الموضوع : طريقة تشفير التروجانات والفيروسات بواسطة تحرير قيم الهيكس
الكاتب : spider
الموقع : منتديات بحر العرب(( 3asfh.net )) حصري جدا جدا
طبعا في البداية هذا الموضوع اهداء بشكل خاص الى الاخ الغالي wald-3amer , والمراقب العام للمنتديات العاصفة مادري والى كافة ابطال واعضاء منتديات العاصفة الغالية
(( ربّ اخ لك لم تلده امك ))
نبدأ موضوعنا :
القسم الاول :
الادوات المستخدمة في التشفير
برنامج الهيكس ((Hex workshop))
رابط التحميل
http://r5g.org/up//download.php?filename=3a9ab8de4b.zip (( سوف اقوم بتشفير هذا الداونلودر عن الكاسبر Kaspersky antivirus ))
طبعا نفس الشرح لبقاي المضادات ونصيحتي لك كمبتدأ في عالم التشفير ابدأ بتشفير داونلودرات ذات احجام صغيرة وبعد ما تتقن تشفيرها توجه الى التروجانات ذات الاحجام الكبيرة مثل Prorat , Bifrost
طبعا حمل برنامج الهيكس على جهازك وركبه وكون داونلودر بواسطة البرنامج الي انا وضعته لك كما في الصور
الحين احفظه السيرفر الجديد الي انت كونته كما في الصورة
الأن اجى دور التنصت على بورت 1989 كما في الصورة
الحين جهزنا الداونلودر رح تلاقيه في في نفس مجلد البرنامج طبعا الحين اضغط عليه كليك يمين وافحصه رح تلاقيه مكشوف من كل مضادات الكون حتى الرسام يكشفه
والان اجى نبدا بالمهم والشي الاساسي وهو التشفير
بعد تحميل الهيكس عندك وتركيبه على جهازك افتح السيرفر بواسطته كليك يمين
طبعا اول شي لازم تعرفوا يا شباب انه اي ملف تنفيذي بكون له كود تنفيذي في البداية بدونه لا يعمل اي ملف تنفيذي مهما كان نوعه برنامج , فيروس , تروجان ,
وطبعا احنا لازم نتخطى هذا الكود ونتخطى الاصفار التي تليه حتى نصل الى نقطة البداية في عملنا وهي بداية كتابه بيانات السيرفر وتكون في السيرفر الذي نريد تشفيره عند الاوفست 300
طبعا خذ بعين الاعتبار انه كل تروجان يختلف عن الاخر من حيث طول الكود التنفيذي انت ان شاء الله بعد الممارسة رح تصير تحدد نقطة بداية كتابة بيانات السيرفر
وطبعا غالبا تكون نقطة البداية بعد الاصفار مباشرة
** طبعا اعرف كثير طرح منكم سؤال شو يعني اوفست (( offest )) هذا هو الجواب
المربع الاحمر فى الصورة فهو يمثل القيمة offset للقيمة المتوقف عندها المؤشر وكلما حركت الموشر على قيمة جديدة تتغير قيمة الاوفست وهو تمثل حجم البيانات بالبايت
اتمنى الكل يكون استوعب الموضوع
الحين نبدا عملية التشفير طبعا لازم تعرفو انه الانتي فيروس يكشف التروجانات من خلال قيم الهيكس فبتكون عنده قاعدة بيانات ضخمة ويجري فحص او تحليل للتروجان فلو وجد انه الملف الي بفحصه يحتوي على قيمة متعرف عليها انها قيمة لتروجان رح يصير يصرخ ويعيط ويحذف التروجان من جذوره وانت تنفضح مع الي بدك تخترقه :-) ورح يعرف انك ناوي تخترقه ويزعل منك ومو بعيد لو انه يعرفك معرفه شخصيه واقوى منك هههههههههههههه رح يورم عيونك من البكسات وتنام يومين بالمستشفى
للتوضيح مثلا الكاسبر يتعرف على القيمة التاليه على انها لتروجان
5C11
لو غيرناها وجعلانها
5C12
ببساطه شديده ما رح يتعرف عليها ورح يعدي عن التروجان مرور الكرام وما رح يعرف انه تروجان كأنه اي برنامج سليم 100% هع هع
وهذا هو سرّ عملية التشفير بالهيكس
وهو ايجاد القيم التي يتعرف عليها الانتي فيروس مثل الكاسبر وتغيريها بحيث الانتي فيروس لا يتعرف عليها
** طبعا الانتي فيروس ممكن يتعرف على 3 قيم مختلفه في نفس السيرفر وممكن يتعرف على قيمة وحده فقط وممكن على قيمتين حسب نوع التروجان وشهرته وانت وظيفتك يا هكر انه تلقى كل هالقيم وتغيرها
طبعا اكيد كلكم الحين بخطر ببالكم كيف بدنا نجد هالقيم الي يتعرف عليها الانتي فيروس والسيرفر يحتوي على عشرات الاف من هالقيم وهذي الصورة على سبيل التوضيح على كثرة القيم الموجوده في السيرفر وانت رح تدور على القيمة التي يكتشفها الانتي فيروس يعني مثل الي يدور ابره في كومة قش
طبعا رح كل واحد يجي بباله كيف رح نلقى هالقيم المكشوفه انا رح اقلك كيف رح نلقاها بتقسيم السيرفر وتغطيه مساحات معينة من بياناته بالأصفار حتى نلقى القيمة المشكوفه
على سبيل المثال شوف الصورة التاليه
القيمة المشكوفة من الانتي فيروس هي 5054 واحنا مش عارفين انه هي هذي القيمة المشكوفه لانه يوجد الالاف
بكل بساطة صفر القيم المضللة في الصورة الاولى اي اجعلها توخذ قيمة 0000 مثل الصورة
ورح تلقى السيرفر غير مكشوف لانه القيمة 5054 اتغيرت واصبحت 0000 ولكن ايضا اتغيرت باقي القيم الاخرى الي امامها والي خلفها واصبحت 0000 وهذا بالطبع سيؤدي الى تعطيل عمل السيرفر
مثل ما قلنا قبل اهم شي نطول القيمة المكشوفة لوحدها ونغيرها حتى يتم تشفير السيرفر دون ما نصيب باقي القيم السليمة حتى يعمل السيرفر بشكل صحيح
** الحين اتوقع الكل فهم هالفكرة
الحين نبدأ عملية التشفير الفعليه بعد ما الكل فهم هالنقاط
بعد ما تعدينا كود الملف التنفيذي والاصفار مثل ما ذكرنا سابقا ووجدنا انه بداية كتابة بيانات الملف عن الاوفست 300 نبدأ تصفير بيانات الملف تدريجيا وحسب حجم السيرفر
مثلا لو حجم السيرفر 360 كيلو بايت مو معقول نصير نصفر كل 40 بايت ونشوف وين القيمة المكشوفة يعني حسب حجم الملف لو كان 360 كيلو بايت صفر كل 10000 بايت مع بعض واحفظ الملف المتكون وافحصه لو كان مكشوف معناه انك لسا ما وصلت للقيمة المطلوبة وانتقل لل 10000 بايت لي بعدهم وهكذا حتى تنهي كل حجم السيرفر اما لو بعد تصفير 10000 واحفظت الملف وفحصته ولقيته غير مكشوف بنكون عرفنا انه القيمة المكشوفه بال 10000 بايت الي صفرناهم ورح نبدأ بحصرها وذلك بتصفير اول 5000 بايت من ال 10000 بايت الي محصورة فيها القيمة المكشوفه وحفظ الملف وفحصه فلو انكشف تكون القيمة المشكوفة بشكل حتمي واكيد في ال 5000 بايت التي تليها وهكذا نقوم بالحصر بشكل تدريجي حتى نتوصل للقيمة المكشوفه هذا المثال الي ضربته كان على السيرفرات الكبيرة مثل البرورات
ولكن في برنامجنا الي رح نشفره كل حجم السيرفر 1.588 كيلو بايت يعني 1588 بايت فمن المستحيل انا نختار نصفر اول 10000 بايت :-) لانه السيرفر اصغر من ذلك بكثير وما فيه 10000 بايت اصلا
طبعا رح نختار تقسيم معقول وهو كل 500 بايت
نفتح السيرفر ببرنامج الهيكس ونروح للاوفست 300 وذلك بالضغط على
Cntrl+G
ونحدد الاوفست الي بدنا ننتقل له على طول
بعد الضغط على Go رح تلقى المؤشر امام الاوفست الي انت اخترت الانتقال اليه
وهنا نبدأ عملية التصفير كالتالي كل 500 بايت وذلك حسب حجم السيرفر كما ذكرنا سابقا وكل واحد يقسم على كيفه حرّ لان كل الطريق تؤدي الى روما :-)
ورح تلقى ال 500 بايت الي حددتهم انت من الاوفست 300-800 مضللين بالاسود
انت الي عليك اضغط كليك يمين عليهم واختر Fill
وبعد ضغط ok رح تلقى انه كل ال 500 بايت الي انت ضللتهم اصبحو اصفار
الحين احفظ السيرفر الي انت عدلت عليه من خلال save as
والحين روح افحص الملف الي انت كونته وشوفه لو مكشوف او لأ
الحين بعد ما شفنا كيف تغيرت قراءة الكاسبر سكاي نعرف انه اول قيمة محصورة المكشوفة موجوده بين 300-800 بايت وهي Iciko.h طبعا علينا ايجادها وتغيريها حتى نبحث عن القيمة التاليه وهي Iciko.w
وألية العمل كالتالي نحصر عملية التقسم بدلا من 500 بايت نخليها 100 بايت او على كيفك ممكن تخليها 100 او 200 او 300 انت حرّ حتى نحدد مكان القيمة المكشوفة
ونصير نضلل ال 100 بايت ونصفرهم ونحفظ الملف المتكون ونفحصه لو طلع لنا انه القيمة ما زالت Iciko.H وبذلك نعرف انا لسا ما وصلنا لها ونقفز لل 100 بايت الي بعدها عن طريق
Ctrl+g
وهكذا العملية متتابعه حتى نشفر الباتش تمام عن الحماية من كل القيم
حتى لا يكون الموضوع كبير وطويل وممل شرحت باقي الشرح بالفيديو حتى تفهم وتستوعب اكثر كيف كملت تشفير السيرفر من الكاسبر وصدقني لو فهمت مبدأ التشفير الي حكيت لك عنه في الموضوع لن تحتاج الى شرح الفيديو ورح تقدر بعون الله تشفر اي سيرفر او تروجان بعد الممارسة لمدة بسيطة لا تتعدى اسبوع او 3 ايام حسب فهمك
علما انه الداونلودر الذي شرحي عليه يصيده الكاسبر في 3 قيم يعني فتح اذانك وعيونك ودخنلك سيجارة وروق قبل الشرح بالفيديو وانتبه مليح وافهم كل شي بقوم فيه .
شرح الفيديو
رابط التحميل
http://www.r5g.org/3asfh.rar ** ملاحظة اخوي احيانا قد تتوصل الى سطر فيه القيمة المكشوفة وانك لو غيرت فيه اي قيمة يتشفر الباتش ولكن لا يعمل لذلك بعد ما تغير قيمة روح اول شي افحصه لو طلع مشفر جرب الباتش على جهازك لو طلع يبلغ تشفيرك تمام 100% لو ما بيلغ او عمل مشكلة مثل علق الكمبيوتر الماوس اعرف انه صح السيرفر تشفر ولكن بطل يشتغل وانتقل للقيمة الي بعدها واعمل الي قلت لك لحد ما توصل للقيمة الي يكشتفها الانتي فيروس والي معها يتشفر السيرفر ويبقى سليم 100%
ففي حالات نادرة جدا جدا جدا تلقى برنامج من الاوفست 700 - 730 اي تغير في اي قيمة يتشفر ولكن صح انه يتشفر ولكن لا يعمل الباتش الا لو غيرت االاوفست 729 مثلا وهان يجب عليك الصبر والتجربه حتى تصل للقيمة السليمة وهذا حصل معي في البرنامج الش شرحت عليه
طبعا الي يريد يحمل الاداة الي يتشفر من خلالها الداونلودر من الكاسبر مباشرة
رابط التحميل
http://r5g.org/up//download.php?filename=490e92322c.zip وعشان اقطع الشك من اليقين الاداة يمسكها الانتي فيروس على اساس انها اداة تشفير ومساعده على الهكر virustool وطبعا يصنفها الكاسبر على انها لتشفير البرورات prorat لانه كان لي موضوع قبل سنة ونزلت فيه هالاداة ولكن لتشفير البرورات والكل راح فاحصها بمواقع الاونلاين وبالتالي هذا هو السبب تصنيفها انها للبرورات
فلا حد يعمل حاله سوبر فهمان ويقلي بدك تخترقنا ومدموج ومن هالكلام
لاني جالس 5 ساعات اكتب بالموضوع هذا لاجل افادة الاعضاء واخواني في المنتدى
الأحد سبتمبر 13, 2009 6:36 am