القيم الست عشرية (Hex) ماهيتها تاريخها وشرح مبسط ومستفيض عنها..

حبيب البرامج · 18-06-2006, 11:01

القيم الست عشرية (Hex) ماهيتها تاريخها وشرح مبسط ومستفيض عنها..

انتشرت في الآونة الأخيرة طرق تشفير الفيروسات والخوادم من برامج مكافحة الفيروسات، وتعتمد تلك الطرق على تغير رموز معينة في الفيروسات والخوادم تسمي القيم الست عشرية،،
سأحاول في هذا الموضوع أن عرض لكم ماهية هذه الرموز وطبيعتها..

ذو قاعدة الـ16 (النظام الست عشري) أو (hexadecimal) وبشكل أبسط (Hex) هو نظام عددي مبني على 16رمز، وهذا النظام العددي يستخدم الأرقام من صفر(0) إلى (9) والحروف من (A) إلى (F)، في بدايته استخدم هذه النظام في عام 1963م من قبل شركة آي بي إم (IBM).

والحقيقة أن شركة أخرى استخدمت هذا النظام في 1956م غير أنه كان يعتمد على الحروف من (U) إلى (Z) بالإضافة إلى الأرقام.

على سبيل المثال العدد العشري (79) هو نفسه العدد (01001111) في نظام العد الثنائي وهذا العدد يمكن أن يكتب (4F) بالنظام الست عشري.

- التمثيل الست عشري (Representing hexadecimal):

بعض أرقام النظام الست عشري (Hex) لا تختلف عن أرقام نظام العد العشري، لذلك عند كتابة مثل هذه الأرقام يوضع إشارة أو دليل يدل على نظام الكتابة، مثال:

في لغة السي واللغات الشبيهة (c++, c# and JAVA) يشار إلى القيم الست عشرية برمز استهلالي "0x" .. مثال ذلك "0x5A3".
وتميز لغة (HTML) رموز Hex كذلك باستخدام بادئة استهلالية هي x مثال ذلك (&#x5a3) هو نفسه (֣) في متصفح الانترنت!
والألوان في هذه اللغة تستهل بـ # ، مثل: "#FFFFFF" وهو ما نسميه كود اللون الأبيض.
وهكذا دواليك فلكل لغة برمجة رموز وطرق تميز من خلالها الرموز الست عشرية ولم يتفق على توحيد هذه الدلائل.

- الاستخدامات:
غالبا ما تستخدم الرموز الست عشرية (Hex) في لغات البرمجة وخاصة لغتا HTML و CSS..
فهذه اللغات تستخدم ترميزا ستا عشريا لتحديد الألوان على صفحات الانترنت،، 24 بيتً من هذه الألوان يصاغ على هيئة #RRGGBB ، حيث يحدد RR قيمة للون الأحمر، و GG قيمة اللون الأخضر، وBB قيمة اللون الأزرق، فمثلا درجة اللون الأحمر تعطى بـ (238,9,63) في النظام العشري، بينما تصاغ كـ #EE093F في النظام الست عشري Hex .
أيضا وكما هو معروف في عناوين مواقع الانترنت URLs تستخدم رموز هيكس حيث تميز ببادئة استهلالية وهي العلامة المئوية %، واستغل مستخدمو برامج الاختراق هذه الخاصية، حيث قاموا بإخفاء مسار وعناوين خوادمهم وصفحاتهم المزورة من أعين الضحايا وذلك عن طريق طمر عناوين مواقعهم وجعلها مكتوبة بلغة غير مفهومة(رموز ست عشرية) لدى الضحية العادي .
والجدير بالذكر أنه يمكن تحويل لغة الآلة وأوامرها (1010001) التي تتكون من الرقمين صفر وواحد لأي برنامج كان إلى رموز ست عشرية (رموز هيكس) حيث يمكن التحويل بتمثيل كل موقع في السورس وهذا تماما ما تظهره محررات الهيكس أمثال Hex workshop

وكما رأينا أن الرموز الست عشرية تستخدم من قبل برامج مكافحة الفيروسات (anti viruses software) حيث تقوم هذه البرامج بتحديد مواقع معينة (في الرموز الست عشرية) لكل ملف غير حميد لكي تعرّف بهذه الطريقة أي ملف شبيه بهذا الملف كفيروس(طبعا مع الأخذ بالحسبان الحجم وغيره).
وكالعادة تدّخل المشفر ليغير هذه القيم الست عشرية (لكي يعمي أعين برامج الحماية من هذه الفيروسات ويمر هذا الفيروس منها مرور الكرام.

الآن فهمنا أن الـ (Anti Viruses software) تتعرف على الملفات الضارة من خلال قيم وأكواد

مرتبطة ارتباطا مباشراً مع القيم الست عشرية لذلك الملف.

في دروس تعمية الخوادم والفيروسات من برامج الحماية التي انتشرت في المنتديات العربية، رأينا أنه لتضليل

مكافح فيروسات مثل الـ(Norton) يلزم معرفة قيم معينة في الملف المراد تعميته، عند تغيير

جزئي لهذه القيم يعطي الـ(Norton) رسالة بعدم وجود خطر في الملف.

وإذا كنت من المتابعين الجيدين سترى عدة مواضيع كانت تتحدث عن برنامج Bi frost وتم فيها تعمية (تشفير*) خادمه من

برامج مكافحة الفيروسات أكثر من 30 مرة، حيث أنه كان في كل مرة يُعرَّف فيها الخادم ثانيةً

يتم تغيير القيمة الجديدة - قد تكون أكثر من قيمة في كل مرة - وها نحن قد رأينا أخيرا

موضوع انتشر في عدة منتديات أخرى بعنوان مركز التشفير* العربي وتم وضع باتش يغير أكثر من 133 قيمة في خادم

Bi frost ليتم تعميته عن أكثر من 21 برنامج حماية.

مؤخراً مررت بموضوع في أحد المنتديات يشتكي من أحد برامج الحماية وأذكر أنه N O D32 وأن هذا المكافح

يُعَرِّف قيم ست عشرية حساسة* في الخادم، بحيث يتضرر الخادم عند محاولة تغيير هذه القيم

ولا يستطيع الإقلاع فالعمل.

ما تفسير تعطل الخادم عند تغيير قيم معينة، وعدم تضرره عند تغير قيم أخرى له؟

نستطيع تقسيم القيم الست عشرية للملفات إلى قسمين كالتالي:

الأولى: قيم ست عشرية بياناتية hex data
الثانية: قيم ست عشرية برمجية * hex codes

مع ملاحظة أن هناك برامج تضيف بايتات وهمية للملفات لتزيد من أحجامها وهذه البايتات (القيم) تكون فرعية لكن جزء منها يكون ترميزي وآخر بياناتي.

الموضوع بدأ يتضح الآن،

لعلك جربت تعمية (تشفير*) فيروس معين من برنامج حماية ما، وقد نجحت في ذلك، يعني هذا

الأمر أن القيم الست عشرية التي قمت بتغيرها تقع في قسم البيانات للفيروس أي أنك قمت

بتغير بيانات وتسميات وقد تكون أوامر غير نشطة دائما لا تؤثر مباشرة (جذريا) في عمل ذلك الفيروس وهذا ما يفسر نجاح

تشفير* خادم الـ Bi frost حيث أن جميع القيم التي تم تغييرها فيه لا ترتبط (مباشرة) بالأكواد

البرمجية الخاصة به..

هنا مثال لقيم ست عشرية بياناتية

في مترجم الفيجوال بيسك مثلا، عندما نقوم بعمل Form جديد ونضع عليه زر Button ومن

ثم ندرج Form2, بعدها نحاول ربط الزر الذي أدرجناه على Form1 بـالـ Form2

ليظهره،، سنقوم بكتابة الكود التالي في حالة عمل Click على الزر:

ونجرب تنفيذه لنرى أنه يعمل بشكل صحيح

الآن سنغير حرف معين في الكود

بهذا الشكل سنجرب تنفيذ البرنامج وقطعا لن يعمل وسيشير إلى خطأ

هذا فكرة ما يحدث عند تغير قيمة ست عشرية ويتعطل الخادم عن العمل، ذلك أن تلك القيمة التي قمت بتغيرها في الهيكس هي قيمة مترجمة من كود برمجي مهم في البرنامج.

Form2.show تُرجم إلى قيم ست عشرية وفي حال تم التغير في أحد هذه القيم سيؤثر هذا على الكود form2.show وهذا ما أردت توضيحه.

وفي حالة عمل تعليمة Jmp لذلك الكود يمكن التخلص من الخطأ(لا ينطبق على كل الفيروسات) ، والأمر هنا يحتاج معرفة بلغة الأسمبلي ..
وأيضا يمكن تتبع قيم أخرى في الهيكس لتلافي ظهور رسالة الخطأ
والتشفير الأمثل هو الذي يتعامل مع الاكواد البرمجية للفيرس بغض النظر عن القيم الست عشرية..
وهذا ما نلاحظه في سيرفر برورات 1.9 فيكس 10 حيث تختلف قيمه تماما عن سيرفر برورات 1.9 فيكس 18
إذ ان التشفير تعامل مع أكواد السيرفر مباشرة ولم يقم بتغير قيم معينة في الهيكس
ولا تناقض في وجود سبل أخرى لتخطي الخطأ.

منقول

الملك18 · 19-06-2006, 12:58

درس قوي جداً ورهيب .. واللي يقراهـ راح يعرف الهيكس ويفهمها ..

يعطيك اللف عافية يالغالي على النقل ..

وجزا الله خيرا كاتب الموضوع الاصلي ...

احترامي

hexy · 19-06-2006, 01:42

أحد داق بيجر خخخخخخخخخ

مشكور ياحبيب على الموضوع

AvIrL@BoY@LoVeR · 19-06-2006, 01:50

فعلا موضووع رووعهـ,,

يعطيك العافيه يالغلاا على النقل الرووعهـ,,

سيـ,, يوو

gold shadow · 19-06-2006, 01:54

موضوووووووووووع روعهـ, مشكووووور

مشكوووووور خيوو على النقل

تحياااااااااااااااتي

gold shadow

ambt · 19-06-2006, 02:12

جزاك الله خير على الموضوع الرائع

وتسلم على النقل

وما تقصر

تحيتي لك

ThE eNeMy · 19-06-2006, 03:08

الله يجزاك بالخيرر اخوي على نقل الموضوع
وان شاء الله ان هذه المعلومات راح تبسط اشياء كان يجهلها الكثرين << وانا من ضمنهم

تحياتي لك يالغلا 00

سعد الليل · 19-06-2006, 01:58

مشكور ياعسل على الموضوع الرائع

مع خالص تحياتي ....

iraq x · 19-06-2006, 06:55

مشكور اخي على الموضوع المفيد

anonymous2005 · 20-06-2006, 01:52

مشكوووووووووووووووور يا غالى

العاطل · 20-06-2006, 03:58

السلام عليكم ورحمة الله وبركاته
حبيبي أنا عارف إني الوحيد إلي يمكن أسأل
أولا : الدرس والله شرحه واضح وجاء على الجرح
لكن على كلامك مستحيل نقدر نشفر الخادم عن Nod32
وإذا كان في طريقة كيف

ثانيا : أنا في كل الدروس العربية إلي دخلتها وقريتها عن التشفير بالهكس
يعتمدون على التخمين طيب مافي طريقة أو شيء يدل على إن هذه قيم ما تأثر إذا
غيرناها

أخوكم الصغير العاطل

حبيب البرامج · 20-06-2006, 09:25

تسلمون لمروركم أخواني
أخي العاطل أنا كنت أنتظر أي استفسار عشان نناقش فيه..وطبعا انا مو صاحب الموضوع وكاتبه الأصلي هو اِنتـAnti.Hackـهـاك من منتديات بوابة الخليج, ولا يمنع أن أرد لبعض الاستفسارات التي لربما يكون لي دراية بها..

((لكن على كلامك مستحيل نقدر نشفر الخادم عن Nod32 وإذا كان في طريقة كيف))

لا ما مستحيل، NOD32 غالبا إختياراته تكون لقيم حساسة بس مو دايم، وحتى لو كان اختار قيم
اذا تم تغيرها يتعطل الخادم ، هنا يمكن حل المشكلة بطرق مثل تتبع قيم أخرى في الخادم وتغيرها (كما في الدرس).

((أنا في كل الدروس العربية إلي دخلتها وقريتها عن التشفير بالهكس
يعتمدون على التخمين طيب مافي طريقة أو شيء يدل على إن هذه قيم ما تأثر إذا
غيرناها))

فعلا أخي ربما توجد طريقة، برنامج إسمه OllyDbg هذا البرنامج يستخدم لأغراض متقدمة مثل الهندسة العكسية(عن طريق أسمبلي)، أذكر أن به خاصية من خلالها تقدر تفصل قيم الهكس البيناتية عن البرمجية، و بحاول أوصل لكاتب الموضوع وإن شالله أسأله