دورة $ قابض الجمر $ للحماية وكشف التلغيم : القسم 7 / كشف التلغيم الاحترافي
دورة قابض الجمر للحماية وكشف التلغيم
القسم السابع : فحص البرامج الملغمة بطرق احترافية ومتقدمة
القسم السابع : فحص البرامج الملغمة بطرق احترافية ومتقدمة
مقدمة :
ساقوم بهذا القسم من الدورة بالتفصيل الممل لكيفية كشف البرامج الملغمة بالطرق الاحترافية التي يستخدمها كبار كاشفي التلغيمات .
وساقسمه لى قسمين :
ساقوم بهذا القسم من الدورة بالتفصيل الممل لكيفية كشف البرامج الملغمة بالطرق الاحترافية التي يستخدمها كبار كاشفي التلغيمات .
وساقسمه لى قسمين :
الدرس الاول : مقدمة عن الملفات والضغط وفك الضغط ’وكيفية فحص اكواد البرنامج من الروابط المشبوهة بالبرامج الاتية:
1- VB Decompiler Lite
2- DE Decompiler Lite
3- OLLYDBG
1- VB Decompiler Lite
2- DE Decompiler Lite
3- OLLYDBG
الدرس الثاني :
– فحص مكونات البرنامج الملغم بـ Resource Tuner
– كشف تلغيمة بالفديو .
– فحص مكونات البرنامج الملغم بـ Resource Tuner
– كشف تلغيمة بالفديو .
ملاحظة : لن اراد التجربة فقد وضعت لك برامج ملغمه ومدمجه بالاي بي الافتراض واكواد وهمية :
1- برنامج ملغم – بالفيجوال بيسك : اسم الملف : server123
1- برنامج ملغم – باضافة باتش اختراق لمكونات البرنامج الاصلي ( idasetup(1
3- فديو مدمج بباتش – اسمه ” vid “
1- برنامج ملغم – بالفيجوال بيسك : اسم الملف : server123
1- برنامج ملغم – باضافة باتش اختراق لمكونات البرنامج الاصلي ( idasetup(1
3- فديو مدمج بباتش – اسمه ” vid “
مالفرق بين البرامج الملغمة والمدمجة ؟
الملفات الملغمة ان تقوم بادراج ملفاتك التجسسية بملف install او المكونات الداخلية بالبرنامج .
اما البرامج المدمجة فهي ان يقوم الهكر بعملية دمج الباتش مع صورة او فديو او برنامج وهو بمثابة طعم ’ فيتم الكشف عليه من خلال مراقبة الاتصالات الخارجية او البروسيس .
الملفات الملغمة ان تقوم بادراج ملفاتك التجسسية بملف install او المكونات الداخلية بالبرنامج .
اما البرامج المدمجة فهي ان يقوم الهكر بعملية دمج الباتش مع صورة او فديو او برنامج وهو بمثابة طعم ’ فيتم الكشف عليه من خلال مراقبة الاتصالات الخارجية او البروسيس .
شرح كيفية تلغيمها بالتفصيل :
1- البرنامج الملغم الاول صممته بالفيجوال بيسك اضفت رابط اتصال للبرنامج ’وبورت البيفروست 81 ’ فاول مايتم تشغيله سيتم تحويل الضحية للهكر ويتم الاختراق .
1- البرنامج الملغم الاول صممته بالفيجوال بيسك اضفت رابط اتصال للبرنامج ’وبورت البيفروست 81 ’ فاول مايتم تشغيله سيتم تحويل الضحية للهكر ويتم الاختراق .
2- برنامج ” (idasetup (1 ” قمت بادراج باتش للمكونات الداخلية للبرنامج ’ وهذا النوع من التلغيم يجب ان يفكك البرنامج وتفحص مكوناته .
3- فديو قمت بدمجه بباتش من خلال برامج مخصصة للدمج ’ وهذا النوع من التلغيم مجرد تشغل البرنامج سيتم تشغيل الباتش ’ قمت بدمجه ببرامج دمج ويتم الكشف عليه بالبروسيس ومراقبة مخرجات البرنامج .
الدرس الاول :
تحليل البرامج الملغمة واستخراج السورس الكود الخاص بها .
تحليل البرامج الملغمة واستخراج السورس الكود الخاص بها .
