تعلم التشفير بلهيكس

[Power_Dz]

السلام عليكم ورحمة الله وبركاته

((بسم الله الرحمن الرحيم))

::الدرس الرابع:: التشفير بالهكس


التشفير بالهكس له مجالات كثيرة ولايقتصر على مجال حصر القيم فقط
قبل أربع سنوات كان التشفير بصيط جدا تحصر القيمه ثم تشفر
لاكن الان تطورة برامج الحمايه واصبحة القيم تاخذ على سطور برمجيه
كما وظحة في الدرس الثاني القيم الثابته والمتغيره

1-نبدى بالمجال الاول التقسيم والوصول الى القيمه وتشفيرها

الادوات المستخدمه:-
1-برنامج الحماية المستخدم Premium Security Suite 10[]
2-أدات التقسيم FUDSOnly Offset Locator V3 [] 3-برنامج الاختراق سباي نت الاصدر الاخير [] باسورد Spy-Net

نبدى على بركة الله
أعمل سيرفر جديد وشيل الصح من أمام خاصية الظغط حتى القيم تجي كامله




جرب السيرفر على نفسك حتى نتاكد من سلامة عمل السيرفر ووصول التبليغ





الان أفحص السيرفر باأحد مواقع الفحص حتى نرى نتائج الفحص وليكن موقع http://scanner.novirusthanks.org/

نتيجة الفحص
[]




مكشوف من كثير من الحمايات

الان أعمل مجلد جديد وأعطه الاسم مثلا server_new وظع فيه السيرفر
أيظا أعمل مجلد ثاني وأعطه الاسم مثلا server_Offset هذا المجلد الذي سوف نظع فيه التقسيمات
أصنع مستند نصي وأعطه الاسم ((القيم المكشوفه))

الناتج




تنبيه:-لابد من عمل هذه الطريقة لئن الافيرا يقارن قيم أي
ملف بجانب قيم أي ملف أخر ويظهر بان
الملفات جميعها مكشوفة حتى لو تم التشفير لذالك لابد من
عمل الطريقة تفادي تعقيد الافيرا أثنا التشفير
أيظا تفادي لعدم نسيان القيم التي تم التشفير منها والعودة
لها بعد الانتها من التشفير وتشفير السيرفر
الاصلي باأعدادات no-ip

ملاحظة:- سوف نواجه قيم كثيرها منها ثابت أو متغيره فالثابت أن لم نستطيع التشفير منه سوف نتركه للفقرات
القادمه باذن الله


أفتح أدات التقسيم FUDSOnly Offset Locator V3 لنبدى بالتقسيم والحصر



تمام الان نفحص السيرفر وننظر الى أسم القيمه الاساسيه المكشوفه للمعلوم يوجد أكثر من قيمه
بالسيرفر مكشوفه لذالك لا تتفاجى أذا شفرة قيمه وظهرت لك
قيمه جديده هذا الحال في جميع الباتشات نفحص السيرفر ونرى الناتج




تمام كما ترى القيمه المكشوفه هي TR/Agent.598016 وهي القيمه الاساسيه التي يتعرف عليها مكافح الفيروسات الان ياتي دور التقسيم حتى نرى جميع القيم المكشوفه

أفتح أدات التقسيم وقسم السيرفر من 1000 الى 297472 على 2000 KB ثم أظغط على lniciar
كما يظهر لك بالصورة التاليه




الان أتجه الى ناتج التقسيمات في المجلد الذي حددته كما وظحت في بداية الدرس بعمل مجلد خاص وهو server_Offset



حدد جميع التقسيمات ثم افحص



ناتج الفحص كما ترى جميع القيم تتشابه إلا قيمه وحده وهي TR/Spy.Gen والموجودة في الاوفسة رقم 291000 كما في الصورة التاليه




تمام أحذف التقسيمات من المجلد جميعها للتقسيم من جديد على 1500 كيلو بايت



الان سوف نقسم نفس التقسيمه الاول من 1000 الى 297472 ولاكن على 1500 KB وليس 2000 حتى نرى أذا كان يوجد قيم أخرى لم تظهر أو لا




ناتج الفحص تحرك القيمه TR/Spy.Gen الى الاوفست رقم 290500 كما ترى في الصورة التاليه




وهذا أن دل يوجد قيم تنفيذيه كثيره في السيرفر لئن الافيرا لحسة مخ

الان نقسم من 1000 الى 297472 على 1000 KB حتى نرى الى أين تذهب القيمه وهل سيظهر قيم أخرى




تمام الان نحدد الكل ونفحص ناتج الملفات والنتيجه هي




كما ترى لم يتغير أي شي فقط القيمهTR/Spy.Gen أخذة الاوفست 291000

الان نقسم نفس الشي من 1000 الى 297472 ولاكن على 500 KB كما يلي




ثم حدد الكل وأفحص تلاحظ القيمه TR/Spy.Gen أخذة مكان أخر وهو الاوفست 291500 كما يلي




تمام الان أقتربنا من حصر القيمه أو القيم المكشوفه نقسم من 1000 الى 297472 على 300 KB كما يلي



ثم حدد الكل وافحص والناتج كما يلي



تنبيه:-قد يسبب التقسيم على بايت 300 من حجم سيرفر كبير مثل سيرفر السباينت مشاكل في فحص
الملفات الناتجه مثل البطى والتعليق لذالك حاول التطبيق على سيرفر صغير الحجم أذا كانت أمكانيات
جهازك لاتستحمل حجم الملفات الناتجه من عملية التقسيم

المهم نعود لناتج الفحص ونجد بان القيمه TR/Spy.Gen أخذة مكان
الاوفست 291700 الان ماذا نعمل الافيرا
يستهبل علينا شوي يعطينا القيمه في الاوفست 291000 ثم الاوفست 290500 ثم في 291700 لحسة مخ ^-^ باقي ماشفة شي..
سوف نتحايل على الافيرا ونرى هل هذه القيمه حقيقية أم وهميه الان القيمه TR/Spy.Gen وصلة في الاوفسة 291700
ماذا نعمل هل سنستمر في التقسيم بالطبع لا راح نحصر من الاوفسة أو القيمه المكشوفه
التي ظهرت لنا في أول الفحص وهو 291000 لاتنسى
ثم الى الاوفست أو القيمه الاخيره الذي وصلنا له وهو 291700 يعني يصبح هاكذا التقسيم
من 291000 الى 291700 والافظل رفعها الى 291900 حتى نتخطى ذكا الافيرا لئنه لحسات مخ

يالله نقسم من 291000 الى 291900 على 1 KB




ناتج الفحص




نلاحظ ناتج الفحص والقيمه TR/Spy.Gen أخذة من الاوفس 291900 الى الاوفس 291855 وهذا أن دل بان هذه الاوفسات لسطر برمجي ثابت أي لا نستطيع التعديل
عليه إلا بالهندسه العكسيه
طيب نحاول التعديل على القيم لعل وعسى نتخطى هذه القيمه.ناخذها قيمه قيمه أولا أفحص الباتش لنرى القيمه المكشوفه الاساسيه للتاكيد فقط




كما ترى القيمه المكشوفه في السيرفر الاساسي هي TR/Agent.598016

أفتح السيرفر بالهكس وأبدا بتجريب التعديل على الاوفسات التي تاخذ مكان قيمة TR/Spy.Gen وهيا الاوفسات التاليه




نبدى بالقيمه الاول من الاوفسة وهي 291900 أظغط Ctrl+G داخل الهكس وظع القيمه ثم أظغط GO للذهاب الى القيمه الاول كما يلي




