إن شاءالله بإنتظارك
مضى على الشبكة
و يوم من العطاء.
-
تحذير: يجب على كل روّاد الشبكة تشغيل برامج الاختراق داخل الأنظمة الوهمية وهي بهدف التعلم وحماية الأعضاء والتوعية بها
كسر حماية UPX يدويًا
- بادئ الموضوع ITACHI_10H
- تاريخ البدء
-
- الوسوم
- حماية
نعم مكتوب بلغة اسمبلي , شككتني بنفسي والله ههههه
The Ghost
./عضو جديد
الله يزيدك علما فوق علم اخي اينكسالسلام عليكم ورحمة الله وبركاته
في البداية آسف على الغياب , درسنا اليوم عن كسر حماية UPx ولدينا طريقتين الأولى سهلة هي باستعمال الpacker upx وإعطاءه أمر بسيط
لكن نحن في الشل لا نحب السهل هههه
لذا سنقوم بفكها يدوياً و السبب الحقيقي وراء دلك هو لتقريب مفهوم هذه الحماية و كلما أوسّخنا أيدينا في فك شيء يدويًا نتعلم أكثر لكي نواجه حمايات أقوى و أعند دون خوف.
الفرق بين الضاغط و المشفر:
سأستعمل كلمة packer كثيراً والذي يجب أن يفهمه البعض أن هذا الباكر يستعمله الهاكرز للتشفير لكن كلمة تشفير هنا ليست في محلها لأن UPX ليس crypter بل packer
والباكر يا أصدقاء طريقة لضغط الملف (executable file) ودمج البيانات المضغوطة مع رمز إلغاء الضغط (unpacking stub) في ملف واحد. لذلك، عند تنفيذ الملف، يقوم stub بفك نفسه وإعادة إنشاء الكود الأصلي من الكود المضغوط قبل تنفيذه.
UPX (Universal Packer for Executables)
هو أحد هذه البرامج مفتوحة المصدر، ومجانية وسهلة الاستخدام، والمتوفرة اليوم على الإنترنت ويستخدمها في الغالب malware authors لضغط برامجهم الضارة, بحيث يمكنها تجاوز الكشف عن طريق توقيعات مكافحة الفيروسات. يدعم UPX جميع أنظمة التشغيل الرئيسية ومنصتي x86 وx64
بداية نقوم بتحميل UPX نسخة 4.2.4 32bit
لدينا برنامج صغير باسم SH3ll هو عبارة عن تمرين صغير للكسر غير مضغوط
مشاهدة المرفق 11997
بعد فحصه نرى أنه غير محمي ومكتوب بلغة ASSEMBLY
مشاهدة المرفق 11999
بعدها نقوم بضغطه باستعمال الأمر التالي:
كما في الصورة:
مشاهدة المرفق 12000
ملاحظة: يجب أن يكون البرنامج كبير نوعاً ما أكثر من 10kb على الأقل لكي يتم ضغطه
مشاهدة المرفق 11992
بالنسبة لأمر cmd و الرقم 9 هناك مستويات للضغط يمكنك الاختيار بينها من 1 الى 9 , نحن استعملنا 9 و نفضل ذلك الـ compression ratio على السرعة
نرى أن حجم الملف أصبح أصغر.
مشاهدة المرفق 12001
نقوم بفحص الملف الجديد:
مشاهدة المرفق 12002
الملف محمي
هناك طريقة أُخرى لفحص بعد الـ packers هو بالبحث عن import table الخاصة به .البعض منهم يختارها كما في حالة UPX
نفتح الآن البرنامج بأي مُنقح:
مشاهدة المرفق 12003
نرى أن أول تعليمة هي PUSHAD و بما أننا نستعمل نسخة 32 بيت
هذه التعليمة سنقوم بدفع كل ال32 bit registers إلى stack ويبدأ عمل UPX هنا , وسنرى هذا الpattern يتكرر في كل نسخ هذا الباكر
نقوم بوضع breakpoint في ااentry point وبعدها نذهب للتعليمة الثانية و نقوم بـ dump لESP register
مشاهدة المرفق 12004
نقوم بعدها بوضع HARDWARE BREAKPOINT لDWORD لنقف عندما نصل لتعليمة POPAD التي دائماً تأتي بعد PUSHAD لنسترجع الregisters
والتي غالبًا سنجد بعدها ملفنا الأصلي بعد أن قام UPX بسحره المعتاد
مشاهدة المرفق 12005
نقوم باستكمال التنقيح وسنجد أنفسنا بعد تعليمة popad , جميل
مشاهدة المرفق 12006
نرى تعليمة قفز غير مشروطة و بعدها instructions بدون معنى و هذه القفزة لمكان بعيد
غالباً ستكون هي الentry point الأصلية نتبع القفزة و نجد انفسنا هنا
مشاهدة المرفق 12007
هذا هو البرنامج الأصلي سنقوم بعمل DUMP للملف باستعمال OLLYDUMP
مشاهدة المرفق 12008
الملف بعدها:
مشاهدة المرفق 12009
لن يشتغل الملف لأنه الـ Import Address Table غير مُصلحة, نقوم بتشغيل البرنامج المحمي لنجد الimports الأصلية بscylla
مشاهدة المرفق 12010
نقوم باختيار البروسس الخاص بالبرنامج المحمي و نضغط ونختار ملفنا الذي سبق و عملنا له dump
ونشغل برنامجنا ومبروك لقد قمت بفك الحماية manually
أي تساؤل أنا جاهز
والسلام عليكم و رحمة الله و بركاته
استفدت بشكل رايع من هذا الدرس شكرا جزيلا لك
أي خدمة أخي العزيز.سعيد ان الموضوع افادك
The Ghost
./عضو جديد
انا اتمنى منك اخي انك تواصل وانا والله انني سعيد جداا لاني لقيت شخص اتعلم منه وهذا المجال نادر جدا ويكاد يكون معدوم مصادرة
فاستمر اخي الله يجعل كل حرف في مقالك هذا بجبال من حسنات وان يرحم والديك
The Ghost
./عضو جديد
وانا اتمنى منك فضلا منك وليس امرا وان احببت انت ذلك ومتى احببت ان تفيدنا بعلمك في مجال .Net ولك جزيل الشكر والتقدير
salama0071
./عضو جديد
ممكن برنامج الشيل او ممكن حد يساعدنى معايا ملف ديل عايز اعدل عليه الكود مش بيظر ومتشفر ممكن مساعده
فانوس
