CmOs_CLR
16-01-2010, 02:07 PM
بسم الله الرحمن الرحيم
السلام عليكم و رحمة الله و بركاته اخوانى
ان شاء الله اليوم معانا اول فكرة في هذا القسم الذى سيكون ان شاء الله من احسن الأقسام اذ سنتطرق لبعض الأفكار السائدة بيننا في مجال الأختراق و نحاول التدقيق فيها فاترككم مع
الفكرة الأولى و التى تدور حول موضوع مهم و هو فكرة التشفير بالهكس.
غالبا ما نجد في المنتديات العربية مواضيع التشفير بالهكس و نجد في بعض المنتديات اشخاص يعتبرون على اساس انهم محترفى التشفير بالهكس اذا ان المتعمق في هذا المجال يجد ان
هذه الدعايات لا اساس لها من الصحة و لا ترد الا من شخص مبتدأ لا يعرف وجهته فتابع معى هذا الدرس لنحاول فهم الذى يدور بعد التشفير بالهكس.
اولا بالنسبة للذين ليس لديهم معرفة حول التشفير بالهكس اقدمه لهم : اذ هو تغيير محتوى ملف تنفيذى "exe. " يتعرف عليه مكافح الفيروسات على أساس أنه برنامج ضار اذ يتم تغيره
من أجل خداع الأنتى فايروس .
بالنسبة لطريقة التغير فهى تعتمد على فتح الملف ببرنامج يقوم بعرضه بشكل نظام سادس عشر مثل برنامج " Hex Workshop " و تغير القيمة التى يتعرف عليها برنامج الانتى
فايروس لإيهامه بأن الملف هذا ملف اخر ليس ضار.
هذا بأختصار شديد للمزيد من المعرفة يمكن مراجعة مواضيع قسم أساسيات حماية الأجهزة و الطرق المعروفة في التشفير المهم اعطى مثال لنفرص انه لدينا القيمة :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
حيث وجدنا ان القيمة 74 هى القيمة المكشوفة نقوم بنجويلها الى القيمة 75 و هكذا يصبح الأنتى فايروس غير قادر على التعرف على الملف المصاب :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
و هى طريقة ناجحة بعض الأحيان لكن لو اردنا ان نفصل فيما جرى نجد ان عملية التحويل هذه ليست سوى حركة لمرز او بالأصح مبتدئين تابع مذا جرى :
كان الكود بالهكس
74 2C 6A 01 8D BE 11 69 40 00 59 8Bو بالأسمبلى يعنى
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
JE SHORT 0040163B
PUSH 1
LEA EDI,DWORD PTR DS:[ESI+406911]
POP ECX
...
الى اخر الكودتم اصبح بالهكس
75 2C 6A 01 8D BE 11 69 40 00 59 8B اي ما يقابله بالأسمبلى :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
JNZ SHORT 0040163B
PUSH 1
LEA EDI,DWORD PTR DS:[ESI+406911]
POP ECX
...
الى اخر الكودو هذان معنيان مختلفان تماما .
فلاحظ انه بمجرد ان غيرنا 4 الى 5 تم ادراج كامل الكود الممتد من العنوان
0040160F
الى
00401635اي تمت اصافة كود متكون من 18 سطر و السبب هو اننا غيرنا شكل قفزة !!!
ف 74 في لغة الأسمبلى تعنى اقفز اذا تحقق الشرط و 75 تعنى اقفز اذا لم يتحقق الشرط و هذه اغلب القفزات و معانيها و لاحظ انه تغير رقم واحد يؤدى الى عكس الشرط :
75 or 0F85 jne jump if not equal
74 or 0F84 je jump if equal
0F82 jb jump if below
0F83 jnb jump if not below
0F8E jng jump if not greater
0F8D jge jump if greater or equal
0F8C jnge jump if not greater or equal
0F8C jl jump if less
0F8D jnl jump if not less
0F8E jle jump if less or equal
0F8F jnle jump if not less or equal في مثالنا السابق غيرنا 74 الى 75 فتمت اضافة كود فلو فرضنا انه كان العكس اي غيرنا 75 الى 74 فهكذا نكن قد الغينا كود و بهذا الغينا ميزة في برنامجنا هذا اذا لم ينعطب .
و منه كخلاصة فانه بعد التشفير بالهكس
ان نجح تشفيرنا من الأنتى فايروس فأعلم بأن الملف قد انعطب او على الأقل انعطبت خاصية من خواصه
فكثيرا ما نجد سيرفرات بيفروست انعطبت فيهم خاصيةمن الخواص بعد تشفيره بالهكس مثل :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
او مثل :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
الى أخره من الخصائص
الى هنا ارجو ان لا اكون قد اطلت عليكم و ارجو ان تكون فكرتى و صلت و ان شاء الله الى فكرة اخرى في المرة القادمة
أخوكم CmOs_CLR
و السلام عليكم و رحمة الله و بركاته
السلام عليكم و رحمة الله و بركاته اخوانى
ان شاء الله اليوم معانا اول فكرة في هذا القسم الذى سيكون ان شاء الله من احسن الأقسام اذ سنتطرق لبعض الأفكار السائدة بيننا في مجال الأختراق و نحاول التدقيق فيها فاترككم مع
الفكرة الأولى و التى تدور حول موضوع مهم و هو فكرة التشفير بالهكس.
غالبا ما نجد في المنتديات العربية مواضيع التشفير بالهكس و نجد في بعض المنتديات اشخاص يعتبرون على اساس انهم محترفى التشفير بالهكس اذا ان المتعمق في هذا المجال يجد ان
هذه الدعايات لا اساس لها من الصحة و لا ترد الا من شخص مبتدأ لا يعرف وجهته فتابع معى هذا الدرس لنحاول فهم الذى يدور بعد التشفير بالهكس.
اولا بالنسبة للذين ليس لديهم معرفة حول التشفير بالهكس اقدمه لهم : اذ هو تغيير محتوى ملف تنفيذى "exe. " يتعرف عليه مكافح الفيروسات على أساس أنه برنامج ضار اذ يتم تغيره
من أجل خداع الأنتى فايروس .
بالنسبة لطريقة التغير فهى تعتمد على فتح الملف ببرنامج يقوم بعرضه بشكل نظام سادس عشر مثل برنامج " Hex Workshop " و تغير القيمة التى يتعرف عليها برنامج الانتى
فايروس لإيهامه بأن الملف هذا ملف اخر ليس ضار.
هذا بأختصار شديد للمزيد من المعرفة يمكن مراجعة مواضيع قسم أساسيات حماية الأجهزة و الطرق المعروفة في التشفير المهم اعطى مثال لنفرص انه لدينا القيمة :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
حيث وجدنا ان القيمة 74 هى القيمة المكشوفة نقوم بنجويلها الى القيمة 75 و هكذا يصبح الأنتى فايروس غير قادر على التعرف على الملف المصاب :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
و هى طريقة ناجحة بعض الأحيان لكن لو اردنا ان نفصل فيما جرى نجد ان عملية التحويل هذه ليست سوى حركة لمرز او بالأصح مبتدئين تابع مذا جرى :
كان الكود بالهكس
74 2C 6A 01 8D BE 11 69 40 00 59 8Bو بالأسمبلى يعنى
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
JE SHORT 0040163B
PUSH 1
LEA EDI,DWORD PTR DS:[ESI+406911]
POP ECX
...
الى اخر الكودتم اصبح بالهكس
75 2C 6A 01 8D BE 11 69 40 00 59 8B اي ما يقابله بالأسمبلى :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
JNZ SHORT 0040163B
PUSH 1
LEA EDI,DWORD PTR DS:[ESI+406911]
POP ECX
...
الى اخر الكودو هذان معنيان مختلفان تماما .
فلاحظ انه بمجرد ان غيرنا 4 الى 5 تم ادراج كامل الكود الممتد من العنوان
0040160F
الى
00401635اي تمت اصافة كود متكون من 18 سطر و السبب هو اننا غيرنا شكل قفزة !!!
ف 74 في لغة الأسمبلى تعنى اقفز اذا تحقق الشرط و 75 تعنى اقفز اذا لم يتحقق الشرط و هذه اغلب القفزات و معانيها و لاحظ انه تغير رقم واحد يؤدى الى عكس الشرط :
75 or 0F85 jne jump if not equal
74 or 0F84 je jump if equal
0F82 jb jump if below
0F83 jnb jump if not below
0F8E jng jump if not greater
0F8D jge jump if greater or equal
0F8C jnge jump if not greater or equal
0F8C jl jump if less
0F8D jnl jump if not less
0F8E jle jump if less or equal
0F8F jnle jump if not less or equal في مثالنا السابق غيرنا 74 الى 75 فتمت اضافة كود فلو فرضنا انه كان العكس اي غيرنا 75 الى 74 فهكذا نكن قد الغينا كود و بهذا الغينا ميزة في برنامجنا هذا اذا لم ينعطب .
و منه كخلاصة فانه بعد التشفير بالهكس
ان نجح تشفيرنا من الأنتى فايروس فأعلم بأن الملف قد انعطب او على الأقل انعطبت خاصية من خواصه
فكثيرا ما نجد سيرفرات بيفروست انعطبت فيهم خاصيةمن الخواص بعد تشفيره بالهكس مثل :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
او مثل :
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات]
الى أخره من الخصائص
الى هنا ارجو ان لا اكون قد اطلت عليكم و ارجو ان تكون فكرتى و صلت و ان شاء الله الى فكرة اخرى في المرة القادمة
أخوكم CmOs_CLR
و السلام عليكم و رحمة الله و بركاته