اكتشفني رقم 1

تم تحميل الصفحة في 1,2721989 ثانية
اكتشفني رقم 1
الحالة
مغلق و غير مفتوح للمزيد من الردود.
إنضم
27 يناير 2018
المشاركات
136
الإعجابات
270
النقاط
63
العمر
23
السلام عليكم
اقترح عليكم تحدي من نوع آخر (اكتشفني) يحمل فكرة ، (تحليل و تخطي الآليات و ليس المطلوب كسر البرامج)

برنامج هذا الموضوع هو تحليل البرنامج Anti-Porn

التحميل من الموقع الرسمي:
Anti-Porn - internet blocking & filtering software

المطلوب:
1- ايجاد ثغرات تتيح استدعاء الغاء تثبيته Uninstall و ليس حذفه يدويا...
او
2- تخطي آلية فحص الرقم السري الذي يتيح اظهار الواجهة الرئيسية...

او انجاز الخطوتين معا...

المدة ثلاثة ايام...

الحلول توضغ في محتوى مخفي باستعمال خيار (ادراج ثم محتوى مخفي)
 
التعديل الأخير:

wolf-sy

مُشرف قسم الهندسة العكسية
rankrank
إنضم
28 يوليو 2014
المشاركات
416
الإعجابات
590
النقاط
133
الإقامة
syria
جميلة جدا هالفكرة و تغيير عن الروتين الممل بالتحديات
بنزل البرنامج و لي عودة بعد المحاولة
 
إنضم
27 يناير 2018
المشاركات
136
الإعجابات
270
النقاط
63
العمر
23
اخي ممكن اعرف هذا البرنامح باي لغة مبرمح ؟
مجلد البرنامج يحتوي على عدة عناصر منها من هو مبرمج بدلفي و منها من هو مبرمج بالسي...
لمعرفة لغات البرمجة، ادوات الضغط او ادوات الحمايات المستعملة، جرب اخي اداة Detect It Easy فهي تعتمد على آليات كشف جميلة...
 

wolf-sy

مُشرف قسم الهندسة العكسية
rankrank
إنضم
28 يوليو 2014
المشاركات
416
الإعجابات
590
النقاط
133
الإقامة
syria
السلام عليكم
اول محاولة لي بالوصول لالغاء التثبيت
هو مو عن فهم واضح تماما للامور لكن بالتجربة وصلت لما يلي
أول شي لاحظت عدم امكانية اظهار او الوصول لمجلد البرنامج
لذلك قمت بتشغيل كيرنيل ديتيكتيف
و لاحظت تلات عمليات للبرنامج مخفية
img_reco.exe
eglsrv.exe
eaglesrv.exe

عملت انهاء للعمليات الثلاث
قلت لازم يكون في درايفر للبرنامج
و كان ذلك
درايفرين
egldrv.sys
eglfs.sys
حاولت اعمل unload لهما
الاول نجح الانلود له لكن الثاني فشل ما بعرف ليش
رحت بعدها عال services
اوقفت tuEagles Service
و عملت اعادة تشغيل
مجلد البرنامج اصبح ممكن الوصول اليه
وضعت الملف unist.exe بالمنقح
و لاحظت انو لما بشغلو لالغاء التثبيت رح يطلب كلمة السر
لكن تجاوزها سهل
بوضع نقطة توقف متل الصورة و تشغيل الملف
لما تظهر واجهة ادخال كلمة السر فقط اضغط x و ستعود لنقطة التوقف
نقوم بجعل القفزة لا تقفز و نتجاوزها و ستبدأ عملية الغاء التثبيت
 
إنضم
27 يناير 2018
المشاركات
136
الإعجابات
270
النقاط
63
العمر
23
اول محاولة لي بالوصول لالغاء التثبيت
معذرة على التأخير في الرد للأسباب خارجة عن نطاقي...

تحليلك جيد اخي wolf-sy فالبرنامج يعتمد على كيرنل درايفر لمحاولة اخفاء عملياته و مجلد تثبيته، لكن للأسف هذه الكيرنل درايفرز لا تعمل جديا على اصدارات النظام احدث من Windows XP...

