دورة $ قابض الجمر $ للحماية وكشف التلغيم : القسم 7 / كشف التلغيم الاحترافي
القسم السابع : فحص البرامج الملغمة بطرق احترافية ومتقدمة
ساقوم بهذا القسم من الدورة بالتفصيل الممل لكيفية كشف البرامج الملغمة بالطرق الاحترافية التي يستخدمها كبار كاشفي التلغيمات .
وساقسمه لى قسمين :
1- VB Decompiler Lite
2- DE Decompiler Lite
3- OLLYDBG
– فحص مكونات البرنامج الملغم بـ Resource Tuner
– كشف تلغيمة بالفديو .
1- برنامج ملغم – بالفيجوال بيسك : اسم الملف : server123
1- برنامج ملغم – باضافة باتش اختراق لمكونات البرنامج الاصلي ( idasetup(1
3- فديو مدمج بباتش – اسمه ” vid “
الملفات الملغمة ان تقوم بادراج ملفاتك التجسسية بملف install او المكونات الداخلية بالبرنامج .
اما البرامج المدمجة فهي ان يقوم الهكر بعملية دمج الباتش مع صورة او فديو او برنامج وهو بمثابة طعم ’ فيتم الكشف عليه من خلال مراقبة الاتصالات الخارجية او البروسيس .
1- البرنامج الملغم الاول صممته بالفيجوال بيسك اضفت رابط اتصال للبرنامج ’وبورت البيفروست 81 ’ فاول مايتم تشغيله سيتم تحويل الضحية للهكر ويتم الاختراق .
تحليل البرامج الملغمة واستخراج السورس الكود الخاص بها .
– بماذا صمم الملف المراد فحصه .
– كم حجم الملف .
– ماهي صيغة الملف.
– هل هو مضغوط ام لا.
للاسباب التالية :
1- ضغط البرنامج EXE بضغط هائل.
2- تشفير البرنامج ويصبح من الصعب عمل كراك له والتحريف به وحفظ الحقوق .
3- بالنسبة للهكر فاستخدامهم يقتصر على تقليل حجم الملفات التجسسية كالباتش ’ و ضغطها كي لايسمح لمن يفحص البرنامج الملغم باستخراج السورس كود وفحص الاكواد .
اولا نقوم بمعرفة بماذا صمم البرنامج الذي نود فحصه ! هل بالفيجوال بيسك او الدلفي او غيرها من لغات البرمجة او هل هو مضغوط او ليس مضغوط ..
من خلال اداة PEiD او exeinfope وجيمع هاذين البرنامجين يقومان بنفس الخدمة :
1- معرفة هل البرنامج المراد فحصه مضغوط او لا وان كان مضغوط فسيعطيك بيانات الاداة التي تم الضغط بها .
2- يخرج لك بيانات عن صاحب البرنامج وموقعه .
طبعا اذا كان مضغوط يجب معرفة نوع ضغطه ونفك الضغط بنفس البرنامج الذي ضغط منه مثلا :
انا الان شاهدت ملف مضغوط باداة upx اذهب لقوقل واحملها والافضل تحملها من موقعها الرسمي لان اي برنامج للهكر نصيب من استخدامه فكثير منها ملغمة .
الموقع الرسمي :
http://upx.sourceforge.net/#downloadupx
ومن اراد نفس النسخة التي شرحتها من هنا .
اداة فك ضغط الملفات UPXGUI
http://www.box.com/s/bs08iv4xptx09gf8rg42
الموقع الرسمي لاداة exeinfope
http://www.exeinfo.xwp.pl/
الموقع الرسمي لاداة : PEiD
http://www.peid.info/content.php
اداة فك الضغط RL!dePacker
http://www.box.com/s/ich22sbib469bav4zv56
شرح الاداة
اكثر من 90 برنامج منها نوع upx
شاهد هذه الصورة تدل على ان البرنامج صمم بالفيجوال .
ببرنامج de decompiler lite
واذا كان مبرمج بالفيجوال بيسك نفحص ببرنامج VB Decompiler Lite
تحميل برنامج de decompiler lite
” لان الموقع الخاص فيه تعطل رفعته لكم “
http://www.box.com/s/4q5tensl70dqr4q0npus
ماهو السورس كود ” source code ” :
هي الرموز والاكواد والروابط التي بداخل البرنامج ’ بمعنى انا نبحث عن مصدر هذا الملف التطبيقي واخراج بيانات الملغم ان وجدناها كالروابط و غيرها.
شاهد :
هذه الصورة بحجم اخر انقر هنا لعرض الصورة بالشكل الصحيح ابعاد الصورة هي 691×469. |
وتشاهد نهاية الرابط صيغة تنفيذية ’ والاهم من هذا كله هو موقع freewebtownفلو بحثت عن هذا الموقع ستجد ان الهكر يستخدموه لرفع باتشاتهم ’ اذن هذه دلالة على تلغيم هذا الملف.
de decompiler lite فلايحتاج شرح فهما توأمان في استايل البرنامج ومحتواه .
OLLYDBG
وليكن في حسبانك اي برنامج وهمي بمعنى ليس له موقع يوجد به رابط مباشر فهوملغوم ’ واي برنامج لايحتاج اتصال الى الانترنت به رابط مباشر فهو ملغوم .
وكما تشاهد احد اطفال الهكر قام بتلغيم برنامج ووضعه بمنتدى عربي وهذه ايميلاته .
وتشاهد ايضا كلمة no-ip password
ان وجدت اسماء برامج الفحص مثل :
ProcessExplorer
Active Ports
Disk and Registry
cports
smsniff
Wireshark
وغيرهاااااا دليل على التلغيم لان هذه ” برامج الفحص ” لم توجد الا لان الهكر الذي قام بالتلغيم وضع اكواد لتخطى هذه البرامج.
– فحص مكونات البرنامج الملغم بـ Resource Tuner
1- ماهي لغة البرمجة التي برمج بها الملف .
2- حجم الملف .
3- نوع ضغط الملف هذا ان كان مضغوط.
4- صيغة البرنامج exe او غيرها
وبشرط نعرف اصدار البرنامج .
البرنامج الملغم مصمم بالدلفي ’ وغير مضغوط .
البرنامج المحمل بالمنتدى حجمه كما اسلفنا 8,59 م.ب
اما حجم البرنامج من الموقع الرسمي هو 8,57 م.ب
وهذا دليل ان هناك اضافات بالبرنامج المحمل بالمنتدى بالرغم ان البرنامجين نفس الاصدار ’ فلو كانا مختلفي الاصدارين لما شككنا فيهما ’ لان الشركة ممكن تضيف لكل اصدار او تنقص حسب احتياجاتها .
الان اجعل حساباتي تطبيقية .
وهم ملفين قد يضافا لهما هي :
DATA بامكان الهكر اضافة الباتش لهذا المجلد.
RC Data ايضا هذا مجلد قد يضاف له باتش اختراق.
ونذهب ونشاهد الفروق .
الملفات الداخليه : هي CHARTABLE او التي مجرد تنقر عليها يأتي لون خلفيتها ازرق كما موضع بيمين الصورة .
– حجم البرنامج 8,57 م.ب
– ليس مضغوط
– لغة البرمجة : دلفي
– حجم ملف stup ” الملف الداخلي الاصلي للبرنامج ” هو 32 ك.ب
– حجم البرنامج 8,59 م.ب
– ليس مضغوط
– لغة البرمجة : دلفي
– حجم ملف stup ” الملف الداخلي الاصلي للبرنامج ” هو 56 ك.ب
طبعا اعني الملف المسمى بـ : RC Data_CHARTABLE
الملف اضيف له اضافات ’ وهذا دليل التلغيم بالرغم انك لو فحصت CHARTABLE بالملف الملغم ستخرج لك اتصالات خارجية .
—
واخيرا هذا رابط لمفكرة فيها كل روابط التلغيمات الثلاث الخاصة بي ’ ليتمكن الاخوة من التطبيق وهي بلا شك ملفات ضارة لم اضعها مباشرة بالموضوع ’ وحتى يتمكن الاخوة العرب من تعلم كشف التلغيم ’ لان الهكرز المنحطين يزدادوا اضعاف الهكرز الشرفاء ’ اما تلغيمة OllyDbg التي شرحتها بالفديو ’ ليست لي بل حملتها من منتدى هكرز
ولخطوورتها جعلتها بالطلب ’ اذا اردتها راسلني واوفرها لك .
والصلاة والسلام على سيدنا محمد