تم نقلنا الى الاوفست الاول 291900 عند القيمه EC كما تلاحظ بالصورة التاليه




نفحص بعد التعديل




النتيجه بعد التجريب



لم يعمل الباتش والسبب بان القيمه تاخذ سطر برمجي كامل مهم في عمل الباتش طيب مالعمل ؟
العمل نجرب الاوفست الي بعده وهو 291899 ثم الذي بعد وهكذا الى أن تصل بنتجة أيجابيه
طيب أنا جربة ماظبطة معاي شي لئن القيم ثابته على سطر برمجي أي لايمكن التعديل عليها بالهكس
إلا بالهندسه العكسيه نترك المجال الى ::الدرس الخامس::التشفير بالــ olly لئنه من أختصاص القيم المستعصيه
هذا المجال صالح للتشفير من جميع الباتشات لئن القيم تختلف من باتش الى باتش أخر توقفي الى هنا
لايعني تطبيقك لهذه الفقرة سوف يفشل لا بالعكس سوف تنجح أذا لم تكن القيمه ثابته أي لاتستطيع
التعديل عليها بالهكس.والطريقة صالحة لكل الباتشات البيفرروست وغيره من الباتشات


2- المجال الثاني التلاعب بصورة الباتش والقيم من خلال الهكس.

في المجال الاول لم نفلح والسبب القيمه التنفيذيه TR/Spy.Gen لاكن في هذا المجال سوف ننجح باذن الله
التلاعب بالقيم وتحريكها يسقط الكثير من برامج الحمايه لاكن أنتبه الى شيء مهم عند تغيير القيم
لابد التجريب بعد التعديل أذا كان يعمل واصل التعديل وأذا أنعطب أعد القيم التي أعطبة الباتش
كما كانت ثم واصل التغيير الى نهاية الباتش وسترى النتائج

الان أفتح الباتش بالهكس








أذهب وأظف بايتات لتغيير حجم الباتش







تمام وصل التبليغ

الان أذهب وغير الايقونة باأحد البرامج مثلا ResHacker

جرب أفحص الباتش ولننظر الى النتجيه بعد أجرا التغيرات

النتيجه
[]



تمام بالطريقة هذه طمست حمايات كثيرة والتجربه خير برهان فمثلا أذا تم تطبيق هذه
الطريقة على ستب برنامج تشفير أو دمج راح تطير حمايات كثيره والسبب أغلب برامج التشفير
لاتاخذ شركات الحماية جميع قيمها الاساسيه...بل التركيز الاكبر على باتشات برامج الاختراق
لذالك تلاحظ صعوبه في التشفير وتخطي بعض القيم في الباتشات.ملاحظة انا أظفة بايتات كثيره
حوالي 50000 وبين كل 1000 أوفست أظفت أرقام ورموز كثيره خلاف الذي بالصورة فوق



3-المجال الثالث والذي أفظله أستخدام برامج التشفير لتغيير القيم الاساسيه للباتش الاصلي ثم أستخدام
التقسيم والتشفير بسهوله.ميزة هذه الطريقة باأنها تغير تغيير كامل لهيئة الباتش وأن كان مكشوف
من أهم الحمايات لذالك يساعد بتحريك بعض القيم عن بعظها مما بنتج لك باتش بقيم جديده تسهل عليك تشفيرها وأن كان قيم الستب لبرنامج التشفير مكشوف..

أبحث عن أي برنامج تشفير فمثلا أنا أخترة هذا البرنامج للتجريب فقط وعلما بانه متوافق مع السباي نت




ولتحميله من هنا
freewebtown.com/alktab929/Cryptosy.rar


افتح البرنامج وشفر سيرفر السباي نت وجرب التبليغ

الان أفحص الباتش



تمام هذه القيمه تحتاج تقسيم وبعض الاحيان لاتحتاج. فقط بعض الادوات وخلاص أنتهى أمرها
لاكن أنا بشرح بصدد درسنا التشفير بالهكس حتى تكون عندك معلومات كثيره لطرق التشفير بالهكس
وللمعلوم القيمه GEN من القيم التنفيذيه
القيم التنفيذيه تكون في مكان معين بعض الاحيان وهذه القيمه موجودة بين الاوفس 400 و 600
طبعا تم كشفها مسبق من قبل هكرز أجانب طريقة تشفيرها وحصرها