عندما نقوم بفحص برنامج معين يجب عليك اتخاذ اجراءات معينة لضمان الفحص الدقيق للملف :
– بماذا صمم الملف المراد فحصه .
– كم حجم الملف .
– ماهي صيغة الملف.
– هل هو مضغوط ام لا.
– بماذا صمم الملف المراد فحصه .
– كم حجم الملف .
– ماهي صيغة الملف.
– هل هو مضغوط ام لا.
هذه ابرز الخطوات التي يجب الا تحملها اجابة لااعلم ’ فعليك المتابعة بالشرح وبعدها ستجد الموضوع سهل لاقصى درجة وممتع بنفس الوقت .
س – لماذا يتم ضغط وتشفير البرامج ؟
للاسباب التالية :
1- ضغط البرنامج EXE بضغط هائل.
2- تشفير البرنامج ويصبح من الصعب عمل كراك له والتحريف به وحفظ الحقوق .
3- بالنسبة للهكر فاستخدامهم يقتصر على تقليل حجم الملفات التجسسية كالباتش ’ و ضغطها كي لايسمح لمن يفحص البرنامج الملغم باستخراج السورس كود وفحص الاكواد .
للاسباب التالية :
1- ضغط البرنامج EXE بضغط هائل.
2- تشفير البرنامج ويصبح من الصعب عمل كراك له والتحريف به وحفظ الحقوق .
3- بالنسبة للهكر فاستخدامهم يقتصر على تقليل حجم الملفات التجسسية كالباتش ’ و ضغطها كي لايسمح لمن يفحص البرنامج الملغم باستخراج السورس كود وفحص الاكواد .
احيانا تود ان نعرف بماذا صمم هذا البرنامج لانستطيع ’ لانه مضغوط وهذا الضغط جعله مشفر ؛ اذن الان هل فهمت لماذا يتم ضغط الملفات ؟
– ليكن بالحسبان ليس كل برنامج مضغوط باداة upx او غيرها من برامج التشفير ’ دليل على التلغيم .
ومن اشهر برامج التشفير وفك التشفير “ الضغط وفك الضغط ” هي : UPX و Aspack و Ezip وغيرها الكثير.
الان نبدا على بركة الله بتحليل الملف واستخراج بياناته .
اولا نقوم بمعرفة بماذا صمم البرنامج الذي نود فحصه ! هل بالفيجوال بيسك او الدلفي او غيرها من لغات البرمجة او هل هو مضغوط او ليس مضغوط ..
من خلال اداة PEiD او exeinfope وجيمع هاذين البرنامجين يقومان بنفس الخدمة :
1- معرفة هل البرنامج المراد فحصه مضغوط او لا وان كان مضغوط فسيعطيك بيانات الاداة التي تم الضغط بها .
2- يخرج لك بيانات عن صاحب البرنامج وموقعه .
اولا نقوم بمعرفة بماذا صمم البرنامج الذي نود فحصه ! هل بالفيجوال بيسك او الدلفي او غيرها من لغات البرمجة او هل هو مضغوط او ليس مضغوط ..
من خلال اداة PEiD او exeinfope وجيمع هاذين البرنامجين يقومان بنفس الخدمة :
1- معرفة هل البرنامج المراد فحصه مضغوط او لا وان كان مضغوط فسيعطيك بيانات الاداة التي تم الضغط بها .
2- يخرج لك بيانات عن صاحب البرنامج وموقعه .
1- سنشرح كشف البرنامج الملغوم بالفيجوال بيسك .
طبعا اذا كان مضغوط يجب معرفة نوع ضغطه ونفك الضغط بنفس البرنامج الذي ضغط منه مثلا :
انا الان شاهدت ملف مضغوط باداة upx اذهب لقوقل واحملها والافضل تحملها من موقعها الرسمي لان اي برنامج للهكر نصيب من استخدامه فكثير منها ملغمة .
الموقع الرسمي :
http://upx.sourceforge.net/#downloadupx
ومن اراد نفس النسخة التي شرحتها من هنا .
اداة فك ضغط الملفات UPXGUI
http://www.box.com/s/bs08iv4xptx09gf8rg42
الموقع الرسمي لاداة exeinfope
http://www.exeinfo.xwp.pl/
الموقع الرسمي لاداة : PEiD
http://www.peid.info/content.php
اداة فك الضغط RL!dePacker
http://www.box.com/s/ich22sbib469bav4zv56
شرح الاداة
تابع
او بامكانك تحميل برنامج Aspack فهو يفك ضغط
اكثر من 90 برنامج منها نوع upx
اكثر من 90 برنامج منها نوع upx
وبعد مانفك ضغط الملف نذهب ونعرف باي لغة برمج !
شاهد هذه الصورة تدل على ان البرنامج صمم بالفيجوال .
شاهد هذه الصورة تدل على ان البرنامج صمم بالفيجوال .
اذا كان البرنامج الملغوم مبرمج بالدلفي نفحص
ببرنامج de decompiler lite
واذا كان مبرمج بالفيجوال بيسك نفحص ببرنامج VB Decompiler Lite
ببرنامج de decompiler lite
واذا كان مبرمج بالفيجوال بيسك نفحص ببرنامج VB Decompiler Lite
طبعا فائدة هذين البرنامج استخراج سورس البرنامج وجميع الاكواد فربما وجدنا اكواد تخطى .
تحميل برنامج de decompiler lite
” لان الموقع الخاص فيه تعطل رفعته لكم “
http://www.box.com/s/4q5tensl70dqr4q0npus
تحميل برنامج de decompiler lite
” لان الموقع الخاص فيه تعطل رفعته لكم “
http://www.box.com/s/4q5tensl70dqr4q0npus
ماهو السورس كود ” source code ” :
هي الرموز والاكواد والروابط التي بداخل البرنامج ’ بمعنى انا نبحث عن مصدر هذا الملف التطبيقي واخراج بيانات الملغم ان وجدناها كالروابط و غيرها.
شاهد :
 |
هذه الصورة بحجم اخر انقر هنا لعرض الصورة بالشكل الصحيح ابعاد الصورة هي 691×469. |
الان استخرجنا اكواد مباشرة وتشاهد مكان نزول السيرفر وامر تشغيله .
وتشاهد نهاية الرابط صيغة تنفيذية ’ والاهم من هذا كله هو موقع freewebtownفلو بحثت عن هذا الموقع ستجد ان الهكر يستخدموه لرفع باتشاتهم ’ اذن هذه دلالة على تلغيم هذا الملف.
وتشاهد نهاية الرابط صيغة تنفيذية ’ والاهم من هذا كله هو موقع freewebtownفلو بحثت عن هذا الموقع ستجد ان الهكر يستخدموه لرفع باتشاتهم ’ اذن هذه دلالة على تلغيم هذا الملف.
2- نحن شرحنا كشف تلغيمة ببرنامج الفيجوال بيسك ’ وافحص تلغيمات الدلفي بنفس الطريقة ببرنامج
de decompiler lite فلايحتاج شرح فهما توأمان في استايل البرنامج ومحتواه .
de decompiler lite فلايحتاج شرح فهما توأمان في استايل البرنامج ومحتواه .
3- فحص التلغيمات ببرنامج
OLLYDBG
OLLYDBG
وهنا يأتي المهم
الان الهكر يضع ببرنامجه الملغوم روابط بهدف التوجيه الى صفحته أو الى صفحة دعائيه او الى حساب فتحه الهكر على مساحة مجانية ’او على ايميله . ففور تشغيل البرنامج من الضحية يتم الربط بين الهكر والضحية .
وطبعا يجب فحص هذه الروابط المباشرة وتخمين وفهم وجودها ومحتواها ’ اقصد بالمباشرة التي تكون اخر الرابط صيغ تنفيذية كـ exe او scr
وليكن في حسبانك اي برنامج وهمي بمعنى ليس له موقع يوجد به رابط مباشر فهوملغوم ’ واي برنامج لايحتاج اتصال الى الانترنت به رابط مباشر فهو ملغوم .
وكما تشاهد احد اطفال الهكر قام بتلغيم برنامج ووضعه بمنتدى عربي وهذه ايميلاته .
وتشاهد ايضا كلمة no-ip password
وليكن في حسبانك اي برنامج وهمي بمعنى ليس له موقع يوجد به رابط مباشر فهوملغوم ’ واي برنامج لايحتاج اتصال الى الانترنت به رابط مباشر فهو ملغوم .
وكما تشاهد احد اطفال الهكر قام بتلغيم برنامج ووضعه بمنتدى عربي وهذه ايميلاته .
وتشاهد ايضا كلمة no-ip password
وهو بهذا الامر يريد سرقة حسابات الضحية مجرد يشغل البرنامج فالـ no-io هو موقع يفتح حسابات للاشخاص
وايضا موقع dyndns
وكما تشاهد بام عينك برامج فحص موجوده ^_^
ان وجدت اسماء برامج الفحص مثل :
ProcessExplorer
Active Ports
Disk and Registry
cports
smsniff
Wireshark
وغيرهاااااا دليل على التلغيم لان هذه ” برامج الفحص ” لم توجد الا لان الهكر الذي قام بالتلغيم وضع اكواد لتخطى هذه البرامج.
ان وجدت اسماء برامج الفحص مثل :
ProcessExplorer
Active Ports
Disk and Registry
cports
smsniff
Wireshark
وغيرهاااااا دليل على التلغيم لان هذه ” برامج الفحص ” لم توجد الا لان الهكر الذي قام بالتلغيم وضع اكواد لتخطى هذه البرامج.
وان فحصت البرنامج الملغم حينها ببرامج الفحص كـ ProcessExplorer او غيرها ممن وجدها ’ تعطيك برامج الفحص انها سليمة ’ لان الهكر قام ” بتعمية ” هذه البرامج واعطائها اشارة انها نظيفة وهي عكس هذا .
الدرس الثاني :
– فحص مكونات البرنامج الملغم بـ Resource Tuner
– فحص مكونات البرنامج الملغم بـ Resource Tuner
تعلمنا بالقسم الاول كيف تجمع معلومات عن البرنامج المراد فحصه’ وكيفية معرفة برمجته ’ وهل هو مضغوط او لا وتعلمنا كيفية تحليل وتفقد الاكواد التي بداخله ..ألخ
الان الموضوع متصل فسنتعرف على كيفية تفكيك البرنامج الملغم وفحص الملفات الداخلية له .
انا حملت برنامج من المنتديات واريد عملية فحصه .. كيف ؟؟ بطبيعة الحال هو ملغم من قبلي
مثلما تشاهد حجمه 8,59 ميغا
اولا يجب ان نجمع معلومات عن البرنامج هي كالتالي :
1- ماهي لغة البرمجة التي برمج بها الملف .
2- حجم الملف .
3- نوع ضغط الملف هذا ان كان مضغوط.
4- صيغة البرنامج exe او غيرها
وبشرط نعرف اصدار البرنامج .
1- ماهي لغة البرمجة التي برمج بها الملف .
2- حجم الملف .
3- نوع ضغط الملف هذا ان كان مضغوط.
4- صيغة البرنامج exe او غيرها
وبشرط نعرف اصدار البرنامج .
نذهب الان نحمل البرنامج الاصلي من موقعه الرسمي ’ ثم نلاحظ حجم التغيرات بين الملفين’ فلو وجدنا مثلا ان البرنامج الذي حملناه من المنتديات حجمهـ اكبر من حجم البرنامج الذي من الموقع الرسمي – بالرغم انها بنفس الاصدار – فهذا دليل ان البرنامج المحمل بالمنتدى اضيف لمحتواه اضافات تثير شكوكنا .
وقس على هذا : ان وجدنا اختلاف في لغة البرمجة بين الملفين ’ او الصيغة او احدهما مضغوط والاخر غير مضغوط ’فهو دليل على ان هناك تحركات اجريت على الملف بالمنتدى ربما اضيف باتش اختراق او تعديلات .
البرنامج الملغم مصمم بالدلفي ’ وغير مضغوط .
الان تلاحظ التغييرات :
البرنامج المحمل بالمنتدى حجمه كما اسلفنا 8,59 م.ب
اما حجم البرنامج من الموقع الرسمي هو 8,57 م.ب
وهذا دليل ان هناك اضافات بالبرنامج المحمل بالمنتدى بالرغم ان البرنامجين نفس الاصدار ’ فلو كانا مختلفي الاصدارين لما شككنا فيهما ’ لان الشركة ممكن تضيف لكل اصدار او تنقص حسب احتياجاتها .
البرنامج المحمل بالمنتدى حجمه كما اسلفنا 8,59 م.ب
اما حجم البرنامج من الموقع الرسمي هو 8,57 م.ب
وهذا دليل ان هناك اضافات بالبرنامج المحمل بالمنتدى بالرغم ان البرنامجين نفس الاصدار ’ فلو كانا مختلفي الاصدارين لما شككنا فيهما ’ لان الشركة ممكن تضيف لكل اصدار او تنقص حسب احتياجاتها .
