غير مُجاب طلب ممن عنده سورس xtreme rat

تم تحميل الصفحة في 1,5771547 ثانية
طلب ممن عنده سورس xtreme rat
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
أريد أن أعرف أين يستخدم xtreme rat دالة CloseHandle للمرة الثانية

دائما يحصل كراش عند هذه الدالة في ثاني استخدام والسبب Invalid Handle Value

ما استنتجته هو أن الإكستريم رات يحاول الحصول علي مقبض ربما لعملية أو ملف أو ريسورس أو أو والدالة تفشل ثم يحاول إغلاق المقبض

غالبا هو يحاول الحصول علي مقبض لريسورس لكن لم أر من قبل شخصا يحاول إغلاق مقبض لريسورس

أريد أن أعرف كيف نتج المقبض الغير التالف حتي أصحح الخطأ
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
كراش عند غلق مقبض؟
حتى لو غير موجود، لا اعتقد ان هنا المشكلة
نعم كان هناك كراش عند غلق مقبض في دالة NtCloseHandle
لكن كان هناك بديل لبرامج 32 بت بدلا من الحل الذي وضعته لبرامج 64 لحل مشكلة المكتبة القياسية
الآن الإكستريم رات يعمل من الذاكرة بدون ران بي ولكن بقيت مشكلة بسبب غباء مصمم البرنامج

البرنامج يقوم بالحقن في نفسه بعد التشغيل بطريقة مكشوفة فيتم اكتشافه !!!

الحل الوحيد الذي وجدته للآن هو اختيار الحقن في برامج لا يمكن حذفها وبهذا لن يمكن حذفه
لكن النود يكتشفه ويحاول حذفه ولا يستطيع

لو أن البرنامج يكتفي بالتشغيل العادي كان جيد جدا لكن حتي لو اخترت بدون حقن أجد إنه استخدم ران بي مكشوف وشغل نسخة أخري من البرنامج في التاسك مانجر
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
- هته دالة ناتيف
غالباا لا يستعملوها المبرمجون وانما البرنامج داخلياا قد يناديها
حتى الكراش -exception- نفسه له مقبض يجب ان يغلق، لوول

- اجل هدا هو اكستريم رات، لايوجد تشغيل عادي يوجد self-inject
لانه مبني عل ملفين
Stub - يقوم بتثبيتات، نسخ، root kit,... الخ
Server - يقوم بالاتصال وهو ملف Dll
العملية 1 تكون ستاب و العملية 2 بعد حقن تكون Dll
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
- هته دالة ناتيف
غالباا لا يستعملوها المبرمجون وانما البرنامج داخلياا قد يناديها
حتى الكراش -exception- نفسه له مقبض يجب ان يغلق، لوول

- اجل هدا هو اكستريم رات، لايوجد تشغيل عادي يوجد self-inject
لانه مبني عل ملفين
Stub - يقوم بتثبيتات، نسخ، root kit,... الخ
Server - يقوم بالاتصال وهو ملف Dll
العملية 1 تكون ستاب و العملية 2 بعد حقن تكون Dll
الدالة الناتيف تم استخدامها من CloseHandle لأنه لا بد أن يرجع التنفيذ إلي دوال ntdll كما تعرف

والحقن هذا ران بي صح ؟

لتفادي حذف السيرفر اضطررت للرجوع للران بي مرة أخري لأنه كما يبدو لا يوجد طريقة للتغلب علي المشكلة بطريقة manual mapping
الحل الوحيد الذي وجدته حتي الآن تشغيل السيرفر بداية في عملية لن يحذف الأنتي فيرس ملفها وضبط الإكستريم رات علي الحقن في نفسه
وعندها سيقوم بالحقن في هذه العملية وسيحاول النود حذفها ولن بستطيع

ملحوظة : النود الغبي لن يقوم بقتل العملية يقوم فقط بمحاولة حذفها وعند العجز عنها يتركها وحالها
وتأتي رسالة تخبرك بأنه لا سبيل لإنهاء التهديد إلا بحذف الملف
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
الدالة الناتيف تم استخدامها من CloseHandle لأنه لا بد أن يرجع التنفيذ إلي دوال ntdll كما تعرف

والحقن هذا ران بي صح ؟

لتفادي حذف السيرفر اضطررت للرجوع للران بي مرة أخري لأنه كما يبدو لا يوجد طريقة للتغلب علي المشكلة بطريقة manual mapping
الحل الوحيد الذي وجدته حتي الآن تشغيل السيرفر بداية في عملية لن يحذف الأنتي فيرس ملفها وضبط الإكستريم رات علي الحقن في نفسه
وعندها سيقوم بالحقن في هذه العملية وسيحاول النود حذفها ولن بستطيع

ملحوظة : النود الغبي لن يقوم بقتل العملية يقوم فقط بمحاولة حذفها وعند العجز عنها يتركها وحالها
وتأتي رسالة تخبرك بأنه لا سبيل لإنهاء التهديد إلا بحذف الملف
ليس رنبي عادي
انما remote dll manual mapping
مع بعض اسمبلي ، لهدا هو غير مستقر

اعتقد يمكن تحقن في explorer مثلا دون ان تنشأ عملية جديدة
لو قتلها نود يعني خرب الجهاز
بنسبة لمستخدم عادي غير متمرس
لهدا برايي يتركهاا لان اكستريم يمكنه القيام بهدا

تحديد سبب كراش صعب
افضل تعيد compile مع تفعيل debug symbol
لتساعدك للوصول لمصدر الدالة في كود دلفي
هذا كنت اعمل debuge عليه
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,276
الإعجابات
8,307
النقاط
113
الإقامة
الجزائر
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
ليس رنبي عادي
انما remote dll manual mapping
مع بعض اسمبلي ، لهدا هو غير مستقر

اعتقد يمكن تحقن في explorer مثلا دون ان تنشأ عملية جديدة
لو قتلها نود يعني خرب الجهاز
بنسبة لمستخدم عادي غير متمرس
لهدا برايي يتركهاا لان اكستريم يمكنه القيام بهدا

تحديد سبب كراش صعب
افضل تعيد compile مع تفعيل debug symbol
لتساعدك للوصول لمصدر الدالة في كود دلفي
هذا كنت اعمل debuge عليه
سبب الكراش كان انه الإكستريم رات بيحاول الوصول ل base address تبعه وانا كنت عامل manual map فمكنش موجود في peb فبيرجع بصفر ومع سير خط تنفيذ الأكواد بيفتح مثلا مقبض لشيء يعتمد علي هذا العنوان فالمقبض يكون تالف وعند إغلاقه يقوم الويندوز بإغلاق البرنامج

وحتي لو حقنت في calc.exe النود لن يقتلها بل سيحاول حذفها فقط

الآن فهمت تماما كيف يكتشف النود الران بي المنشور عل النت والمستخدم للأسف في الإكستريم رات

لو لاحظت ستجد شيئين
الأول أنه لا يكتشفه إلا بعد أن يشتغل لثواني ويظهر في المتحكم

والثاني أن المكتشف هو السيرفر نفسه ولا علاقة له بالحاقن والنود يتهم العملية التي بها السيرفر

لكن مجددا مطورو النود أغبياء أو متآمرون مع صناع الفيروسات لأنه لا يكتشف إلا في حالة معينة فقط وغير ذلك لا يكتشف الران بي
 

rami31

Beginner Developer
rank
إنضم
14 مايو 2013
المشاركات
25
الإعجابات
20
النقاط
3
كراش عند غلق مقبض؟
حتى لو غير موجود، لا اعتقد ان هنا المشكلة
السلام عليكم اخي HOUDINI ارسلتلك رسالة بالسكايب ارجو ان ترد عليها او ارسلي رسالة على [email protected]
لاستطيع التواصل معك و شكرا
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل