Jordan Ghost
06-29-2013, 11:30 PM
بسم الله الرحمن الرحيم
اليوم ساشرح لكم طريقة من اكتشافي لتلغيم اي برنامج
لن اقول برايفت
التلغيم سيكون بدون دمج و بدون زيادة اي بايت على البرنامج الاصلي
ـ لن يتغير حجم الملف الملغوم ـ
الطريقة هذه تمكن من تلغيم اي برنامج كيفما كان نوعه ( اختراق ـ تشفير ... )
و تعتمد على ارفاق ملف dll او dll و plugin وهمي مع البرنامج الهدف
و لا يمكن تشغيل البرنامج اذا لم تتواجد تلك المكتبة كانها جزء منه و لكنها في الاصل هي الجزء الملغوم اذا لم يكن هناك بلوجن
التلغيمة يمكن استغلالها بشكل فضيع جدا ...
لكن ساكتفي بشرح عمل داونلودر
و من اهم فوائد هذه التلغيمة انه عند كشف اتصال الداونلودر فان البروسيس المسؤول عن التحميل هو البرنامج نفسه
و ان تم ايقافه فلن تتشغل باقي اجزاء البرنامج
اضافة الى ان الاتصال يتم على البورت 80 ( http)
مما سيقلل من الشك
و تمكن من تخطي بعض الدفاعات الاستباقية
كل ما تحتاج اليه هو
1ـ او Delphi 7 او XE
2ـ سرفر له نفس ايقونة و اسم البرنامج المراد تلغيمه ( لتضليل من يراقب البروسيسات )
3ـ LordPE
4ـ Olly او اي ديبجر آخر
نبدا الشرح
نفتح مشروع مكتبة dll جديدة في delphi
نذخل هذا الكود
http://www14.0zz0.com/2013/06/23/15/817338538.png
طبعا هذا كود داونلودر
يمكن تغيير مكان النزول
لكن الافضل تركه %temp% او %windir%
و تجنب المسارات التي تعتمد على اسماء الاقراص الصلبة
لان هناك من ينصب نظامه في القرص D و E غيره
نحتفظ بالكلمة المسطرة بالاحمر
نعمل compile
http://www6.0zz0.com/2013/06/23/15/270521926.png
الآن انتهينا من الشطر الاول
صنعنا داونلودر بصيغة dll
للاشارة فقط ان كنت تملك سورس اي سرفر اخر
فما عليك الا تحويله الى dll
يمكن استعمال اي لغة برمجة غير الدلفي
لكن يجب ان تتوفر المكتبة على imports
يمكن تغيير الاسم المسطر بالاحمر الى اي شيء
حتى لا يشك احد اكتب فيه شيء مثل skin او theme ...
الآن سنذهب الى اعداد برنامجنا
انا اخترت الـ notepad للتجريب عليه
نفتح الـ lordpe
http://www6.0zz0.com/2013/06/23/15/852444850.png
و نتبع الخطوات
نذهب الى directories
http://www6.0zz0.com/2013/06/23/15/434543125.png
نضغط على النقط
كليك يمين ثم add import
http://www14.0zz0.com/2013/06/23/15/101850419.png
ستظهر هذه النافذة
http://www5.0zz0.com/2013/06/23/15/332049000.png
نكتب في 1 اسم dll ( مثلا skin.dll )
و في 2 الاسم الذي كان مسطرا بالاحمر
نضغط على +
تمت الاضافة بدون اخطاء
http://www7.0zz0.com/2013/06/23/15/665470419.png
الآن نضغط على save
ثم ok
ملاحظة
لكي تنجح العملية يجب ان تكون و الملف المراد تلغيمه في نفس المكان
و لا يجب تغيير اسم المكتبة بعد الاضافة
انجزنا الآن نصف العمل
بقي لنا فقط الحاق ملف dll بـ exe
نفتح olly
نذهب الى مكان فارغ من الـ code cave
و نضغط كليك يمين
ثم assemble
http://www3.0zz0.com/2013/06/23/15/249981852.png
و نضيف هذا الكود
http://www2.0zz0.com/2013/06/23/15/584153495.png
في السطر الاخير يجب وضع
call eip
حيث eip هي المسطرة بالازرق و تختلف من برنامج الى اخر
وظيفة الكود هي تشغيل ملف dll و العودة الى برنامجنا
و بعض الاسطر لا جدوى منها
وضعتها للتضليل لا غير
و عند تشغيله لن يظهر عند مراقبة البروسيسات
نحتفظ برقم الـ rva
وهي عنوان السطر بالاخضر
التي ستصبح نقطة الذخول الجديدة
ملاحظة صغيرة اريد ان اشير اليها
هي لو كانت لديك خبرة بتحليل البرنامج
فلن تظطر لتيغيير ep ما عليك سوى زرع نداء نحو في المكان الذي تراه مناسبا
انا لم اضعه هنا لان البرامج تختلف
الآن نحفظ ما انجزناه
و نعود من جديد لـ lordpe ep لنغير الـ entry point
http://www5.0zz0.com/2013/06/23/15/277907632.png
طريقة حساب هي ( بالنسبة لبعض البرامج الآخرى المعقدة في الحساب )
ep = rva - image base
يمكن استعمال hex calculator او الآلة الحاسبة في النظام مع تغييرها من dec الى hex
انتهينا الآن
عند وضع المكتبة في نفس مجلد البرنامج فكل شيء سيعمل جيدا
اما اذا حذفت المكتبة فستظهر رسالة خطا
نذخل التغييرات
ثم save
و ok
هذا ما ستشاهده عن مراقبة البروسيسات
http://www14.0zz0.com/2013/06/23/15/981835268.png
الآن الطريقة الثانية
نصنع سرفر خاص بنا
نضعه نفس مجلد برنامجنا الهدف
نغير اسمه الى شيء مثل plugin.abc
ضروري تغيير الامتداد
فهذا لن يؤثر على اداء سرفرنا
و نصنع المكتبة بنفس الطريقة
لكن هذه المرة بهذا الكود
http://www14.0zz0.com/2013/06/23/16/656491102.png
نعيد نفس العملية على البرنامج الهدف
نفتحه و لاحظ ماذا سيحدث
الطريقة تمكن من تلغيم اي شيء و مجربة على اكثر من برنامج
اتمنى ان يكون هذا الشرح مفيدا
هذه الطريقة مفتوحة للتطوير ( يمكن استغلالها بشكل مختلف و النتيجة قاتلة )
اليوم ساشرح لكم طريقة من اكتشافي لتلغيم اي برنامج
لن اقول برايفت
التلغيم سيكون بدون دمج و بدون زيادة اي بايت على البرنامج الاصلي
ـ لن يتغير حجم الملف الملغوم ـ
الطريقة هذه تمكن من تلغيم اي برنامج كيفما كان نوعه ( اختراق ـ تشفير ... )
و تعتمد على ارفاق ملف dll او dll و plugin وهمي مع البرنامج الهدف
و لا يمكن تشغيل البرنامج اذا لم تتواجد تلك المكتبة كانها جزء منه و لكنها في الاصل هي الجزء الملغوم اذا لم يكن هناك بلوجن
التلغيمة يمكن استغلالها بشكل فضيع جدا ...
لكن ساكتفي بشرح عمل داونلودر
و من اهم فوائد هذه التلغيمة انه عند كشف اتصال الداونلودر فان البروسيس المسؤول عن التحميل هو البرنامج نفسه
و ان تم ايقافه فلن تتشغل باقي اجزاء البرنامج
اضافة الى ان الاتصال يتم على البورت 80 ( http)
مما سيقلل من الشك
و تمكن من تخطي بعض الدفاعات الاستباقية
كل ما تحتاج اليه هو
1ـ او Delphi 7 او XE
2ـ سرفر له نفس ايقونة و اسم البرنامج المراد تلغيمه ( لتضليل من يراقب البروسيسات )
3ـ LordPE
4ـ Olly او اي ديبجر آخر
نبدا الشرح
نفتح مشروع مكتبة dll جديدة في delphi
نذخل هذا الكود
http://www14.0zz0.com/2013/06/23/15/817338538.png
طبعا هذا كود داونلودر
يمكن تغيير مكان النزول
لكن الافضل تركه %temp% او %windir%
و تجنب المسارات التي تعتمد على اسماء الاقراص الصلبة
لان هناك من ينصب نظامه في القرص D و E غيره
نحتفظ بالكلمة المسطرة بالاحمر
نعمل compile
http://www6.0zz0.com/2013/06/23/15/270521926.png
الآن انتهينا من الشطر الاول
صنعنا داونلودر بصيغة dll
للاشارة فقط ان كنت تملك سورس اي سرفر اخر
فما عليك الا تحويله الى dll
يمكن استعمال اي لغة برمجة غير الدلفي
لكن يجب ان تتوفر المكتبة على imports
يمكن تغيير الاسم المسطر بالاحمر الى اي شيء
حتى لا يشك احد اكتب فيه شيء مثل skin او theme ...
الآن سنذهب الى اعداد برنامجنا
انا اخترت الـ notepad للتجريب عليه
نفتح الـ lordpe
http://www6.0zz0.com/2013/06/23/15/852444850.png
و نتبع الخطوات
نذهب الى directories
http://www6.0zz0.com/2013/06/23/15/434543125.png
نضغط على النقط
كليك يمين ثم add import
http://www14.0zz0.com/2013/06/23/15/101850419.png
ستظهر هذه النافذة
http://www5.0zz0.com/2013/06/23/15/332049000.png
نكتب في 1 اسم dll ( مثلا skin.dll )
و في 2 الاسم الذي كان مسطرا بالاحمر
نضغط على +
تمت الاضافة بدون اخطاء
http://www7.0zz0.com/2013/06/23/15/665470419.png
الآن نضغط على save
ثم ok
ملاحظة
لكي تنجح العملية يجب ان تكون و الملف المراد تلغيمه في نفس المكان
و لا يجب تغيير اسم المكتبة بعد الاضافة
انجزنا الآن نصف العمل
بقي لنا فقط الحاق ملف dll بـ exe
نفتح olly
نذهب الى مكان فارغ من الـ code cave
و نضغط كليك يمين
ثم assemble
http://www3.0zz0.com/2013/06/23/15/249981852.png
و نضيف هذا الكود
http://www2.0zz0.com/2013/06/23/15/584153495.png
في السطر الاخير يجب وضع
call eip
حيث eip هي المسطرة بالازرق و تختلف من برنامج الى اخر
وظيفة الكود هي تشغيل ملف dll و العودة الى برنامجنا
و بعض الاسطر لا جدوى منها
وضعتها للتضليل لا غير
و عند تشغيله لن يظهر عند مراقبة البروسيسات
نحتفظ برقم الـ rva
وهي عنوان السطر بالاخضر
التي ستصبح نقطة الذخول الجديدة
ملاحظة صغيرة اريد ان اشير اليها
هي لو كانت لديك خبرة بتحليل البرنامج
فلن تظطر لتيغيير ep ما عليك سوى زرع نداء نحو في المكان الذي تراه مناسبا
انا لم اضعه هنا لان البرامج تختلف
الآن نحفظ ما انجزناه
و نعود من جديد لـ lordpe ep لنغير الـ entry point
http://www5.0zz0.com/2013/06/23/15/277907632.png
طريقة حساب هي ( بالنسبة لبعض البرامج الآخرى المعقدة في الحساب )
ep = rva - image base
يمكن استعمال hex calculator او الآلة الحاسبة في النظام مع تغييرها من dec الى hex
انتهينا الآن
عند وضع المكتبة في نفس مجلد البرنامج فكل شيء سيعمل جيدا
اما اذا حذفت المكتبة فستظهر رسالة خطا
نذخل التغييرات
ثم save
و ok
هذا ما ستشاهده عن مراقبة البروسيسات
http://www14.0zz0.com/2013/06/23/15/981835268.png
الآن الطريقة الثانية
نصنع سرفر خاص بنا
نضعه نفس مجلد برنامجنا الهدف
نغير اسمه الى شيء مثل plugin.abc
ضروري تغيير الامتداد
فهذا لن يؤثر على اداء سرفرنا
و نصنع المكتبة بنفس الطريقة
لكن هذه المرة بهذا الكود
http://www14.0zz0.com/2013/06/23/16/656491102.png
نعيد نفس العملية على البرنامج الهدف
نفتحه و لاحظ ماذا سيحدث
الطريقة تمكن من تلغيم اي شيء و مجربة على اكثر من برنامج
اتمنى ان يكون هذا الشرح مفيدا
هذه الطريقة مفتوحة للتطوير ( يمكن استغلالها بشكل مختلف و النتيجة قاتلة )