PDA

نسخه کامل مشاهده نسخه کامل : ايده ي جديد در مخفي كردن كامپايلر ...



Morteza_SOS
05-03-2008, 15:52
سلام
من يه برنامه نوشتم و كمي دستكاري اش كردم به طوري كه هيچ برنامه اي نمي تونه تشخيص بده كه با چه نرم افزاري كامپايل شده البته حجم برنامه را در نظر نگيريد چون مي تونستم حجم را هم تغيير بدم و زياد كنم ولي ملاحظه ي اينترنت ذغالي خودمو كردم پس فايل زير را بگيريد اگه تونستيد كامپايلرش را پيدا كنيد :



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید



نتيجه ي اسكن توسط :

* PEiD‌‌ : UPolyX v0.5
Exe Info : unknown Packer/Protector detected
RDG : NADA

در ضمن در تمام حالات ( انواع تنظيمات اسكن با دقت هاي متفاوت )‌ نتايج بالا را در بر داشت حالا بازم خودتون تست كنيد تا ببينم چي مي شه !!!

Mr.reCoder
05-03-2008, 17:30
برنامه از یه فرسخی داد میزنه که با MASM32 / TASM32 نوشته شده!
اگه EntryPoint رو به مقدار 1918 تغییر بدی PEID بهت میگه!
یه چیز دیگه اینکه این برنامه شاید کرک یه برنامه بوده! که فایل رو پچ میکرده. در ضمن رجیستری پچ هم میکرده! به احتمال 99.99 درصد با نرم افزار diablo2oo2's Universal Patcher [dUP] ایجاد شده!

Morteza_SOS
05-03-2008, 19:54
برنامه از یه فرسخی داد میزنه که با MASM32 / TASM32 نوشته شده!
اگه EntryPoint رو به مقدار 1918 تغییر بدی PEID بهت میگه!
یه چیز دیگه اینکه این برنامه شاید کرک یه برنامه بوده! که فایل رو پچ میکرده. در ضمن رجیستری پچ هم میکرده! به احتمال 99.99 درصد با نرم افزار diablo2oo2's Universal Patcher [dUP] ایجاد شده!

:18::18::18: فقط مي تونم بگم يه نابغه اي بي شوخي خودتو آماده كن براي مدير مايكروسافت شدن !!!

ولي انصافا حجم فايل خيلي تابلو بود در ضمن ، آيكون هم همينطور كه اشكال از من بود . ولي شما خيلي كارت درست بود . :46:

راستي چرا E-Point را به 1918 تغيير بديم ؟؟؟

Js0ner
05-03-2008, 20:49
:34:نمیدونم چی بگم. اینجور چیزا هرچی باشن زود لو میرن.

Morteza_SOS
06-03-2008, 00:12
:34:نمیدونم چی بگم. اینجور چیزا هرچی باشن زود لو میرن.

انصافا منم توي همين موندم كه چي بگم :31: واقعا من به چه اميدي اين برنامه را دست كاري كردم :41: :13: ولي فكرشم نمي كردم كه توي اين مدت كوتاه برنامم از هم پاشيده بشه ... راستي Mr.ReCoder جان و ساير دوستان ، بهتر نيست اين روش را گسترش بديم طوري كه حداقل كمتر كسي بتونه برنامه را ( كامپايلر )‌ پيدا كنه .
من دارم روي روش هاي ديگه كار ميكنم .

اگر هم ايده اي داريد روي همين فايلي كه در پست اول داده ام پياده كنيد چون حجمش خيلي كمه و....

hakhamanesh
06-03-2008, 02:10
مشابه اين كار رو قبلا XackerX در تاپيك زير معرفي كرده بود البته ايشون كارش رو به صورت يك تولز ريليز كردن.تولزهاي مشابه خارجي هم در اينترنت وجود داره كه ميتونيد از اونها هم جهت گول زدن نرم افزارهاي مشابه PEid استفاده كنيد(البته تاكيد ميكنم گول زدن نرم افزار و نه كركر)

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Js0ner
06-03-2008, 02:57
خوبیه اینجور روش ها اینه که...
اگه یه برنامه ای که مثلا با armadillo v4.xx پک شده ; حالا تو بیائی و signature شو به armadillo v5.xx تغییر بدی تا طرف گوول بخوره و اسکریپت جواب نده! :2:

Mr.reCoder
06-03-2008, 08:08
سلام دوستان

به نظر من تو دنیای کرک حتی فهمیدن نام کامپایلر خیلی مهم نیست مگه اینکه بخواهی اونو دیکامپایل کنی! حتی آنپک بسیاری از فایلهای حفاظت شده هم شاید لازم نباشه! چون من برنامه رو از حافظه کرک میکنم نه از سورس فایل Exe! یعنی برنامه در حافظه تمام سپرهای دفاعی که پروتکتور در اختیارش قرار داده از دست میدهد:27:(حد اقل در 99 درصد موارد همینطوره!!:18:).

در ضمن اینکه من EP را تغییر دادم برای این بود که برنامه PEiD اونو تشخیص بده! وگرنه من از طریق سورس و همینطور String Refs برنامه براحتی به Asam بودن فایل پی بردم که اصلا کار سختی نبود.:46:

کدهای کلیدی نوشته شده توسط برنامه نویس هرچی باشند پس از کامپایل به Assembly تبدیل میشوند که بسیار عالیست. میتوان گفت که بهترین حالت برنامه نویسی فقط این حالت میباشد!!!:27: یعنی آخرش Asam است!!!:18:

Js0ner
06-03-2008, 21:35
خب دو خط اول رو خلاصه می کردیو میگفتی که باید لودر بنویسی.


با یه Code Injection ساده میشه یه چیزای مزخرفی بین سینگاتور برنامه ایجاد کرد که دیگه نشه شناختتش. البته هیچ راهی هم کار نمی کنه چون نمیشه IAT رو مخفی کرد. :46:

تا اینجایی که من میدونم, از این برنامه هایی که Fake signature به اول فایل ایجاد می کنند فقط میان و یک سینگاتور جدید قبل از اولی ایجاد می کنن و اوون قبلی رو حذف نمی کنن. به همین دلیل من یک روشی دارم که هنوز تست نکردم و فکر نکنم که کسی هم باشه تستش کرده باشه که میشه با یه تغییراتی در PEiD سینگاتور اصلی رو فهمید. اگه جواب داد اعلام میکنم!

Mr.reCoder
07-03-2008, 14:29
من هم یه برنامه نوشتم میخوام کامپایلرش رو پیدا کنید. تا ببینم امنیتش چه جوریه؟

لینک:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
---------------------------------------------
با تشکر Mr.reCoder

lvl@ster
07-03-2008, 19:54
من هم یه برنامه نوشتم میخوام کامپایلرش رو پیدا کنید. تا ببینم امنیتش چه جوریه؟

لینک:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
---------------------------------------------
با تشکر Mr.reCoder

فایل شما با Microsoft Visual C++ 5.0 کامپایل شده و با DxPack 1.0x هم پک شده بود

ماشاالله چقدر section داره

هم آنپکش راحته و هم درست کردن لودر

امنیتش هم عالیه !!!!!

Reza goli
07-03-2008, 20:30
بسم رب شهدا!

درود بر همه ی بچه ها.
می خواستم بدانم که چگونه می توان کاری کرد که نام پکر در نرم افزارهایی نظیر PEid مخفی بماند و یا دستکم پکر دیگری را معرفی نماید؟

Mr.reCoder
07-03-2008, 21:29
فایل شما با Microsoft Visual C++ 5.0 کامپایل شده و با DxPack 1.0x هم پک شده بود

ماشاالله چقدر section داره

هم آنپکش راحته و هم درست کردن لودر

امنیتش هم عالیه !!!!!

دوباره سعی کن پسر!!:31:

Mr.reCoder
07-03-2008, 22:47
نوشته شده توسط Reza goli
بسم رب شهدا!

درود بر همه ی بچه ها.
می خواستم بدانم که چگونه می توان کاری کرد که نام پکر در نرم افزارهایی نظیر PEid مخفی بماند و یا دستکم پکر دیگری را معرفی نماید؟


خوب بعضی مواقع تغییر دادن چند دستور اول در شروع برنامه (E-Point) و تغییر نام یا تعداد Section ها برنامه رو گول میزنه اما اصلا تضمینی برای جلوگیری از کرک نیست!!:13::41:

-----------------------------------------
با تشکر Mr.reCoder

XackerX
08-03-2008, 01:11
نوشته شده توسط Reza goli
بسم رب شهدا!

درود بر همه ی بچه ها.
می خواستم بدانم که چگونه می توان کاری کرد که نام پکر در نرم افزارهایی نظیر PEid مخفی بماند و یا دستکم پکر دیگری را معرفی نماید؟


برنامه TrickySigner رو كه خودم نوشتم رو دانلود و نگاه كن . تو همين فروم هست . سورسش هم هست

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

lvl@ster
08-03-2008, 13:59
نوشته شده توسط Mr.reCoder
دوباره سعی کن پسر!!

یعنی چی؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

وی بی و دلفی نیست مطمئنم

vc++ هست تابع getversion هم دم دست هست

نکنه میخوای بگی با masm نوشتی؟

mJo0T
17-03-2008, 19:38
طبق معمول- سعی میکنم:20:- فکر کنم که با Visual C++ 6 و در ضمن با MFC، درسته؟ یا ...

aydin_eb7777
17-03-2008, 22:52
سلام به استادان بزرگ Master & Js0ner & Mr. recoder.
این برنامه Visual C++ 6 کامپایل شده و با ASpack پک شده.
البته اگر با MMB نوشته نشده باشه چون اون هم با Visual C++6 نوشته میشه :)
درسته یا نه؟

mahramasrar2
04-04-2008, 23:31
من حتي نتونستم فايل رو UNZIP كنم چون ويروس يابم يعني رفيق كسپر جيغش در مياد وميگه فايل ويروس داره
وجالب اينكه نوع پكر شما رو هم تشخيص ميده ميگه فايل با
Win32.PePatch.du پك شده راست ودروغش گردن كسپر اسكاي!!!
اين هم لينكي كه در باره اين ويروس توضيح ميده

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

البته حتما شما ميگيد فايل شما ويروسي نبوده واشتباه از كسپر هستش كه امضا رو ويروسي تشخيص ميده راستش نمي دونم در هر حال با كسپر دعواهاتون رو بكنيد وبعد نتيجه رو در همين تاپيك منعكس كنيد!!

Mr.reCoder
06-04-2008, 17:03
من این برنامه رو با VC++ نوشته بودم که خیلی خوب تشخیص دادین!! اما قبل از پک امضای اونو تغییر دادم و بعد از پک هم همینطور!! حالا اگه میشه اونو آنپک کنید...

در ضمن این برنامه فقط برای زیاد کردن اطلاعات خودم ایجاد شده و هیچ قصد و غرضی در اون وجود ندارد. ویروس هم نیست!!!!:10:
--------------------------------------------------------
با تشکر Mr.reCoder

SadeghPM
06-04-2008, 17:10
من این برنامه رو با VC++ نوشته بودم که خیلی خوب تشخیص دادین!! اما قبل از پک امضای اونو تغییر دادم و بعد از پک هم همینطور!! حالا اگه میشه اونو آنپک کنید...

در ضمن این برنامه فقط برای زیاد کردن اطلاعات خودم ایجاد شده و هیچ قصد و غرضی در اون وجود ندارد. ویروس هم نیست!!!!:10:
--------------------------------------------------------
با تشکر Mr.reCoder

حالا شما لطف کنین و روشهاییی رو که استفاده کردین برامون توضیح بدین.

تا اطلاعات دوستان هم بیشتر بشه...

SadeghPM
13-04-2008, 17:51
چی شد آقا ....کسی نمی خواد چیزی بگه....فقط می خواستین بگین :آره...ما بلدیم...یا هم جزءمواردی هست که نباید همه بلد باشن...

amirgooran
13-04-2008, 18:41
چی شد آقا ....کسی نمی خواد چیزی بگه....فقط می خواستین بگین :آره...ما بلدیم...یا هم جزءمواردی هست که نباید همه بلد باشن...

موقعي كه اين فايل رو اينجا گذاشتين،دانلود و آنپكش كردم اما حسش نبود اينجا بذارمش !
دقيقا يادم نمياد ولي فكر كنم اول با trickysigner ساين رو به dxpackتغيير دادن،بعد با aspack پكش كردن،و دوباره ساين رو به dxpack تغيير دادن
البته اين چيزا مهم نيست،مهم اينه كه فايل با چند تا f8 آنپك مي شه!
به لولاستر بگين فايل آنپك شده رو براتون بذاره(اميدوارم اسم رو درست نوشته باشم)
در ضمن يك سوال:

ساين كمپايلر رو عوض مي كنين كه چي بشه؟كه نشه كركش كرد؟
يعني كركر اينقدر ديگه ... هست؟

Mr.reCoder
15-04-2008, 17:03
در مورد چگونگی انجام این کار انشاالله توضیح بسیطی خواهم داد! هرچند 100 درصد این اعمال رو با یه نرم افزار خاص انجام دادم که توضیح خواهم داد بزودی... البته بدلیل مشکلات عدید 1 هفته ای طول میکشه!!


در مورد منظور بنده از انجام اینکار:
اصولا من هیچ موقع هیچ کاری را با این منظور که بخواهم خودی نشان دهم انجام نمیدم. خوب من در چند پست قبلی هم گفته بودم که مخفی کردن کامپایلر هیچ کمکی به سخت کردن کار کرک نخواهد کرد. قصد توهین به کرکرها هم نداشتم - ندارم - نخواهم داشت!:10: فقط نظری دادم و کاری کردم... همین!





----------------------------------------------
با تشکر Mr.reCoder

Rap0251
15-04-2008, 17:21
خیلی ممنونم