فحص البرامج الملغمة بطرق احترافية

بسم الله الرحمن الرحيم
الدرس الاول : مقدمة عن الملفات والضغط وفك الضغط ’وكيفية فحص اكواد البرنامج من الروابط المشبوهة بالبرامج الاتية:
1- VB Decompiler Lite
2- DE Decompiler Lite
3- OLLYDBG

الدرس الثاني :
- فحص مكونات البرنامج الملغم بـ Resource تنر
فحص البرامج الملغمة بطرق احترافية 4

الدرس الاول :
تحليل البرامج الملغمة واستخراج السورس الكود الخاص بها .

عندما نقوم بفحص برنامج معين يجب عليك اتخاذ اجراءات معينة لضمان الفحص الدقيق للملف :
- بماذا صمم الملف المراد فحصه .
- كم حجم الملف .
- ماهي صيغة الملف.
- هل هو مضغوط ام لا.

هذه ابرز الخطوات التي يجب الا تحملها اجابة لااعلم ’ فعليك المتابعة بالشرح وبعدها ستجد الموضوع سهل لاقصى درجة وممتع بنفس الوقت .

س - لماذا يتم ضغط وتشفير البرامج ؟
للاسباب التالية :
1- ضغط البرنامج EXE بضغط هائل.
2- تشفير البرنامج ويصبح من الصعب عمل كراك له والتحريف به وحفظ الحقوق .
3- بالنسبة للهكر فاستخدامهم يقتصر على تقليل حجم الملفات التجسسية كالباتش ’ و ضغطها كي لايسمح لمن يفحص البرنامج الملغم باستخراج السورس كود وفحص الاكواد .

احيانا تود ان نعرف بماذا صمم هذا البرنامج لانستطيع ’ لانه مضغوط وهذا الضغط جعله مشفر ؛ اذن الان هل فهمت لماذا يتم ضغط الملفات ؟

- ليكن بالحسبان ليس كل برنامج مضغوط باداة upx او غيرها من برامج التشفير ’ دليل على التلغيم .

ومن اشهر برامج التشفير وفك التشفير " الضغط وفك الضغط " هي : UPX و Aspack و Ezip وغيرها الكثير.

فحص البرامج الملغمة بطرق احترافية 2

الان نبدا على بركة الله بتحليل الملف واستخراج بياناته .
اولا نقوم بمعرفة بماذا صمم البرنامج الذي نود فحصه ! هل بالفيجوال بيسك او الدلفي او غيرها من لغات البرمجة او هل هو مضغوط او ليس مضغوط ..
من خلال اداة PEiD او exeinfope وجيمع هاذين البرنامجين يقومان بنفس الخدمة :
1- معرفة هل البرنامج المراد فحصه مضغوط او لا وان كان مضغوط فسيعطيك بيانات الاداة التي تم الضغط بها .
2- يخرج لك بيانات عن صاحب البرنامج وموقعه .

1- سنشرح كشف البرنامج الملغوم بالفيجوال بيسك .
https://2img.net/h/i509.photobucket.com/albums/s340/sami2232/gmr7/b1.gif
طبعا اذا كان مضغوط يجب معرفة نوع ضغطه ونفك الضغط بنفس البرنامج الذي ضغط منه مثلا :
انا الان شاهدت ملف مضغوط باداة upx اذهب لقوقل واحملها والافضل تحملها من موقعها الرسمي لان اي برنامج للهكر نصيب من استخدامه فكثير منها ملغمة .

شرح الاداة
فحص البرامج الملغمة بطرق احترافية B3

تابع

او بامكانك تحميل برنامج Aspack فهو يفك ضغط
اكثر من 90 برنامج منها نوع ابكس
فحص البرامج الملغمة بطرق احترافية B6

وبعد مانفك ضغط الملف نذهب ونعرف باي لغة برمج !
شاهد هذه الصورة تدل على ان البرنامج صمم بالفيجوال .
فحص البرامج الملغمة بطرق احترافية B5

اذا كان البرنامج الملغوم مبرمج بالدلفي نفحص
ببرنامج de decompiler lite
واذا كان مبرمج بالفيجوال بيسك نفحص ببرنامج VB Decompiler Lite

طبعا فائدة هذين البرنامج استخراج سورس البرنامج وجميع الاكواد فربما وجدنا اكواد تخطى
ماهو السورس كود " source code " :
هي الرموز والاكواد والروابط التي بداخل البرنامج ’ بمعنى انا نبحث عن مصدر هذا الملف التطبيقي واخراج بيانات الملغم ان وجدناها كالروابط و غيرها.
شاهد :
فحص البرامج الملغمة بطرق احترافية S1

الان استخرجنا اكواد مباشرة وتشاهد مكان نزول السيرفر وامر تشغيله .
وتشاهد نهاية الرابط صيغة تنفيذية ’ والاهم من هذا كله هو موقع freewebtown فلو بحثت عن هذا الموقع ستجد ان الهكر يستخدموه لرفع باتشاتهم ’ اذن هذه دلالة على تلغيم هذا الملف.

2- نحن شرحنا كشف تلغيمة ببرنامج الفيجوال بيسك ’ وافحص تلغيمات الدلفي بنفس الطريقة ببرنامج
de decompiler lite فلايحتاج شرح فهما توأمان في استايل البرنامج ومحتواه

» كيفية معرفة البرامج والملفات التي تم فتحها عند فترة غيابك عن حاسوبك