27.12.2017 Replace Specific Bytes in Byte Array Clean VirusTotal 0/61


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,571
2,967
1
حياكم الله ياشباب
الاخ سليمان نزل موضوعه هنا منذ شهور
[SRC] Changing Bytes & Saved then Return Orginal Bytes Runtime
وفتح بذلك باب واسع جدا وشيء لم يذكره احد منذ عهد الاخ بركان
وهو تفصيل وفهم بنية ملف الpe حيث انه عند فهم بنية الملف
اللي منتعامل معه يوميا عند التشفير والتلغيم ووو
رح يكون عندنا خيارات قوية وغير متداولة في ايامنا
هنا ملاحظة الاخ سليمان في اخر موضوعه
مُلاحظة : هذه نقطة بسيطة و يمكن بهالفكرة عمل الكثير كـ إزالة أولى الستركشرات التي توضع بأول الملف و قراءة ملف المُشغل و نسخ ستركشراته و إضافتها للملف المعطوب الذي أزلنا ستركشراته


قلت في نفسي من كم يوم ليش مااستهدف اوفست معين بايت معين بالكلاينت
وهالبايت يكون حيوي وعند استهدافه وتغييره يعطينا كلين من الحمايات !
هل تتوقع وجود مثل هذا الاوفست .؟
نعم وجدته فكل الحمايات القوية كلها عجزت انها تكشف كلاينت ريفينج رات خام ..
واللي كشف الخام هي اربع حمايات غير معروفة ابدا وكشفته بقيمة revengerat
السبب حكيت عنه من قبل يجب اخفاء او تمويه مفتاح الاتصال
رجعت جربت على كلاينت ريفينج رات معدل والنتيجة كانت كلين من الكل
حتى من الاربع حمايات اللي كانو كاشفين الكلاينت الخام بدون تعديل
بعضنا نعلم ان البنية الاساسية لpe
"exe,dll,ocx"
تتكون من خمسة اقسام
قسم منها هوة قسم قائمة تعريف ال pe header
اللي بتمثل الجزء الاساسي من بنية الملف وبيشمل 248 بايت كما في الصورة





اذهب للكلاينت الخام الخاص بك وافحصه من افيرا او اي انتي فايروس نود مثلا
وافحصه طبعا النتيجة معروفة رح يحذفه ويكشفه
طيب الان ارجع افتح الكلاينت الخام وانظر معي للجهة اليمنة لبداية القسم المذكور
رح تشوف مثل بالصورة هنا





هذه ال02 هي NumberofSections تمثل عدد اقسام البرنامج
ممكن تكون 3 او اكثر اذا مااردنا اضافة
سكشن يجب تعديلها طيب غيرها ل09 مثلا
وارجع افحص بالافيرا او نود رح تشوف الملف صار كلين منهم
واكيد الملف لن يعمل الا باضافة سكشنس بعدد المكتوب
الان منرجع لموضوع الاخ سليمان وهو عبارة عن استبدال اول كم بايت بالاسمبلي
ومن ثم عند عمل load بيتم ارجاعهم للملف وتشغيله
لهيك دورت على فانكشن بتيح لي هالامر وشفتها هنا المصدر
C# Replace bytes in Byte[]
عدلت عليها ليصير الناتج انظف وايضا عند تغيير يدويا 02 ب09 ومن ثم عمل ارجاع
بينعطب الملف لهيك لجأت لانني اغير 2 اوفست
02 و 00 يدويا ب _^ واللي هيه 5F5E
وعند عمل لود استبدالهم ب 0200 مثل مكانو
قد يقول قائل ان الكلام هذا سكان تايم بقول لك جرب وشوف
حسب الفديو اللي صورته لكم ران تايم مش سكان تايم
جرب حتى على كلاينت خام مش معدل الافيرا مابيحكي حرف
والنود بيعطيك اشعار فقط بس الكلاينت الخاص بك شغال تمام التمام
هنا موضوعي نفس الشي
اخترق بسيرفر خام !! كلين من الكل ؟ > وتخطى النود بنقطة ادخال عادية
عكسنا البايت اراي ومن ثم بالذاكرة عكسنا المعكوس وشغلناهم
يعني رجعنا الكلاينت لوضعه الطبيعي بس عند عمل لود
نفس الشي شوف الفديو وشوف تجاوز النود بس ب اشعار ان كان الكلاينت مش معدل
اما ان كان معدل مابيحكي حرف ..
هنا ايضا موضوع بنفس المقصد
New Trick Base64String
زدت بايتات على الملف ببدايته وحول الملف كله لبيس64 خليته بالكليبورد يخزن فقط
قيم البيس64 الخاصة بالكلاينت فقط وعند جلبهم من الكليبورد وتشغيلهم
بنقطة ادخال عادية "حتى ماتفكر انو نقطة الادخال السبب" تم تخطي النود
ومرة ثانية اقول الكلاينت خام مش معدل لهيك مع اشعار
اما انت هل تستطيع تخطي النود بنقطة ادخال عادية وقيم بيس64 اكيد لا
تحتاج لنقطة ادخال جديدة او مغيرلها طريقة الاستدعاء وقتها نعم
اما غير ذلك لا ..او ممكن باور شيل بيصطدم بعملية موثوقة فبيطلع بس اشعار
المهم طولت كلام وحكي بس للي بده يشوف الفديو هنا
والفديو بالموضوعين السابقين رح يعرف انو ران تايم مش سكان تايم
انك تسوي كلاينت خام سكان تايم كلين شيء ماكثير رح تقدر عليه
فكيف انك بدون تشفير تجي تخترق بوجود حمايات تعتبر قوية
نصائح قبل ماانهي الكلام
ان محبيت وجود ملفين احقن البايتات او حطهم بالريسورس او اجلبهم من النت
اعمل اللي بدك اياه لاتخلي السورس مثل ماهو العب فيه مثل مابدك
المهم انت فهمت الفكرة اما وجود البايت اراي وين هذه شغلتك
هنا السورس



مثل ماقلت لكم لعبت شوي بالفانكشن ماكانت هيك من المصدر
شوف الفديو وانت تفهم ان مافهمت هون "الفديو بدون صوت لانه مايحتاج صوت"
نتيجة الفحص هنا كلين
Results | Metadefender.com
اللودر كلين والكلاينت كلين افحص براحتك
الموضوع يحمل حقوق فكرة الاخ سليمان
مع تغير بسيط بالتفكير من قبلي والاخ نزل موضوعه عشان نفكر اكثر
وايضا يحمل حقوق الاخ بركان فمن موضوعه تعلمت كل شي قلته هنا

لمشاهدة الفديو من الرابط هنا
https://drive.google.com/file/d/1N7BEPUhxMKNsLc6Dw2E2ZnhCEpSFzqHT/view?usp=sharing
 

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك