سنحفظ الخادم باسم Test.exe
وسيكون غير مضغوط وبحجم 12.5 كيلوبايت
الآن نقوم بتحريره ببرنامج Hex Workshop
وسنبحث عن ASG أو 5656 اللذين يمثلان الآي بي والمنفذ عن طريقCtrl+F
سيعطينا محرر الهيكس رسالة بعدم وجود المطلوب!
بمعنى أن البيانات في الخادم مشفرة بخوارزمية معينة
الآن سنقوم بمحاولة فك التشفير بتكوين خادم جديد بالبيانات التالية:
DNS/IP : BSG
Port: 5656
Filename: Virus.exe
Start up name: Virus
ونسميه Test2.exe
نقوم بتحريره بمحرر الهيكس ومن ثم نضغط Ctrl+K ليظهر بريمج مقارنة
نقوم باختيار الخادمين Test.exe و Test2.exe ليقوم البرنامج بالمقارنة
بين قيم كل منهما، وسنحصل على فرق واحد كالتالي:
الفرق الوحيد هو أن قيمة النص E في الخادم Test تغيرت إلى F في الخادم Test2
هذا راجع إلى أننا غيرنا عنوان الآي بي في الخادم الأول من ASG إلى BSG في الخادم
الثاني، بمعنى أن حرف A يمثل E في الخادم المشفر، والحرف B يمثل F أيضا..
وبنفس الطريقة يمكن إيجاد كل الرموز والحروف المشفرة ومن ثم استخراج قاعدة لها
والقائمة التالية تمثل الخوارزمية المتبعة:
a=e
b=f
c=g
d='
e=a
f=b
g=c
h=l
i=m
j=n
k=o
l=h
m=i
n=j
o=k
p=t
q=u
r=v
s=w
t=p
u=q
v=r
w=s
x=|
y=}
z=~
1=5
2=6
3=7
4=0
5=1
6=2
7=3
8=<
9==
ويمكن اكتشاف رقم المنفذ بنفس الطريقة، وتسهيلا سنلاحظ أن النص الذي يأتي بعد
Ds يمثل الآي بي ، pt يمثل المنفذ
No-IP = ds
Port = pt
وبالضغط على Ctrl+F يمكن البحث عن ds و pt بسهولة مع مراعاة تغيير نوع البحث إلى Text
مع ملاحظة أن التشفير يفك تلقائيا أثناء تنفيذ الخادم وذلك في الذاكرة، لذلك ظهرت برامج كثيرة
تقوم بتحليل العمليات التي تقيم في الذاكرة مثل برنامج OllyDbg
ثانيا: مراقبة ملف الخادم واكتشاف الأماكن التي ينسخ نفسه فيها
أ. مجلدات النظام
بنفس الطريقة سنقوم بتكوين خادم بالبيانات التالية
DNS/IP : 127.0.0.1
Port: 5656
Filename: Virus.exe
Start up name: Virus
ونسميه ASG.exe
الآن سنحتاج لبرنامج Filemon وهو مرفق.
نقوم بتشغيله ونذهب الى التالي
ومن ثم نضيف الآتي
نضغط ok ولا نغلق البرنامج
الآن نذهب للخادم ونقوم بتشغيله ولا تخف سنزيله بسهولة بعد ذلك
وسيقوم برنامج Filemon بمراقبة الملف في كل عمليته تقريبا
سيقوم البرنامج بتظليل عملية Create وهي إنشاء نسخة من الخادم في أي
مجلد آخر وسنلاحظ أن البرنامج تعرف على عملية إنشاء ناجحة في المسار
C:\WINDOWS\system32
باسم Virus.exe
ببساطة اذهب للملف (نقر مزدوج على المسار) وقم بحذفه
إزالة هذا الملف يعني إزالة الخادم إن لم يضع قيم في الرجستري
أو يحقن نفسه بتقنية روت كيت
ب. قيم الريجستري
سنحتاج لبرنامج Regmon وهو شبيه جدا بأخيه Filemon (مرفق)
وبنفس الطريقة تماما نقوم بتحديد الملف الذي سوف يُراقب
نلاحظ أن أخطر الطلبات هي ؤceatekey و setvalue
تأكد كتابة الطلبات بالحروف الصغيرة
لقد وجدت موضوع عن تحليل خادم برنامج واكتشاف خوارزمية تشفير بياناته
لكن الخوارزمية المتبعة كانت مختلفة على الرغم من استعمال نفس برنامج التحليل : Hexworshop
وهذه قائمة الخوارزمية :
` = a
b = c
c = b
d = e
e = d
f = g
g = f
h = i
i = h
j = k
k = j
l = m
m = l
n = o
o = n
p = q
q = p
r = s
s = r
t = u
u = t
v = w
w = v
x = y
y = x
} = z
و ضمت كذلك بعض الرموز( لاستخراج ال email مثلا) :
^ = _
A = @
/ = .
% = $
' = &
> = =
)( = )(
+ = *
" = #
. = ~
- = ,
= = >
لكني أظن أن خوارزميتك هي الصائبة, لأنها نابعة عن تجربة واااااااااااضحة جدا
مشكور اخوي وردس مفيد لمحبي تحليل التروجانات والفايروسات بشكل عام واستخراج البيانات ولا اخفيك انا من محبين هذا المجال للفائده العظيمه التي لا تتوقف فقط عن استخراج البيانات بل تمتد الى اكثر من ذلك
بالنسبة لخوارزميات التروجانات فهي اسهل الخوارزميات وبأمكان اي شخص حلحلت وفك التشفير من القاعده الرئيسة التي يعتمدها الفايروس او التروجان والصعوبه تكمن اذا كانت قاعدة الخوارزميه عشوائيه ولا تعتمد على معادله معينه وبالتأكيد يوجد طرق لفك التشفير وحلحلت الخوارزمية بطرق غير المتبعه حالياً عموماً اشكرك اخوي القناص على هذا الموضوع الرائع
==============
==============
diablos
اخوي العزيز الخوارزمية التي وضعتها هي خاصة بسيرفر البرورات وانا وبعض الشباب وسأذكرهم
(لوفربوي - مهون - كريزي كراكر) نحن من فك تلك الخوارزمية وهذا الكلام قبل 3 سنوات تقريباً .....
اقتباس من ردك (( لكني أظن أن خوارزميتك هي الصائبة, لأنها نابعة عن تجربة ))
اخوي افهم معنى الخوارزمية قبل ان تحكم بشي . وهل تعتقد ان كل الخوارزميات متشابهه !!؟ عجيب
توقيع : LoVeR HaCkEr
استغفر الله الذي لا إله الا هو الحي القيوم واتوب اليه
القنـاص 
العرض العادي
