تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
دراسة حالة (DiskGenius)
#1
كمحاولة لترقية التبادل العلمي، اقدم اكم فكرة دراسة حالة...
دراسة حالة: هي محاولة القاء نظرة احترافية و تحليل حالة موجودة و معتمدة من طرف برنامج ما...

الحالة:
DiskGenius برنامج رائع و مبرمج باحترافية، محمي بحماية تجارية شرسة...
و بما ان هذفي (الشخصي) ليس كسر البرنامج او تجاوز معلومات التسجيل بل القاء الضوء على ما اسميه بـــ countermeasure استعملها المبرمج كمضاد لــ Dll Proxying.

البرنامج لا يقبل وجود و تحميل مكتبة (version.dll على سبيل المثال)

الصورة المتحركة تبين تجربة نسخ مكتبة موثوقة الى مجلد البرنامج و محاولة تشغيله بعد ذلك...
 
[صورة مرفقة: DIV2l4b.gif]
 


السؤال:
هل يمكن زرع مكتبة Dll Proxying و جعل البرنامج يحملها ؟
 
https://www.diskgenius.com
أعضاء أعجبوا بهذه المشاركة : MountLegacy , rce3033
#2
بواسطة baymax او عمل inline patch وتخطي CRC 

او loader خاص في واحد اسمة bb2018 بموقع tuts4you عملها
أعضاء أعجبوا بهذه المشاركة : rce3033
#3
(28-09-2021, 07:54 PM)the9am3 كتب : بواسطة baymax او عمل inline patch وتخطي CRC 

او loader خاص في واحد اسمة bb2018 بموقع tuts4you عملها

جيد...
هل يمكن توفير PoC او مراحل آلية التخطي يمكننا تجربتها ؟
بارك الله فيك على اثراء الموضوع...
أعضاء أعجبوا بهذه المشاركة :
#4
(28-09-2021, 03:40 PM)overlap كتب : البرنامج لا يقبل وجود و تحميل مكتبة ( على سبيل المثال)
البرنامج يقبل Dll Proxying
الصورة المتحركة تبين تنفيذ DiskGenius x64 وملف version.dll منسوخ من System32 وهذا هو المشكل عدم توافق
انسخ ملف version.dll  من SysWOW64 لا يحدث المشكل
أعضاء أعجبوا بهذه المشاركة :
#5
(29-09-2021, 11:00 AM)Spolaya Molaya كتب : البرنامج يقبل Dll Proxying
يبدو انك تسرعت !!! في المحاولة و تجاهلت التحقق من ان البرنامج حمل اصلا المكتبة المزروعة...
(29-09-2021, 11:00 AM)Spolaya Molaya كتب : الصورة المتحركة تبين تنفيذ DiskGenius x64 وملف version.dll منسوخ من System32 وهذا هو المشكل عدم توافق
كلام خاطئ !!!
اصدار 64 بت من البرنامج يحتاج الى مكتبة 64 بت لكي يحملها...
مكتبات النظام 64 بت موجودة في مجلد  System32 (64 dlls) و لا توجد اي مشكلة توافق !!!
 
(29-09-2021, 11:00 AM)Spolaya Molaya كتب : انسخ ملف version.dll  من SysWOW64 لا يحدث المشكل
المكتبات الموجودة في مجلد النظام SysWOW64 هي 32 بت و محاولة زرع مكتبة 32 بت في برنامج 64 بت (موضوع دراسة حالتنا) فانه لا يأبه بالمكتبة اصلا و يتجاهل تحميلها و دفعك الى نتيجة فهم خاطئة.

جرب تنصيب النسخة 32 بت من البرنامج و حاول زرع مكتبة 32 و لاحظ ما يجدث...

المبرمج قام بعمل countermeasure سواء لنسخة 32 بت او 64 بت...
أعضاء أعجبوا بهذه المشاركة : rce3033
#6
ممممم!!!
يبدو لي من الخمول السائد انه لا جدوى من متابعة طرح هذا النوع من المواضيع...

على كل حال، كآخر مشاركة لي في المنتدى، و لمن مازال يحاول مع الموضوع... المرفق يحتوي على ملف "محمل من النت" للدراسة، يحتوي على مضاد لــ countermeasure
موجه لاصدار 64 بت من البرنامج...

تحياتي الخالصة...
وداعا...


الملفات المرفقة
.rar   msimg32.rar (الحجم : 3.48 KB / التحميلات : 18)
أعضاء أعجبوا بهذه المشاركة : Polia , rce3033
#7
(02-10-2021, 04:29 PM)overlap كتب : ممممم!!!
يبدو لي من الخمول السائد انه لا جدوى من متابعة طرح هذا النوع من المواضيع...

على كل حال، كآخر مشاركة لي في المنتدى، و لمن مازال يحاول مع الموضوع... المرفق يحتوي على ملف "محمل من النت" للدراسة، يحتوي على مضاد لــ countermeasure
موجه لاصدار 64 بت من البرنامج...

