منتدى اهل بغداد
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.


منتدى متنوع
 
الرئيسيةأحدث الصورالتسجيلدخول

منتدى اهل بغداد :: منتدى التكنلوجيا :: منتدى الهكر و الاختراق
 

 أسرع طريقة لتقسيم الملف ومعرفة مواضع التشفير بالهكس <لليفتهمون فقط>

اذهب الى الأسفل 
كاتب الموضوعرسالة
muhammed
عضو صاحي



ذكر عدد الرسائل : 14
العمر : 35
العمل/الترفيه : كاعد على النت
المزاج : تحشيش اصلي
تاريخ التسجيل : 19/06/2008

أسرع طريقة لتقسيم الملف ومعرفة مواضع التشفير بالهكس <لليفتهمون فقط> Empty
مُساهمةموضوع: أسرع طريقة لتقسيم الملف ومعرفة مواضع التشفير بالهكس <لليفتهمون فقط>   أسرع طريقة لتقسيم الملف ومعرفة مواضع التشفير بالهكس <لليفتهمون فقط> Emptyالسبت يونيو 21, 2008 11:30 am
سم الله نبداء
أولاً : الهدف من هذا الشرح بشكل أساسي كيفية حصولنا على الموقع أو القيمة التي عند تغييرها لا

يتم أكتشاف الملف من قبل برامج الحماية بأسرع طريقة ممكنة ، وأذكر الأخوان الذين يقولون أن

التشفير يأخذ من وقتهم خصوصاً إذا كان الملف كبير نسبياً أو مشبوه أو الاثنين معاً

أنه بعد هذا الشرح راح توفر وقتك وجهدك ، لكن لازم تكون مروق وآخر مزاج

ثانياً : سوف نستخدم ملف كبير نسبياً ، هو سيرفر برنامج

CIA 1.23pd1




من النت امن البرامج الموجوده بالمنتدى


ثالثاً: التشفير سوف يكون عن البرامج التالية

KasperSky





Norton





AntiVir





Mcafee VirusScan Enterprise 8.0.0






بعد تحميل البرنامج وتكوين سيرفر ( غير مضغوط )

نحرر السيرفر بالهكس

وننتقل من بداية الملف للقيام بالتغيير في البيانات الاساسية للسيرفر

لا يجي واحد يقول كيف نعرف البداية ؟؟ لاننا سبق وتطرقنا لهذا الكلام مرات عديدة

وللتذكير فإن أغلب البرامج التنفيذية تكون مقاربة لما في هذه الصورة

وهي التي لا نقوم بتغييرها وتكون البداية من بعدها




طبعاً هنا راح نبداء من الاوفست 1000

كنا في السابق مع السيرفرات الصغيرة نقوم بتغيير الجزء الايمين Txit

أو الجزء الأيسر Hex

عن طريق الاستمرار بالضغط على مفتاح معين لكي يتم التغيير وكنا كذلك نغير في عدد محدد من السطور لا يتجاوز خمس أو ست سطور ، نظراً لصغر حجم السيرفر
وقلة السطور داخله . اما مع ملفنا هذا لو أتبعنا نفس الطريقة يمكن نجلس ساعات طويلة ما لحقنا نحصل القيم والمواقع ، فما بالك إذا كنا نشفر عن أكثر من حماية أيضاء لو كان للسيرفر أكثر من موقع وقيمة تتعرف عليها الحماية ....

إذاً ما هو الحل ؟؟

الحل أن نقوم بتغيير عدد كبير من البيانات الاساسية دفعة واحده

كيف ؟؟

المؤشر الآن واقف على الأوفست 1000

من شريط الادوات نختار الخيار

Edit
ثم الخيار

Select Block




راح تطلع معنا نافذة تطلب منا كمية البيانات التي سوف نقوم بتحديدها لتغييرها دفعة واحدة




نضع الرقم في الخانة المحدده (12000) ونختار نوع البيانات Dec

ونضغط موافق

مالذي حدث ؟؟

قام البرنامج بتحديد البيانات من الأوفست 1000 لحد الاوفست 13000

بمعدل 12000 بايت

الآن ومن خلال الضغط بالماوس الأيمن على البيانات المحدده
نختار

Delete




أو من خلال لوحة المفاتيح بالضغط على المفتاح Delete

راح تطلع معنا رسالة لتأكيد الحذف نختار موافق





نلاحظ أن البرنامج قام بحذف هذه البيانات من الملف

بين الاوفست 1000 والاوفست 12000

وهذا غير منطقي !

إذن لابد لنا من تعويض ما قمنا بحذفه ببيانات من عندنا

كيف ؟

ما زال المؤشر واقف على الأوفست 1000

من شريط الادوات نختار

Edit

ثم الخيار

Insert





تطلع معنا نافذة نقوم بوضع عدد البايتات التي نرغب بإضافتها للبرنامج

ولابد أن تكون مطابقة لما تم حذفة في الخطوة السابقة

كذلك نفس نوع البيانات

Dec




نحفظ البرنامج مثلاً باسم

1000-13000.exe

ونخرج ونفحص الملف

النتيجة

AntiVir

غيرمكشوف ونستنتج أن القيمة بين الأوفست 1000 والأوفست 13000

KasperSky

مكشوف لكن لاحظ التصنيف في هذه الصورة تختلف عن التصنيف الأول

حيث كان الأول يصنف

Backdoor.Win32.Ciadoor.123.a

اما بعد تغييرنا في الخطوة السابقة

أصبح يعطي التصنيف

Backdoor.Win32.Ciadoor.123.e






نستنتج أن الكاسبر له قيمتان يتعرف عليهما

أحدهما تقع بين الأوفست 1000 والأوفست 13000

ولازم نحصل على الشفره الثانية بالخطوة التالية

Norton

كذلك غير مكتشف ونستنتج أن القيمة بين الأوفست 1000 والأوفست 13000


Mcafee VirusScan Enterprise 8.0.0

مثل الكاسبر

أكتشف السيرفر ولكن أعطاه تصنيف ثاني

حيث كان الاول

Backdoor-ASB-gen

أما الحالي

Generic BackDoor.db






الآن نريد التقليل من حجم هذه البيانات التي نقوم بتغييرها وأستبدالها

حيث كنا في المره السابقة نحذف ونستبدل بمعدل 12000 بايت

الآن نجعلها النصف تقريباً أي بمعدل 6000 بايت

وبالرجوع إلى السيرفر( الأصلي ) والوقوف على الأوفست 1000

نعمل نفس الخطوات السابقة ولكن بمعدل 6000 بدلاً من 12000

ونحفظ الملف مثلاً باسم

1000-7000.EXE

مالذي عملناه ؟؟

أستبدلنا البيانات الأساسية للسيرفر ببياناتنا نحن

من الأوفست 1000 لحد الاوفست 7000

ونفحص الملف بالمكافحات الاربع لنجد أنها رجعت تتعرف على الملف

إذا نستنتج أن موقع

AntiVir
يقع بين الاوفست 7000 والأوفست 13000

KasperSky

إحد شفراته تقع بين الأوفست 7000 والأوفست 13000

Norton
يقع بين الاوفست 7000 والأوفست 13000


Mcafee VirusScan Enterprise 8.0.0
إحد شفراته تقع بين الأوفست 7000 والأوفست 13000

ننتقل مجدداً للسيرفر ( الأصلي )

وبالوقوف على الأوفست 7000

نكرر نفس خطواتنا السابقة من حذف واستبدال للبيانات الاساسية

مع تقليل معدل البيانات مثل الخطوة السابقة ( النصف )