ثغرات حماية العمليات و مجلد التثبيت:
1- البرنامج يسمح بالغاء تحميل الكيرنل درايفر بكل بساطة دون فحص دوري لحالته (محمل او غير محمل).
2- البرنامج يسمح بحذف الكيرنل درايفر (الملفات egldrv.sys و eglfs.sys) او اعادة تسميتها دون فحص دوري لوجودها.
3- البرنامج يسمح بحذف او التعديل على قيم مداخل تسجيل الكيرنل درايفر من سجل النظام دون فحص دوري لوجودها.

بخصوص الغاء التحميل او حذف مداخل تسجيل الكيرنل درايفرز، نستطيع انجازها بطرق شتى من ضمنها اعتماد اداة تابعة للنظام تحمل اسم (sc.exe) لاحظ الصورة رقم 1

الصورة رقم 2 تبين طريقة الغاء تحميل الكيرنل درايفر egldrv.sys و حذف مدخله الموجود في سجل النظام و العمليتين تنفذ بنجاح...

الصورة رقم 3 بين طريقة الغاء تحميل الكيرنل درايفر eglfs.sys و حذف مدخله الموجود في سجل النظام، عملية الغاء التحميل تفشل و عملية حذف مدخله تنجح، لماذا ؟؟؟

الاجابة:
عند بناء كيرنل درايفر برمجيا نحتاج دالتان: دالة تنفذ اوامرها خلال مرحلة التحميل (DriverEntry) و دالة تنفذ اوامرها خلال مرحلة التحميل (DriverUnload) و تتيح لنا الغاء تحميل الكيرنل درايفر دون BSOD
الصورة رقم 4 تبين طريقة كتابة الدالتين...



و لسبب ما اختار المبرمج عدم اتاحة الغاء تحميل الكيرنل درايفر خاصته، سوف يختار عدم اضافة دالة (DriverUnload) او عدم تمرير عنوانها لــ DriverObject->DriverUnload التابع لــ DriverEntry لاحظ الصورة رقم 5، طبعا يمكنه ايضا اعتماد طرق اخرى مثل تصفير عنوان دالة الغاء التحميل خلال مرحلة التنفيذ في الذاكرة... و في الحالتين سوف يظهر عنوان الدالة صفر...
وعند فحص سبب عدم قدرة الغاء تحميل الكيرنل درايفر eglfs.sys تبين ان عنوان دالة DriverUnload يساوي صفر...


ايضا يمكننا الغاء تحميل الكيرنل درايفر بعد اعادة تشغيل النظام بحذف او التعديل في مسارها او في نوع التحميل او التلاعب في ما هو محفوظ يدويا او برمحيا في مداخلهم في سجل النظام مباشرة لاحظ الصور رقم 6 و 7


و بما يخص الغاء التحميل و حذف مداخلهم من سجل النظام برمجيا هذا مثال بالسي:




الآن نمر لكشف ثغرة حفظ كلمة المرور...
البرنامج يقوم بحفظ كلمة المرور التي يدخلها المستعمل بعد تشفيرها في صورة تحمل اسم Eleathe.bmp و موقع كلمة المرور المشفرة داخل الصورة في عنوان 0x00001000

و لمنع حذفها او التعديل عليها تم ربط مقبض الصورة Handle بالعملية eaglesvr.exe ، و هنا مربط الفرس، لانه عند حذف الصورة سوف يقبل البرنامج دخول اعداداته بكلمة مرور فارغة، طبعا يمكن الوصول الى نفس النتيجة بافراغ محتوى الصورة كاملا دون حذفها او تغيير كلمة المرور مباشرة بكلمة اخرى تم انتاجها بنفس البرنامج في جهاز آخر و طرق اخرى اترككم اكتشافها....

البرنامج مليئ بالثغرات التي تتيح تعطيل حمايته بكل سهولة (كلمة سهولة ليس هدفها انقاص من قيمة البرنامج او قدرات المبرمج) مما يجعل الاعتماد عليه بشكل كلي خطأ كبير...
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل