ايده ي جديد در مخفي كردن كامپايلر ...

[Morteza_SOS]

سلام
من يه برنامه نوشتم و كمي دستكاري اش كردم به طوري كه هيچ برنامه اي نمي تونه تشخيص بده كه با چه نرم افزاري كامپايل شده البته حجم برنامه را در نظر نگيريد چون مي تونستم حجم را هم تغيير بدم و زياد كنم ولي ملاحظه ي اينترنت ذغالي خودمو كردم پس فايل زير را بگيريد اگه تونستيد كامپايلرش را پيدا كنيد :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نتيجه ي اسكن توسط :

* PEiD‌‌ : UPolyX v0.5
Exe Info : unknown Packer/Protector detected
RDG : NADA

در ضمن در تمام حالات ( انواع تنظيمات اسكن با دقت هاي متفاوت )‌ نتايج بالا را در بر داشت حالا بازم خودتون تست كنيد تا ببينم چي مي شه !!!

[Mr.reCoder]

برنامه از یه فرسخی داد میزنه که با MASM32 / TASM32 نوشته شده!
اگه EntryPoint رو به مقدار 1918 تغییر بدی PEID بهت میگه!
یه چیز دیگه اینکه این برنامه شاید کرک یه برنامه بوده! که فایل رو پچ میکرده. در ضمن رجیستری پچ هم میکرده! به احتمال 99.99 درصد با نرم افزار diablo2oo2's Universal Patcher [dUP] ایجاد شده!

[Morteza_SOS]

برنامه از یه فرسخی داد میزنه که با MASM32 / TASM32 نوشته شده!
اگه EntryPoint رو به مقدار 1918 تغییر بدی PEID بهت میگه!
یه چیز دیگه اینکه این برنامه شاید کرک یه برنامه بوده! که فایل رو پچ میکرده. در ضمن رجیستری پچ هم میکرده! به احتمال 99.99 درصد با نرم افزار diablo2oo2's Universal Patcher [dUP] ایجاد شده!

فقط مي تونم بگم يه نابغه اي بي شوخي خودتو آماده كن براي مدير مايكروسافت شدن !!!

ولي انصافا حجم فايل خيلي تابلو بود در ضمن ، آيكون هم همينطور كه اشكال از من بود . ولي شما خيلي كارت درست بود .

راستي چرا E-Point را به 1918 تغيير بديم ؟؟؟

[Js0ner]

نمیدونم چی بگم. اینجور چیزا هرچی باشن زود لو میرن.

[Morteza_SOS]

نمیدونم چی بگم. اینجور چیزا هرچی باشن زود لو میرن.

انصافا منم توي همين موندم كه چي بگم واقعا من به چه اميدي اين برنامه را دست كاري كردم ولي فكرشم نمي كردم كه توي اين مدت كوتاه برنامم از هم پاشيده بشه ... راستي Mr.ReCoder جان و ساير دوستان ، بهتر نيست اين روش را گسترش بديم طوري كه حداقل كمتر كسي بتونه برنامه را ( كامپايلر )‌ پيدا كنه .
من دارم روي روش هاي ديگه كار ميكنم .

اگر هم ايده اي داريد روي همين فايلي كه در پست اول داده ام پياده كنيد چون حجمش خيلي كمه و....

[hakhamanesh]

مشابه اين كار رو قبلا XackerX در تاپيك زير معرفي كرده بود البته ايشون كارش رو به صورت يك تولز ريليز كردن.تولزهاي مشابه خارجي هم در اينترنت وجود داره كه ميتونيد از اونها هم جهت گول زدن نرم افزارهاي مشابه PEid استفاده كنيد(البته تاكيد ميكنم گول زدن نرم افزار و نه كركر)

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[Js0ner]

خوبیه اینجور روش ها اینه که...
اگه یه برنامه ای که مثلا با armadillo v4.xx پک شده ; حالا تو بیائی و signature شو به armadillo v5.xx تغییر بدی تا طرف گوول بخوره و اسکریپت جواب نده!

[Mr.reCoder]

سلام دوستان

به نظر من تو دنیای کرک حتی فهمیدن نام کامپایلر خیلی مهم نیست مگه اینکه بخواهی اونو دیکامپایل کنی! حتی آنپک بسیاری از فایلهای حفاظت شده هم شاید لازم نباشه! چون من برنامه رو از حافظه کرک میکنم نه از سورس فایل Exe! یعنی برنامه در حافظه تمام سپرهای دفاعی که پروتکتور در اختیارش قرار داده از دست میدهد(حد اقل در 99 درصد موارد همینطوره!!).

در ضمن اینکه من EP را تغییر دادم برای این بود که برنامه PEiD اونو تشخیص بده! وگرنه من از طریق سورس و همینطور String Refs برنامه براحتی به Asam بودن فایل پی بردم که اصلا کار سختی نبود.

کدهای کلیدی نوشته شده توسط برنامه نویس هرچی باشند پس از کامپایل به Assembly تبدیل میشوند که بسیار عالیست. میتوان گفت که بهترین حالت برنامه نویسی فقط این حالت میباشد!!! یعنی آخرش Asam است!!!

[Js0ner]

خب دو خط اول رو خلاصه می کردیو میگفتی که باید لودر بنویسی.


با یه Code Injection ساده میشه یه چیزای مزخرفی بین سینگاتور برنامه ایجاد کرد که دیگه نشه شناختتش. البته هیچ راهی هم کار نمی کنه چون نمیشه IAT رو مخفی کرد.

تا اینجایی که من میدونم, از این برنامه هایی که Fake signature به اول فایل ایجاد می کنند فقط میان و یک سینگاتور جدید قبل از اولی ایجاد می کنن و اوون قبلی رو حذف نمی کنن. به همین دلیل من یک روشی دارم که هنوز تست نکردم و فکر نکنم که کسی هم باشه تستش کرده باشه که میشه با یه تغییراتی در PEiD سینگاتور اصلی رو فهمید. اگه جواب داد اعلام میکنم!

[Mr.reCoder]

من هم یه برنامه نوشتم میخوام کامپایلرش رو پیدا کنید. تا ببینم امنیتش چه جوریه؟

لینک:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
---------------------------------------------
با تشکر Mr.reCoder