• 0
Shadi Habbal

تشفير وفك تشفير الملفات التنفيذية - الجزء الثاني

سؤال

هذا المقال تابع لمقال الاخ JAAS, الجزء الاول تجده هنا: http://www.arabteam2000-forum.com/index.php?showtopic=46691

المقال مرفق.

ملاحظة: تم تعديل الملف EncTest.exe في المقال لانه كان يحوي خطأ بسيط عند التحقق من السيريال, استبدله بما في الحزمة

EncTest.zip هو الملف المحمي

EncTest.rar هي ملفات المشروع بعد التصحيح

________________________________________________.rar

EncTest.zip

EncTest.rar

تم تعديل بواسطه Xacker
0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

20 إجابة على هذا السؤال .

  • 0

شكرا على المقال و جارى التحميل و القراءة

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

شكرا جاري التحميل وان شاء الله القراءة بعد الامتحانات

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

لم استطع الانتظار فقرات الموضوع قراءة سريعة :rolleyes:

يبدوا انه مقال رائع من كاتب اروع ;)

انتظر انتهاء الامتحانات حتى اقرئه بتاني -_-

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

هو مقال عادي من كاتب عادي.. ايضا انا كتبته على السريع واخد حوالي 3 ساعات وبعدها اعصابي انهارت فما قدرت اني راجعه وصحح شي او عدل فيه :P

المهم من كل المقال ومن مقال الاخ JAAS فكرة انه نتعلم كيف تشتغل برامج الحماية ونفهم احدى الافكار اللي بتستخدمها وكيف نقدر ونحلل بشكل منطقي.

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

شكرا و تم التحميل وان شاء الله سوف اقرأه في العطله

وأنتظر أسألتي ;)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

وصلت أسألتي :D

س : في القسم الثاني (قسم rdata) نسخته من البدايه الى القيمة 79 70 65 57 فلا ادري إن كان هذا النسخ صحيح ؟

س : في اخر المقال تحديدا في تصحيح العنواين الظاهره في الـImportTable , كيف عرفنا القيم الجديده التي وضعناها ؟

س : وتصحيح بوابات الـRVAs أين أجدها ؟

وممكن رابط لبرنامج LordPe الذي تستخدمه ؟

اسف لكثرة الأسئله :(

تم تعديل بواسطه zero-cool
0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

ج1: لا املك سوى ملف المقال لذا لا يمكنني التاكيد على القيمة, لكنك تعلم بان اخر بايتات ياتي بعدها اصفار تنتهي بنهاية القطعة في الذاكرة بالتالي انت تعلم ان النهاية المطلوبة هي عند البايتات الاخيرة في الجزء المستخدم.

ج2: هذا الامر ناقشته في مقالين سابقين: http://www.arabteam2000-forum.com/index.ph...topic=68966&hl= / http://www.arabteam2000-forum.com/index.ph...topic=56525&hl=

هذه القيم هي القيم الخاصة بالازاحات (بصورة RVA) تدل على المعلومات المطلوبة في جدول الموارد او التي تشير الى الـ FirstThunk وخلافه

ج3: لا يوجد داع لوضع بوابات RVA, البوابات تكون بالشكل:

xxxxxxxx: call dword ptr [yyyyyyyy]
...............
...............
yyyyyyyy: jmp dword ptr [zzzzzzzz]
...............
...............
zzzzzzz: ??????77

هي الـ jmp التي تقوم بطلب العنوان الذي تم استعادته في zzzzzzzz وهو عنوان ضمن الـ FirstThunk اما الـ yyyyyyyy فيمكن ان يكون موجودا في اي مكان في الملف (طبعا مع مراعاة الطول بين التعليمة CALL والعنوان وان يكون ضمن قطعة قابلة للقراءة)

lordpe.txt

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

لقد قمت بتطبيق الدرس

ولكن عندما انتهيت وحاولت فتح الملف اعطاني رسالة خطأ ولم يفتح معي

الرساله :

(نقطة الإدخال غير موجودة) تعذر تحديد موقع نقطة إدخال الإجراء int not loaded في مكتبة الارتباط الحيوي KERNEL32.dll

والملف موجود بالمرفقات

dumped.zip

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

طبقت المقال لكني لم التزم حرفيا به وقد واجهني ما واجهك اخي zero-cool لكن كما قلت لم التزم حرفيا به، وصلت الى الافكار المرجوة منه وقمت بخطوات يدوية بما رايته الافضل وحصلت على الملف بدون الحماية.

تذكر: Think outside the b0x

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

في الحقيقه انا التزمت بالشرح حرفيا

ولكن اظن المشكله حدثت عندما حاولت استرجاع قسم الـData وقسم الـRes من شرح اخي JAAS

الرجاء رؤية ملفي الذي ارفقته وإعلامي ما الخطأ ؟ وكيفية تصحيحه .. ؟؟

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

ملفك المرفق هو المثال التابع لمقال JAAS، لا اذكر ما كان الـ EP في مقاله, هل فكرت في تصحيحه بعد ان قمت بالحصول على نسخة الـ .text لانه على ما يبدو بقي 7001 بينما حسبما اذكر كان 15xx او شئ قريب من هذا.

اعتقد ان قسم ال rsrc ايضا غير صحيح لانه ما زال هناك بيانات معطوبة

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

هذا الدرس يشرح كيفية فك الملف الذي ارفق في درس JAAS

وانا اتوقع ان الخطأ في القسمين الأخيرات rsrc + data

ولكن لا أدري ما الخطأ بالضبط ؟؟

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

الدرس يشرح كيفية فك اي ملف محمي بـ Aspack (ام كان aspr؟ نسيت :P)

المهم ان التطبيق كان على الملف المرفق اما بخصوص الملف الموجود في مقال جااس, فكما قال Dahaka يجب الا تلتزم حرفيا بالمقالات بل ابتكر افكارك الخاصة منها.

وايضا لم تجب على سؤاله, لمَ لمُ تقم بتصحيح الـ EP, وقسم .rsrc واضح فيه بيانات معطوبة, انظر عبر LordPE الى قسم Resource ومن ثم انقر على اي من البيانات الفرعية وانظر الى الحالة التي تظهر عند دليل الاوفست, تظهر عبارة [ERROR] يدل على وجود خطا في العناوين المرجعية.

مرة اخرى, think outside the box

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

شكرا لكم

سوف احاول الأن تصحيح الـEP وقسم rsrc

تم تعديل بواسطه zero-cool
0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

حاولت تصحيح الـEP ولم استطع ونفس الكلام لقسم الـRsrc :wacko:

ممكن حل يا شباب :(

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

مشكور على الجهود

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

لم انتبه الى مشاركتك يا zero-cool الى اليوم, هل ما زلت تواجه المشكلة ام حلت باذن الله؟

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0
لم انتبه الى مشاركتك يا zero-cool الى اليوم, هل ما زلت تواجه المشكلة ام حلت باذن الله؟

المشكله حلت ولله الحمد

واشكرك اخي Xacker على اهتمامك

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

الحمد لله, هل لك ان تذكر للاخرين ما قمت به.

شكرا وبالتوفيق

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

لي سؤالين :

1-

لقد قمت بالتعديل بقسم ال text (طبعاً عدلت في قيم الحجم الفعلي للقطعة) ولكن بعد حفظ الملف لم استطيع فتحه مرة اخرى (حتى اتمكن من عمل attach له من olly) حيث تظهر رسالة خطأ في عنوان ما ! ... حاولت فتحه بشكل عادي دون تحميله من الذاكرة open وعدلت في rdata ونفس الأمر حصل ولكن بعنوان آخر في رسالة الخطأ !! ..

2-

عند محاولة الوصول للـ RVA لمكتبة الربط Kernel.dll استطعت أن اجد عنوان المكتبة :rolleyes: ولكن :( لم استطع ايجاد الــ RVA نفسه فهو غير موجود أصلاً !!!! وتأكدت من ذلك بقيامي بعملية البحث عن العنوان بنفس الطريقة .

الملف المعدل مرفق وأرجو المساعدة فطبعاً هذه المشكلة قد تكون متكررة عند 1000 واحد غيري أو أكثر

وجزى الله Xacker خيرا على هذا العلم النافع الذي أرجو أن يكتب في ميزان حسناته .

بارك الله فيكم

سلامي

xxcprss1.zip

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
زوار
This topic is now closed to further replies.

  • يستعرض القسم حالياً   0 members

    لا يوجد أعضاء مسجلين يشاهدون هذه الصفحة .