طبعا هذه كلها حسابات نظرية ’
الان اجعل حساباتي تطبيقية .
الان اجعل حساباتي تطبيقية .
المجلدات التي امامك مسمياتها تختلف من برنامج لآخر لاختلاف لغات برمجة الملف ’ فراعي الفروق .
وهم ملفين قد يضافا لهما هي :
DATA بامكان الهكر اضافة الباتش لهذا المجلد.
RC Data ايضا هذا مجلد قد يضاف له باتش اختراق.
وهم ملفين قد يضافا لهما هي :
DATA بامكان الهكر اضافة الباتش لهذا المجلد.
RC Data ايضا هذا مجلد قد يضاف له باتش اختراق.
الان نستخرج الملفات الداخلية للبرنامج الملغم ونضعها على سطح المكتب ’ ونستخرج ايضا الملفات الداخلية للبرنامج الرسمي ونضعها على سطح المكتب .
ونذهب ونشاهد الفروق .
الملفات الداخليه : هي CHARTABLE او التي مجرد تنقر عليها يأتي لون خلفيتها ازرق كما موضع بيمين الصورة .
ونذهب ونشاهد الفروق .
الملفات الداخليه : هي CHARTABLE او التي مجرد تنقر عليها يأتي لون خلفيتها ازرق كما موضع بيمين الصورة .
الان نبحث عن الامور المتشابهات والمتفارقات بين الملفين الاساسيين وبين الملفات الداخلية لكل برنامج .
بيانات البرنامج الرسمي :
– حجم البرنامج 8,57 م.ب
– ليس مضغوط
– لغة البرمجة : دلفي
– حجم ملف stup ” الملف الداخلي الاصلي للبرنامج ” هو 32 ك.ب
– حجم البرنامج 8,57 م.ب
– ليس مضغوط
– لغة البرمجة : دلفي
– حجم ملف stup ” الملف الداخلي الاصلي للبرنامج ” هو 32 ك.ب
بيانات البرنامج الملغم :
– حجم البرنامج 8,59 م.ب
– ليس مضغوط
– لغة البرمجة : دلفي
– حجم ملف stup ” الملف الداخلي الاصلي للبرنامج ” هو 56 ك.ب
طبعا اعني الملف المسمى بـ : RC Data_CHARTABLE
– حجم البرنامج 8,59 م.ب
– ليس مضغوط
– لغة البرمجة : دلفي
– حجم ملف stup ” الملف الداخلي الاصلي للبرنامج ” هو 56 ك.ب
طبعا اعني الملف المسمى بـ : RC Data_CHARTABLE
اذن كمحصلة نظرية
الملف اضيف له اضافات ’ وهذا دليل التلغيم بالرغم انك لو فحصت CHARTABLE بالملف الملغم ستخرج لك اتصالات خارجية .
الملف اضيف له اضافات ’ وهذا دليل التلغيم بالرغم انك لو فحصت CHARTABLE بالملف الملغم ستخرج لك اتصالات خارجية .
وعلى اية حالة ان كان ايضا ملف stup مضغوط من موقعه الرسمي ’ وملف stup بالملف الملغم غير مشفر ’ فهذا دليل ان الهكر فك تشفير ملف stup ثم قام باضافة باتش او تعديل عليه ’ عطفا على المفارقة في احجامهما .
والان افحص stup ببرامج الفحص كالـ procexp او smsniff او غيرها وتفقّد الاتصالات الخارجية ’ ونحن سبق وشرحنا كيفية الفحص بالدروس السابقة من الدورة .
—
واخيرا هذا رابط لمفكرة فيها كل روابط التلغيمات الثلاث الخاصة بي ’ ليتمكن الاخوة من التطبيق وهي بلا شك ملفات ضارة لم اضعها مباشرة بالموضوع ’ وحتى يتمكن الاخوة العرب من تعلم كشف التلغيم ’ لان الهكرز المنحطين يزدادوا اضعاف الهكرز الشرفاء ’ اما تلغيمة OllyDbg التي شرحتها بالفديو ’ ليست لي بل حملتها من منتدى هكرز
ولخطوورتها جعلتها بالطلب ’ اذا اردتها راسلني واوفرها لك .
والصلاة والسلام على سيدنا محمد
حمايه و كشف التلغيم 