تحياتي الخالصة...
وداعا...

اخي صحيح يوجد خمول لكن مثل هذه المواضيع مو سهله اكثر الناس لحد الان مايعرفون عمل هووك للvmp او الحمايات القوية + تم رفع عضويتك لل vip وانت طلبت ارجاع عضويتك للعضوية العادية في احد اقسام الخاصة الاخ ابو البراء اشار الى طريقة تخطي CRC لحماية vmp للنسختين 32 و 64 لهذا مااشارت لها لان ليست طريقتي
انت اصلا لم توضح للاعضاء ماهو countermeasure 

على العموم ان شاء الله يرجع المنتدى مثل قبل وافضل
أعضاء أعجبوا بهذه المشاركة : rce3033
#8
عندما قرأت بأن البرنامج محمي بحماية تجارية ظننتها حماية خاصة لكن بعد الفحص تبين انها VMProtect.

جربت تحميل البرنامج الى المنقح x64dbg لكنه يكشفه، رغم اني جربت استخدام sharpod مع تفعيل جميع الخيارات.

ايضا جربت استخدام اضافة ScyleHide لكن البرنامج ينهار expection c00005.

ايضا قمت باكتشاف 2 bugs للبرنامج رسلت بريد لخدمة العملاء لكن رد علي المجيب الالي noo .
أعضاء أعجبوا بهذه المشاركة :
#9
مرحبا أخي العزيز هذه المقالة سوف تساعدك

https://bbs.pediy.com/thread-165661.htm
أعضاء أعجبوا بهذه المشاركة : rce3033 , mohamad
#10
قمت بتحميل البرنامج بنفس اليوم الذي نشر فيه الموضوع لكن لم اقم بتجريبه الى بعد 3 ايام تقريباً...
وتجربتي مع هذا البرنامج كانت سيئة حقا !
لاني فقدت قرابة 60GB من ملفاتي...

تعريف الإجراء المضاد (countermeasure):
هو مصطلح علمي وبشكل مختصر يعني اخد إجراء مضاد ضد شيء ما، فقد يعرف المبرمج ان المنهدس العكسي قد يقوم بتحليل البرنامج بعد نشره، لذالك يقوم المبرمج بعمل إجراء مضاد لهذا الأمر لمنعه من التنقيح (anti-debugging).

موضوع الاخ overlap كان بخصوص الإجراء المضاد ضد الـ anti hook
اي ان المبرمج قام بإجراء مضاد ضد الـ hook وهذا يعني استحالة كسر البرنامج عن طريق الـ hook.   

دراسة الإجراء المضاد شيء مهم جدا خاصة بمثل هذه الحالة.
فقد نبه الأستاذ NewHawk بخصوص هذا الأمر أكثر من مرة...
إقتباس :https://www.at4re.net/f/thread-2039-post...l#pid10364
https://www.at4re.net/f/thread-1948-post...ml#pid9737
https://www.at4re.net/f/thread-1453-post...ml#pid6451



احد أقتباسات الأستاذ NewHawk:
إقتباس :"انا لم اقل ان كل شخص يجب ان يفهم الحمايات بالتفصيل كل ما اعنيه ان الهوك اصبح موضة والكل اصبح لايهتم بدراسة وتحليل الحمايات مثل زمان لذلك لو المبرمجين طورو هذه الحمايات واصبح معظم ادوات الهوك واللودر غير قادرة على اداء المهمة صدقني لن تجد احد يقوم بعمل مضاد او تطوير او اختراع للتغلب على هذه التحديثات"



أيضا يبدو ان هناك من قام بتخطي الإجراء مضاد ضد الـ anti hook
لانه فعلا قد تم تكريك النسخة الحالية من البرنامج عبر الـ hook.



بنسبة للأخطاء التي اكتشفتها....

الخطاء (Bug) الاول:
* خيار Erase Sector يحذف الاقراص الاخرى.
لست واثقا من هذا الbug لكن هذا ماحدث، قمت بعمل خيار Erase Sector وحددت بالsector مساحة لا يتجاوز حجمها 5GB اكتملت العملية ولم يحدث شيء...
لكن في وقت لاحق وجدت ان الاقراص الاخرى قد حذفت ابتذاء من قطاع ال 5GB التي حددتها !

الخطاء (Bug) الثاني:
* انهيار البرنامج عند محاولة استراجع البيانات من قرص يحتوي على ملفات كثيرة.
تأخد عملية استرجاع الملفات وقت طويلا حسب سعة القرص.
لكن وبعد طول انتظار ينهار البرنامج في مرحله الArranging Files
 
بعد عدة محاولات قمت بسترجاع مايقارب 10GB وهذه المحاولات اخدت مني 3 ايام تقريبا.


الملفات المرفقة الشكل المصغر
   
أعضاء أعجبوا بهذه المشاركة : EarthMan123 , the9am3


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 2 ) ضيف كريم