أي بمعدل 3000 بايت

مالذي عملناه ؟؟

قمنا باستبدال البيانات من الأوفست 7000 لحد الاوفست 10000

ونحفظ الملف مثلاً باسم

7000-10000.exe

ونفحص الملف لنجد أنه للحين مكشوف وبالتصنيف الاساسي

إذا ما بقي قدامنا الا التغيير من الاوفست 10000 لحد الاوفست 13000

وأكيد 100 % راح تكون مواقع الشفرات في هذه المنطقة

لاننا في الخطوات السابقة فحصنا لحد الاوفست 13000 وطلعنا بالنتائج السابقة

الآن نقلل معدل البحث ليكون ( النصف ) بمعدل 1500 بايت


ومن السيرفر ( الأصلي ) وبعد الوقوف على الاوفست 10000

نكرر نفس خطواتنا السابقة ولكن بمعدل 1500 بايت

مالذي فعلناه ؟؟

أستبدلنا البيانات الاساسية للسيرفر من الاوفست 10000 لحد الاوفست 11500

ونحفظ الملف مثلاً باسم

10000-11500.exe

ونفحص نفس النتيجة السابقة وبالتصنيفات الاساسية

إذا نستنتج أن الشفرات بين الاوفست 11500 والاوفست 13000

( والآن أصبحت دائرة البحث صغيرة جداً)

حيث سنبحث فقط في 1500 بايت

نكرر نفس الخطوات السابقة مع تغيير معدل الحذف والاستبدال

لتصغير دائرة البحث

ونطلع بالنتائج التالية بعد المسح والتغيير في الـ 1500 بايت المتبقية

Offset 12531 ( Dec) ---(63)---> (64) for AntiVir
Offset 12800 (Dec) ---(16)--->(15) for KasperSky
( القيمة الاولى للكاسبر حيث أن القيمة الثانية بعد الاوفست 13000 )

Norton
طلعت القيمة اللي عثرنا عليها سلبيه

حيث أن أي تغيير فيها يعطي رسالة خطأ عند تشغيل السيرفر

Mcafee VirusScan Enterprise 8.0.0

القيمة الأولى التي عثرنا عليها سلبيه

حيث أن أي تغيير فيها يعطي رسالة خطأ عند تشغيل السيرفر

ولا بد من وجود موقع أخر

سوف نكتشفة بالخطوات القادمه بإذن الله تعالى

كنا قد توقفنا فحص وتغيير عند الأوفست 13000

الآن نريد التغيير وتكرار نفس خطواتنا السابقة

بالرجوع إلى السيرفر (المشفر) – اللي غيرنا قيمه مثل القيم أعلاه –

وبالوقوف على الاوفست 13000

وبالتغيير بالبيانات الاساسية للسيرفر بمعدل 2000 بايت

نحفظ الملف مثلاً باسم

13000-15000.exe

ونفحص لنجد أن الكاسبر لم يتعرف عليه

والمكافي والنورتن ما زالا يكتشفانه

إذن الموقع الثاني للكاسبر يقع بين الاوفست 13000 والاوفست 15000

بمعدل 2000 بايت

وبتقليل دائرة البحث مثل خطواتنا السابقة نجد أن الموضع

Offset 14467 (Dec)---(53)--->(73)

بعد تغيير هذه القيمة أصبح السيرفر مشفر عن

KasperSky

والـ AntiVir

مشفرينه من الخطوة السابقة

نستمر على هذا المنوال من استبدال للبيانات الاساسية

وكل مره نطلع بنتيجه نقلل دائرة البحث مثل ما فعلنا في خطواتنا السابقة

عموماً لن أطيل في هذا الشرح أكثر من هذه الاطالة

لانها نفس الخطوات ونفس الكلام نطبقة على الباقي من بيانات السيرفر

وهذه هي الشفرات المتبقية

offset 17654 (Dec)---(35)--->(36) for Norton and Mcafee VirusScan Enterprise

الشفره مشتركة بين البرنامجين وباقي الشفره الاخيرة للمكافي

Offset 402441 (Dec)---(a4)--->(a5) for Mcafee VirusScan Enterprise

الموقع الثاني للمكافي

ونلاحظ أنه بآخر السيرفر

طبعاً أنا ذكرت الشفرات أعلاه لانه صعب نحلل كل السيرفر داخل هذا الموضوع

وبتكون كل النتائج بعد فحص الملف نفس النتائج اللي توصلنا لها أخيراً


أتمنى أن يكون الشرح واضح
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
أسرع طريقة لتقسيم الملف ومعرفة مواضع التشفير بالهكس <لليفتهمون فقط>
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى اهل بغداد :: منتدى التكنلوجيا :: منتدى الهكر و الاختراق-
انتقل الى: