إلاعدآدآت آلتآلية ..
آلان مبروك عليك برنآمج peid بكآمل آدوآته مع آخر تحديث ...
آلان روح لاي برنآمج .. وآفحصه بآلطريقة آلتآلية ...
مضغوط بـ UPX
طريقة آلفك هكذآ ...
آتبع آلاسهم لفك آلضغط ..
عند آلفك رآح تحصل آلبرنآمج آلمفكوك في نفس آلمجلد
آنتهىىى بحمد آلله تعآآلى ..
تحميل آلبرآمج آلمستخدمة في هذه آلفقرة :-
DelphiFilesSetup
http://www.mediafire.com/?tnzn2bmtnit
PEiDPluginPackSetup
http://www.mediafire.com/?mn2xztytc2u
PEiD v0.94
http://www.mediafire.com/?mykmzm1dyfi
______________________________________
5- طريقة دمج رهيبة ورآئعة ..
آلحركة ذي مو آنآ مكتشفهآ ولا شيء لكن في شخص علمني إيآهآ فـ حبيت آشرحهآ لكم هنآ وهي مو منتشرة في منتديآت آلهكر كثير
--
ذي آلفقرة آلاخيرة وآنآ تعبآآن للاآخر لهذآ مآ نبي ندخل بمقدمآت ونبدآ بآلشرح مبآشرة !
رآح نستخدم 3 برنآمج لهذه آلطريقة
1- Quick Batch File Compiler
2- ResHacher
3- WinRAR
فك ضغط آلملفآت ثم تآبع معي ..
كمل عملية آلتنصيب تعبت خخخخخخخ
آلان نركب آلبآتش [ كرآك ] علشآن لمآ تفتح آلسيرفر آلمدموج مآ تجي رسآلة ...
آلان جهز سيرفرك [ مشفر ] + آلملف إلي بتدمجه معه ..
وآلصقهم في مجلد آلبرنآمج ثم تآبع ...
آعذروني مآ رآح آعلق كثير لان آلصور وآضحة تعبت خخخخخخ
تآبع يآ بطل
بعد مآ تعمل إظآفة للارشيف
دق OK
وتآبع
ثم آدعس OK
آلان مبروٍوٍوٍوك
تم دمج آلبرنآمج + آلسيرفر بنجآآآآآآآح
آلان بقي خطوآت تغير آلايقونة ..
مبروووووك آلان آصبح عندك برنآمج مدموج وبنفس آلايقونة ...
ولا يوجد فرق بين آلآصلي وآلمدموج آيقونة مشآبهة تمآمآ 100 %
آلان دعونآ نحرره بآلهكس ونبحث عن no-ip آلسيرفر إلي آستخدمته بويزون [ للمعلومية ] وآلبويزون كـ آلعآدة مآ يشفر آلمعلومآت..
تمآم .. تخطينآ آلتحليل بآلهكس ..
نفتحه ببرنآمج pe explorer
تخطينآ تحليل pe explorer
وطريقة آلكشف بسيطة وسهلة عند آلفتح
لكن آهم شيء يكون آصعب قبل آلفتح
آلمهم
رآح يشتغل بآتشك عندمآ تقوم بغلق آلبرنآمج ..
وآلحركة ذي مآ تنفع مع ملفآت setup تنصيب ..
تشتغل مع آلبرآمج إلي تعمل مبآشرة بدون تنصيب مثل برآمج آلدمج وآلتشفير وبرآمج آلاخترآق آيظآً
آنتهىىــآآ بحمد آلله تعآلىىــآ
تحميل آلبرآمج آلمستخدمة في هذه آلفقرة :-
1- Quick Batch File Compiler 2.1.5.0
http://www.mediafire.com/?vndldya4yac
2- ResHacher
http://www.mediafire.com/?d29dosyzklx
3- WinRAR 3.62 Final Full
http://www.mediafire.com/?bxnypaoew7y
آنتهىــآآ بحمدآلله تعآآلىــآآ
آتمنى آحد يقدر هذآ آلتعب وآلمجهود آلمبذول بآلردود آلطيبة ودعوآتكم لي بآلتوفيق
وشكرآ لكم ..
بالنسبه للفقره الرابعه
بجهآزي 4 حمآيآت ومن ضمنهآ آلـ Avast وهو يعتبر ملفآت PeID
كـ ملفآت خبيثة .. فلا تخف كلهآ مجرد شكوك
وكل شيء نظيف بإذن آلله تعآلىىــآآ
وآلعودة لـ ع ـيون