mr.joker.
01-06-2011, 09:56 PM
بسم الله الرحمن الرحيم
موضوع جميل جداً ^_^
1- .. شرح آلتشفير .. بطرق آلهندسة آلعكسية
2- عمل آدآة تشفير خآصة بك
3- بعض طرق آلتحليل لمعرفة مكآن نزول آلبآتش ..
4- فك ضغط آلبرآمج للتعديل عليهآآ .. ومعرفة نوع آلضغط
5- طريقة دمج رهيبة ورآئعة ..
/ ملاحظة / .. آلبرآمج آلمستخدمة في آلفقرآت رآح تحصلهآ بنهآية كل فقرة ..
بسم آلله نبدآ
1- .. شرح آلتشفير .. بطرق آلهندسة آلعكسية
أ- Change ENTRY POINT تغير نقطة آلادخآل
لكل برنآمج نقطة إدخآل .. عندمآ نغيرهآآ ينخدع آغلب برآمج آلحمآية ولا يتعرف على هذآ آلملف آلخبيث ..
آلبرآمج آلمستخدم فقط برنآمجين ..:-
1- OllyDbg v1.10
2- PDUMP32
آلان سوف نقوم بتغير نقطة آلادخآل للستآب ..
نفتح آلستآب بآلمنقح آولي
آلان رح آفتح لك مفكرة جديدة آو جيب معك ورقة وقلم التشفير بالهندسة العكسية ..دروس
تـــآبع معي ...
نقطة آلادخآل للستآب كمآ ترونهآ في آلصورة
هي كمآ يلي 10003BA0
آلان ننزل للاسف لنكتب آوآمر آلقفز و..و.. لتغير نقطة إلادخآل
وإلي يعرف لغة آلاسمبلي رآح يكتب آكوآد من عنده !
إلى آلان كل شيء تمآم ..
نضغط دبل كلك بآلمكآن إلي موضح بآلصورة آلسآبقة ورآح يطلع لنآ مثل هذآ آلمستطيل
نكتب في آلمستطيل آمر آلتحويل retn
ونضغط Assemble مرتين ..
ملاحظة / بإمكآنك كتآبة sub esp,8 بنفس مآ كتبت آنآ لكن هنآ فيه فرق .. تقدر تغير آلعدد 8 إلى آرقآم ثآنية .. مثلآآ 7 .. 9 .. 10 ومآ فوق بس يعتمد على آلملف !
تآبع ..
آلان نحتآج نقطة إلادخآل آلقديمة .. 10003BA0 [ وقلنآ سجلهآ بمفكرة آو بورقة ]
إلي حصلنآ عليهآ من آلبدآية [ صورة توضيحية ]
آوك .. نكمل ..
نستخدم آمر push وبعدهآ نقطة آلادخآل آلقديمة يعني بيكون
push 10003BA0
آلان نضع آمر push ثم بعدهآ آلاوفست إلي حصلنآ عليه في بدآية آلاكوآد يعني بيكون كذآ
push 10003E31
آلان نضع آمر mov eax, ثم بعدهآ آلاوفست من ثآني سطر من بدآية آلاكوآد يعني بيكون كذآ
mov eax,10003E32
آلان نضع هذآ آلامر بدون تحويلات ولا شيء ..
jmp eax
التشفير بالهندسة العكسية ..دروس
وآلان ضع آمر nop هذآ نهآية آلاكوآآد .. وآحيآنآ تكتب بنفسهآ ..
التشفير بالهندسة العكسية ..دروس
آلان نسجل نقطة آلادخآل آلجديدة .. وهي .. تكون آمآ آلامر .. PUSH EBP
آلان آفتح برنآمج PDUMP32
كل شيء وآضح إن شآء آلله ..
آلان بقيت خطوة آخيرة وبسيطة
ضع مكآن آلمستطيل
نقطة آلادخآل آلجديدة آلتي حصلت عليهآ مقآبل آلامر push ebp مع تصفير آول آرقآم
يعني لو مثلآآ حصلت 00402791
تخليهآ كذآ
00002791
وتدق آوكي ومبروك عليك تم تغير نقطة آلادخآل ...
موضوع جميل جداً ^_^
1- .. شرح آلتشفير .. بطرق آلهندسة آلعكسية
2- عمل آدآة تشفير خآصة بك
3- بعض طرق آلتحليل لمعرفة مكآن نزول آلبآتش ..
4- فك ضغط آلبرآمج للتعديل عليهآآ .. ومعرفة نوع آلضغط
5- طريقة دمج رهيبة ورآئعة ..
/ ملاحظة / .. آلبرآمج آلمستخدمة في آلفقرآت رآح تحصلهآ بنهآية كل فقرة ..
بسم آلله نبدآ
1- .. شرح آلتشفير .. بطرق آلهندسة آلعكسية
أ- Change ENTRY POINT تغير نقطة آلادخآل
لكل برنآمج نقطة إدخآل .. عندمآ نغيرهآآ ينخدع آغلب برآمج آلحمآية ولا يتعرف على هذآ آلملف آلخبيث ..
آلبرآمج آلمستخدم فقط برنآمجين ..:-
1- OllyDbg v1.10
2- PDUMP32
آلان سوف نقوم بتغير نقطة آلادخآل للستآب ..
نفتح آلستآب بآلمنقح آولي
آلان رح آفتح لك مفكرة جديدة آو جيب معك ورقة وقلم التشفير بالهندسة العكسية ..دروس
تـــآبع معي ...
نقطة آلادخآل للستآب كمآ ترونهآ في آلصورة
هي كمآ يلي 10003BA0
آلان ننزل للاسف لنكتب آوآمر آلقفز و..و.. لتغير نقطة إلادخآل
وإلي يعرف لغة آلاسمبلي رآح يكتب آكوآد من عنده !
إلى آلان كل شيء تمآم ..
نضغط دبل كلك بآلمكآن إلي موضح بآلصورة آلسآبقة ورآح يطلع لنآ مثل هذآ آلمستطيل
نكتب في آلمستطيل آمر آلتحويل retn
ونضغط Assemble مرتين ..
ملاحظة / بإمكآنك كتآبة sub esp,8 بنفس مآ كتبت آنآ لكن هنآ فيه فرق .. تقدر تغير آلعدد 8 إلى آرقآم ثآنية .. مثلآآ 7 .. 9 .. 10 ومآ فوق بس يعتمد على آلملف !
تآبع ..
آلان نحتآج نقطة إلادخآل آلقديمة .. 10003BA0 [ وقلنآ سجلهآ بمفكرة آو بورقة ]
إلي حصلنآ عليهآ من آلبدآية [ صورة توضيحية ]
آوك .. نكمل ..
نستخدم آمر push وبعدهآ نقطة آلادخآل آلقديمة يعني بيكون
push 10003BA0
آلان نضع آمر push ثم بعدهآ آلاوفست إلي حصلنآ عليه في بدآية آلاكوآد يعني بيكون كذآ
push 10003E31
آلان نضع آمر mov eax, ثم بعدهآ آلاوفست من ثآني سطر من بدآية آلاكوآد يعني بيكون كذآ
mov eax,10003E32
آلان نضع هذآ آلامر بدون تحويلات ولا شيء ..
jmp eax
التشفير بالهندسة العكسية ..دروس
وآلان ضع آمر nop هذآ نهآية آلاكوآآد .. وآحيآنآ تكتب بنفسهآ ..
التشفير بالهندسة العكسية ..دروس
آلان نسجل نقطة آلادخآل آلجديدة .. وهي .. تكون آمآ آلامر .. PUSH EBP
آلان آفتح برنآمج PDUMP32
كل شيء وآضح إن شآء آلله ..
آلان بقيت خطوة آخيرة وبسيطة
ضع مكآن آلمستطيل
نقطة آلادخآل آلجديدة آلتي حصلت عليهآ مقآبل آلامر push ebp مع تصفير آول آرقآم
يعني لو مثلآآ حصلت 00402791
تخليهآ كذآ
00002791
وتدق آوكي ومبروك عليك تم تغير نقطة آلادخآل ...