دخول

~~bounacer~~ · 04-08-2019, 03:48 PM

السلام عليكم ورحمة الله وبركاته

احب أسألكم , عملت كثيرا على برامج 32بت وعملت ببرامج rebuild pe وعمل DumpFull
واريد برامج تعمل نفس الشيء مثل برنامجين اعمل بهما هما : Pe Tools و LordPe rebuild
اريد اعمل DumpFull لبرنامج و ملف Dll اثناء تشغيل البرنامج على نظام 64 بت
وشكرا nice

**Gu-sung18** · 05-08-2019, 04:40 AM

وعليكم السلام
حالياً اداة Scylla تعتبر الوريث الروحي لهذا النوع من الادوات خصوصاً LordPe، الاداة مفتوحة المصدر ويمكنها التعامل مع x64 و x86 وتدعم أمكانية تطوير plugin لها، كما توجد نسخة معدلة تأتي بشكل افتراضي كـ plugin لمنقح x64dbg

إقتباس : - x64 and x86 support
- full unicode support (probably some russian or chinese will like this :-) )
- ++written in C/C
- plugin support
- works great with Windows 7

السورس

https://github.com/NtQuery/Scylla

للتحميل

https://github.com/NtQuery/Scylla/releases

---------------------------------
توجد اداة اخرى يمكنها أيضاً التعامل مع ملفات 64 بت وهي CHimpREC من برمجة TiGa من فريق ARTeam

إقتباس :
Some of the features:
The first universal 64-bit imports rebuilder

32-bit version included

Interface similar to ImpREC

Integrated 32/64-bit process dumper

IAT AutoSearch from ImageBase or OEP

Unshuffle thunks function

Manual imports editor

Some limitations
No plugin support yet

No AutoTrace feature

No disassembler

CHimpREC can be used to dump a packed executable in memory in order to gather the unpacked version.

ملاحظة: تحتاج الاداة الى The Visual Studio 2005 SP1 redistributable package لكي تعمل
[صورة مرفقة: dQOckWL.png]

للتحميل

https://tuts4you.com/download/2283/

~~bounacer~~ · 05-08-2019, 08:51 AM

شكرا لك اخي الكريم Gu-sung18 . اعرف كل هاته الادوات
ولكن هاته الادوات ضروري تضع. OEP .
لكن انا اريد عمل Dumfull وليس dump
لان جداول ال IAT تكون فارغة. اما انا اريد عمل Dumpfull ثم اصلحها بعد دلك.
لاني اتحدث عن حماية شرسة winlicense اخر اصداراتها

**Gu-sung18**

إقتباس :ولكن هاته الادوات ضروري تضع. OEP .

اذا انت تريد ان تختار فقط اسم البرنامج او الـ pid خاصتة وتعمل "Full Dump" للبرنامج؟

إقتباس :لان جداول ال IAT تكون فارغة. اما انا اريد عمل Dumpfull ثم اصلحها بعد دلك.

هل تقصد انك ستقوم باصلاح الـIAT بشكل يدوي وانك تريد عمل dump للميموري كما هي؟

~~bounacer~~ · 07-08-2019, 07:42 AM

نعم اخي [b]Gu-sung18[/b] أريد عمل Full Dump مباشرة للبرنامج بعد تشغيله , لا اريد EOP او صلاح IAT فقط عمل Full Dump

**Gu-sung18**

الاداة الوحيدة التي وجدتها والتي تحفظ بصيغة exe وحسب المواصفات التي طلبتها انت هي Process Dump (PD)

https://github.com/glmcdona/Process-Dump

الاداة تستخدم بالدرجة الاولى لتحليل الـ malware لذلك ستفيدك في تحليل الحمايات العنيدة وهي تدعم بشكل كامل 32 و 64 كما يمكنها عمل dump لمناطق الذاكرة التي PE headers تبعها ممحي كوسيلة من وسائل الـ anti-dumping
وفي هذه الحالة الاداة ستقوم بتوليد الـ PE headers والـ import tables بشكل ألي، الاداة تستخدم ميزة الفحص عن طريق الـ hash فهي تعمل فحص للنظام قبل تشغيل الـ malware وتعمل قاعدة بيانات بكل الـهاشات للملفات التي في الذاكرة وتعتبرها على انها نظيفة ثم بعد تشغيل الـ malware تقوم بعمل dump لاي process جديد لا يملك هوية تعريف في قاعدة البيانات ويعتبر process غريب. (عيب هذه الطريقة بنظري انها تأخذ بعض الوقت ولكن يمكن تخطيها)
كا يمكنك عمل dump لـ process محدد او لكل الـ processes في النظام، كذلك ايجاد الـ modules المخفية وعمل dump لها وايجاد الاكواد الطليقة "loose code" في مناطق الذاكرة.

اهم الاوامر التي تحتاجها

pd64.exe -db genquick

لتوليد قاعدة بيانات لجميع الـ processes

-----

pd64.exe -db gen

لتوليد قاعدة بيانات لجميع الـ processes مع فحص مجلدات مثل "WINDIR"و "%HOMEPATH%" و "C:\Program Files\" و "C:\Program Files (x86)\" وهذا الامر بطيء

------

pd64.exe -pid 499

لعمل dump عن طريق الـ pid

---------

pd64.exe -p .*chrome.*

لعمل dump عن طريق اسم البرنامج

---------

-ni

في حال لم ترغب من الاداة اصلاح الـIAT

-------

-g

لاجبار الاداة على توليد PE header من الصفر وتجاهل الـ PE header الحالي

-------

-nc

لالغاء خيار ايجاد الاكواد الطليقة "loose code" في مناطق الذاكرة وعمل dump لها

---------

-db ignore

لتجاهل قاعدة بيانات الهاشات (سيتم عمل dump لكل شيء حتى وان وجد له هوية تعريف في قاعدة البيانات)

--------
لتحميل الاداة

     http://www.split-code.com/files/pd_v2_1.zip

الاداة تحتاج Microsoft Visual C++ Redistributable for Visual Studio 2015 لكي تعمل

https://www.microsoft.com/en-ca/download/details.aspx?id=48145

موقع الاداة والكود المصدري + التعليمات

https://github.com/glmcdona/Process-Dump

------

ul
واجهة الاداة
[صورة مرفقة: BL50XEz.png]

عمل Dump لجوجل كروم
[صورة مرفقة: 4zwSj0m.png]

كما تلاحظ هنا تم اعادة بناء او اصلاح الدوال المستوردة او Imports

--------------------

ملاحظة: توجد ادوات اخرى مثل task manager (موجود بشكل افتراضي في ويندوز) و ProcDump يمكنها عمل Dump ببضعة ضغطات ولكن المشكلة ان الـDump سيكون بصيغة (DMP.)
الا في حال رغبت باستعمال WinDbg لتحليل ملفك

دخول
إسم المستخدم :
كلمة المرور :	فقدت كلمة المرور ؟
	تذكرني