أفتح أدات التقسيم وقسم من 400 الى 600 على 1 كيلو بايت ولاتنسى تقسم البايتات على 11 كما يلي




تمام بعد التقسيم أفتح المجلد وأفحص جميع الملفات



النتيجه




الان أحذف الكل




راح يبقى قيم كثيره



أذا تم حذف جميع القيم أعلم باأن الطريقة غير مجديه لئن القيم جميعها تنفيذية تاخذ
سطر كبير من الباتش

طيب ناخذها قيمه قيمه ونجرب التبليغ أذا غير معطوب ناخذ قيمته ونفتح الهكس ونجرب التعديل على القيمه كما يلي

مثلا القيمه الاول




ناخذ منها الرقم 568 فقط هذه هي القيمه أما الرقم 1 الذي بجانبه هذا البايت الذي قسمنا عليه

تمام نفتح الباتش الذي تم تشفيره بالبرنامج ونظغط Ctrl+G والصق القيمه 568 وأظغط GO




ثم أحفظ الباتش وأذهب وأفحص والنتيجه غير مكشوف



نجرب التبليغ




معطوب !!! والسبب القيمه تنفيذيه طيب مالحل ...الحل نستمر بالتعديل الى أن نصل الى قيمه
الصحيحه أنا جربت القيم الى أن وصلت الى القيمه 586_1.exe




وتم التعديل عليها بنجاح باأظافةرمز & أمام القيمه في صندوق النصوص بالهكس ناتج الفحص




تم تجريب التبليغ والنتيجه




طارت حمايات كثيره من خلال هذه القيمه وناتج الفحص على موقع []

ولا حمايه غير وحده فقد
[]




ملاحظة مكشوف عندي من الكاسبر والنود بقاعدة بيانات جديده لاكن موقع الفحص لم يعطيني بانه مكشوف

سبب طمس الكثير من الحمايات هو تبديل القيم الاساسيه في الباتش وتفريقها ببرنامج التشفير
الذي أستخدمته من غير أظافات البايتات بين الاوفس والتعديل على الرموز
ساعدني بتشفير الكثير من القيم ومن خلال طمس قيمه وحده في سطر برمجي
وقعت على حدث لم يعطب الباتش وتشفر الكثير من القيم بعد المحاولات

وفي الاخير التشفير بالهكس ممل جدا جدا ذكرت في بداية الدورة يجب الصبر وسعة البال
لانك ربما ستشفر وربما لاتشفر على حسب برامج الحمايه وقوة ذكائها بعض الاحيان
تحتاج دراسة برنامج الحماية الذي تريد التشفير منه.والسبب لمعرفة طريقة فحصه
طريقة حفظه للقيم في قواعد البيانات وطريقة التعرف على القيم وكيف ياخذ مكان القيم
حتى تستطيع التشفير بسهول تامه.مع التجارب والتطبيق سيصبح الامر عادي لديك

ملاحظات على التشفير بالهكس:-
1-قد تواجه مشاكل تشفير من برامج الحمايه مثل الافيرا والكاسبر لئن القيم فيهم يتم
أستخلاصها بالهندسه العكسيه أي يتم أستخراج الدوال وغيرها من النصوص البرمجيه
المهمه لعمل التطبيق راجع الدرس الثاني
2-القيم التي يتعثر عليك تشفيرها بالتقسيم مثل GEN وغيرها لاتحاول تشفيرها إلا بالهندسه العكسيه
3-التشفير بالهكس يفيد لجميع برامج الحمايه إلا القيم الثابته
4-جميع الطرق في الشرح صالحة لجميع الباتشات وباتشات الكيلوقر وبرامج الدمج
5-بعض القيم لاتستطيع التشفير منها إلا في أدوات خارجه عن درس الهكس راح تمر عليها في الدورة


تم الانتها من الدرس

[hackster]

******* وبانتظار جديدك