• 0
ghadeer-youseef

التشفير " التمويه عن برامج الحماية"

سؤال

طرح علمي يرجى المشاركة

 

التشفير: سباق كبير بين الهكرز و مبرمجي برامج الحماية سباق لا ينتهي .... 

 

كما أعلم أن برنامج الحماية يعتمد أسلوبين : سوف أطرح الأسلوبين و كيفية التشفير 

 

الأسلوب الأول : التواقيع ... 

 

يعتمد برنامج على تحليل الملف و تحويله إلى قيم هيكس و تحديد أسطر تعتبر التواقيع : 

 

مثال : 

 

invoke MessageBox,  NULL, ADDR MsgText,  ADDR MsgTitle,  NULL 

 

بالهيكس يصبح 

 

6A00680D30400068003040006A00E80D 

 

فلنفترض 

 

فلنفترض هذا الكود يقوم بالاتصال بين السيرفر و الكلينت و هذا الكود يعتبره الانتي فايروس توقيع :-)

 

و التشفير من هذا الأسلوب سهل و بسيط : 

 

يعتمد على فهم بيئة الملف التنفيذ لأن الفيروسات ملف تنفيذي لكي نتمكن من فهم القيم الهيكسية و ماذا تدل يجب علينا فهم بيئة الملف التنفيذي PE 

و من ثم اكتشاف ماهي القيم و العمل على تعديلها .... و لكن الأساليب المتمدة بشكل أدق :

1- نقوم بزيادة حجم السيكش او تقليله 

2- استغلال ثغرت فيض المخزن 

3- حقن كود ...

و لكن هنا يأتينا سؤال مهم مهم جداً 

هل يعتمد التوقيع : على القيم ضمنه فقط   أو  على القيم و مكان القيم في الملف :

فرضاً أن التوقيع يمتد من الأوفست رقيم 1125 الى الافست 1130 فرضاً يحتوي القيم القيم  6A 00 00 86 00 00 00 25 20 0E ..... التي تمثل فرضاً كود الاتصال بين سيرفر و كلاينت هل يعتمد التوقيع على القيم الذي يحتويها ققط او على مكانها .... أي اذا قمت بنقل الكود إلى مكان أخر ضمن السكشن هل يعتبر المكان الجديد للكود توقيع او يتجاوزهاا ...سؤال هام يطرح التسألات التالية : 

 

اذا كان يعتبرها توقيع فهذا يدل على أمر هام ان يوجد بعض الدوال او الاكود بمجرد وجودها ضمن ملف تعتبر ملف ضار .. فيروس و لا أظن هذا لماذا لأنه معظم دوال فيروس تروجن و برمجته تعتمد على برامج السيرفر كلاينت ولكن المسنجر ليس فيروس :-)  يرجى من الخبراء الاجابة .....
اما اذا كان لا يعتمد على المكان ... هناك حل بسيط نزيد حجم السيكش الأول فيتغير موقع جميع القيم بعد السيكش الأول ... و نقوم بنقل الكود الذي يعتبر مكانه في الفيروس توقيع الى مكان أخر ضمن نفس السيكش .
و هنا سؤال آخر .... 
اذا كتبنا الكود الذي يحمل التوقيع في مكان فارغ في السيكشن هل يمكننا حذف الكود الاصلي او تعديله  لينقلنا الى مكان الكود الاصلي  الى المكان المنسوخ فيه و نغير EIP بحيث ينتقل من الكود المنسوخ الى الكود الذي يلي الكود الاصلي .... :-) يرجى الاجابة من الخبراء ... 
اي عندما نفهم ماهية الملف التنفيذي نفهم كيفية قدرتنا على التعديل .... 
#############################################################

الأسلوب الثاني #

##########

شرح بسيط عندما يتم تثبيت برنامج مكافحة الفيروسات يقوم بتركيب نظام وهمي لفحص الفيروس ... !!! نعم يقوم بذلك !! 

أي أنه لا يفحص الهيكس بل يقوم بتتبع عمل الملف في الذاكرة في النظام الوهمي ... الأمر معقد .. و لكن ليس الى هذه الدرجة ...
يمكن ان نتجاوز هذا الأمر بعدت طرق ... 

هو أن نجعل الملف أي الفيروس يقوم بوظيفته قبل بدء الانتي فايروس بالفحص يعني بالعامية يخبص الخبصة قبل ما يمسكه الأنتي فايروس من خلال تقنية تسمى حسب علمي الريل تايم الوقت الحقيقي .. 

أو حقن كود يقوم بتعطيل الانتي فايروس جميل :-) يشتغل يعطل الانتي فايروس يكمل ..

و هناك طريقة هي عملية التمويه في الذاكرة : لم أفهمها كثيراً هكر أجنبي يشرحها لي .... و هي كالتالي :

عندما يستدعي الفيروس وظيفة ما و يحملها على الذاكرة يقوم في حال الانتهاء من الوظيفة يخفي اثره من الذاكرة حتى يعيد طلب تنفيذ مرة جديدة ؟
#####################################################################################

الكلام كثير و كثير و حبيت نواكب عالم التشفير :

ممكن لخص الأسئلة كما يلي : 

1- اعتماد التوقيع على القيم فقط أو القيم و مكان القيم 

2- هل يمكن ان نتحكم بتتبع البرنامج اي نجعله ينتقل من مكان الى اخر لنقوم بعملية نقل الكود 

3- الـVirtualizing ماهو !!!! تقينية تشفير لم افهم ما اسلوبها 

4- الـMorphing ماهو !! تقنية تشفير ما اسلوبها 

5- سوال فني :-) نقول نريد أن نشفر هذا البرنامج ضد الهندسة العكسية هل هذا التشفير ينفع في التمويه على برامج الحماية ...!!!

6- هل يوجد أكود تقوم بتشفير النص البرمجي و هل هذا ينفع في التمويه على الانتي فايروس ..

هناك كتاب لتشفير الفيروسات باللغة الاجنبيه .. رح أنزله الصراحة مو كتتير صحبة من الكتب الاجنبيه رغم اني مقضى عمري معهاا :-) 

 

 

أخوكم في الله غدير 

1

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

1 إجابات على هذا السؤال .

  • 0

مشكور

1

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

من فضلك سجل دخول لتتمكن من التعليق

ستتمكن من اضافه تعليقات بعد التسجيل



سجل دخولك الان

  • يستعرض القسم حالياً   0 members

    لا يوجد أعضاء مسجلين يشاهدون هذه الصفحة .