شرح تعطيل cmd ( الدوس ) للحماية من الإستهداف

عزيزي فهد لو تسمحلي فديتك k:

بتطبيق meterpreter راح ياخذ المخترق صلاحيات مدير النظام كاملة، يعني مهما عملت راح يقدر يعكس

اوامرك...حقيقة مرة للاسف :er: والمشكل انو ما يكتشف في مراقب العمليات للوينوز :cr:

وحقيقة اخرى هو ان تطبيق meterpreter ليس سهلا ابدا ...من البارح وانا معاه وما تجاوزت شيئ

لذلك اطمئن قليلا ...وإحذر ان تغضب احد الهكر المتمرسين :hh:

نعلق الامل على جدار ناري قوي عسى ان لا يكون الهكر مثل اخينا اسلام :king:
​

 

:king::king::king:
الله عليك ي وجدي
أحلى تقييم شخصي ان امكن
​

 

بارك الله فيك
كما تقول ان الثغره هي ثغره محليه
و الذي استخدمته في نظام يونيكس معروف وهو من توزيعة يونيكس يقوم بادارة الشبكات وامنها واختبارها وفحصها من امكانية الاختراق والتحكم فيها عن طريق الاوامر بغض النظر عن نوع النظام المتصل على الشبكه سواء كان ويندوز او يونيكس

يستطيع اي شخص متمكن من الاوامر استخدام البرنامج في فحص امكانية الاختراق لنظام ويندوز على الشبكه الخاصه به
ويكون خالي من جدار ناري او برنامج حمايه وسينجح في ذلك
هل من مرجع مؤكد لهذه الثغره او مصدر :king:

​

 

الله يعافيكم إخواني (مباشر) و Karimium .. و شكراً لحسن ردكم ,,
و التصدي و أكتشاف الأستهداف . لا يتم إلا عن طريق المعرفه ,,
و الفهم الجيد لأليه هجوم المخترق . و النقاط التي ترتكز عليها ,,
و من ثم يمكنك جعل إختراقك أمراً صعباً ,,
تحيتي لكما ,,

 

الله يعافيك أخي فهد .. و أتمنى أن تقراء كلماتي هذه بتأني ,,
كان الحديث عن أن تعطيل الدوس يحمي من الأختراق المستهدف ,,
لذا إن قمت أنا بتعطيل الدوس و من ثم قمت الأختراق .. ذلك يعني أني أخادع ,,
لأن ساعتها سيكون دليلي يتلافى إختبار النقطه الأساسيه منه .. و هي ,,
"هل تعطيل الـ Dos يمنع الأختراق المستهدف ؟"
= =
لذا أنا لم أفعل ذلك ..
(( تم الأختراق و الـ Doss معطل بالكامل .. و تعمدت عدم تفعيله بعد الأختراق ))
حتى لا تختلط الأمور عليكم هنا ,,
و كما قد شرحت نظرياً و هو دليلي الأقوى ..
الـ Doss خارج نطاق أليه الأختراق المستهدف بالكامل ,,
الأمر كله منوط بالذاكره .. و منها يتم إكتشاف و كبح الأختراق ,,
إحترامي لك أخي ,,

 

حياك الله أخي فهد ..
كنت قد ذكرت سابقاً أن أول ما يقوم المخترق بفعله .. و هذا ما فعلته أيضاً ,,
هو رفع صلاحيته فوق صلاحيه الأدمن لتصبح >> System
كون الصلاحيه الأدنى لا تملك حكماً على ما فوقها من صلاحيات ,,
ثأنياً أخي .. ما يتم تعطيله المحرر فقط .. أي هذا الملف "regedit.exe"
أما الرجستري فهو موجود كما هو و يمكن للمخترق الوصول له و التعديل عليه ..
و يمكن الوصول للرجستري عن طريق أي محرر أخر .. أو أي لغه برمجه ,,
====
و بالنسبه للدوس و تعطيل الرجستري ,,
يفترض للحمايه "منع الأختراق" . و ليس تصعيب الأمور بعد الأختراق ..
و السبب .. كونه إن تم الأختراق تصبح المرء في موقف الضعيف ..
و إن إزدادت الأمور صعوبه .. ستكون عليه و ليس على المخترق ,,
تحيتي ,,

 

حياك الله و مشكور على التقيم أخي .. فـلسفـه ,,

صحيح كلامك أخي ..
فقط أخر جزء .. وجود جدار نار يعني تغير الأوامر و الأساليب المستخدمه في الفحص ..
و لا يعني فشل المحاوله ..
و بالنسبه لما طلبت عن الثغره ..
Google: lnk vulnerability
تحيتي ,,

 

هذه الثغرة
lnk vulnerability
قديمة وتم ترقيعها من شركة ميكروسوفت
يبدو أنك قمت بالتجربة على ويندز
XP SP2
قديم ولم يتم تحديثه وسد الثغرة
ويمكن ماعليه برامج حماية

أنت لو تبي تفيد أخوانك كان شرحت الحماية منها بشكل واضح ومفصل

​

 

الله المستعان ..
تحدثت معك بأفضل ما أستطيع و حاولت الحفاظ على مشاعرك ,,
- تراجعت عن ردي الأول "لا تعول على ما يقوله العرب" ..
- جعلت ردي في نفس الموضوع . ولم أنشئ موضوع جيد ,,
- خططت ردي بعيداً عن أي تهكم أو تجريح .. ليكون هذا ردك ,,
و بالرغم من كون ردك خارج موضوعنا وهو :
"إن كان تعطيل الـ CMD يحمي من الأختراق المستهدف أم لا"
و يبتعد عن النقاش العلمي .. و يتجه لتهجم على ,,
إلا إني سأوضح لك مره أخرى و بعيداً عن التجريح ..

أولاً :
الثغره مكتشفه منتصف العام الماضي و مصاب بها الأنظمه التاليه ,,
​

=============================

• Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista Service Pack 1 and Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems

=============================

أي كانت لتعمل على الـ Windows 7 أو حتى Windows Server بنفس الكفائه ,,
= =

ثانياً :
هذه الثعره التي تم إستخدامها في الـ Stuxnet ,,
الفيروس الذي يعد الأخطر في تاريخ الثورة المعلوماتية ,,
و التي صممت خصيصا لإلحاق الضرر بالمنشآت النووية الإيرانية ..
التي تعرضت لمتاعب تقنية بسببه . أخرت عملية إطلاق المفاعل حتى عام 2014 ,,
كما أنه لا ترقيع لها على الـ XP SP2 .. ميكروسفت رفعت الدعم عنه ,,
= =

ثالثاً:
بالنسبه لأتهامك "أنت لو تبي تفيد أخوانك" ,,
لم يكن موضع الحديث .. كيفيه ترقيع الثغره ,,
إنما .. الأثبات الذي قلت أنت أنني لم أقدمه ,,
مع ذلك .. راجع مواضيعي و ردودي ,,
تعرف كم سهرت و قضيت الكثير من وقتي .. لأفيد إخواني ,,
و اليوم إن شاء الله موضوع جديد سيتم طرحه إستغرق إعداده الكثير ,,
= =
​

أخيراً:
كان بأمكاني إختراق الجهاز بأكثر من طريقه أياً كان نظام تشغيله و حمايته ..
و كان يمكني إستعمال الـ Zero Days ..
كل ما في الأمر أني قمت بأختراق الجهاز الذي أمتلك بأبسط طريقه لأثبت وجهة نظري ..
و حتى نظام تشغيل جهازي الرئيسي XP SP2 ..
فأنا أؤمن بكفائه و خفه الـ XP .. و الحمايه تبقى على ,,
إنتهى ردي عليك .. و تم التقيم مثلما فعلت معي ,,
تحيتي ,,
​

 

مشكور اخي العزيز على ردك ...الذي كان ملخص كافي لمن له اطلاع سابق ...

لكن كثيرا من الاخوة هنا لن يصلهم ما قصدته ،ساحاول بدوري كسر شيفرة ردك

1/كيف يحصل المخترق على ip الخاص بك ؟ ليبدا باستهدافك ؟؟ الجواب : من خلالك انت ...في ما يسمى

الهندسة الاجتماعية: مواقع الشات ،منتديات الهكر،رسائل ايمايل ملغمة بملفات جافا .........الخ

2/ يقوم المخترق بعملية مسح (سكان) للنظام للبحث عن الثغرات الموجودة عليه، انطلاقا من مكتبة

الثغرات الموجودة على الميتا سبلويت...وهنا لا اقصد الويندوز فقط بل كل البرامج الاخرى من الفيرفوكس وغيرها

3/عند اكتشاف الثغرة وبداية تطبيق الاختراق قد تنفعك حمايتك،ولكن بمجرد ان يعرف الهاكر نوعها راحت

عليك...الهندسة الاجتماعية تتدخل هنا ايضا : قد تكشف حمايتك لمخترقك مثلي <بروفايل زيزوم:hh:>

ما العمل لتجنب الوقوع كفريسة لمخترق عنيد :

1/قد يتسائل المرء عن Update security patches >>>الاجابة هي مصممة لاغلاق الثغرات لمنع

الاختراق...ومن هنا تظهر اهمية التحديثات لكل البرامج المنصبة هذه التحديثات لا تقل اهمية عن

تحديثات برنامج الحماية في حد ذاتها

2/ الانترنت عالم عدواني بطبعه لا يقبل الضعيف ولا المغفل ...القاعدة الذهبية هي :يجب ان تشكك في

كل شيئ :u: عند ظهور رسالة غريبة او توقف برنامج الحماية من تلقاء نفسه ...يجب طرح الاسئلة :i:

3/ جدران الحماية عالية الحساسية تستطيع رصد عملية المسح هذه و بذلك يمكن كشف محاولة

الاختراق قبل حصولها ولجدار الكاسبر والكمودو وقفات كثيرة مع هكذا حالات :king:

4/ استعمال Advanced Task Manager لرصد كل العمليات على ذاكرة النظام والتحذير من مدخلات جديدة

>

>

>
> الى هنا تبقى مهمة الانتي فيروسات محصورة تقريبا في مكافحة جانب فقط من الخطر القادم من النت ...الباقي

قد وضحناه ولو على عجالة والحمد لله




زيزوووم >>>للحماية مفهوم مختلف<<<

<<< شكرا لكم جميعا >>>
​

 

كما يقولون .. البعض ينطق ذهباً ,,
​

 

وكما يقولون .. الكلمة طيبة تخرج الافعى من جحرها

 

حيلة صغيرة من الكاسبرسكي سكيورتي

اجعل الكاسبر يمنع البرامج التي لا تحمل توقيع رقمي والغير معتمدة لدى مختبرات الكاسبر من العمل اساسا كما فى الصورة وهذا مثال على كراك للنود لم يعمل من الاصل وقام الكاسبر بحجره





يعني لا meterpreter ولا غيره,مشفر او غير مشفر اي ملف مجهول لن يعمل من الاصل

حتى لو عطلت الانتي فيروس فالاصابة او الاختراق مستحيل



​

 

الحقيقه "لا يوجد حل في خطوه واحده" أو ضغطه زر ..
حتى مع تفعيل ما ذكرت يمكن الأختراق عن طريق إستغلال ثغرات التطبيقات بملفات غير تنفيذيه ..
مثل ثغرات قارء ملفات الـ PDF الشهير Adobe Reader ,,
الـ Adobe Reader موقع و مصرح له بالعمل من قبل الكاسبر ,,
أما ملف الـ PDF الذي سيتم فتحه خارج مراقبه الكاسبر ..
بأستغلال مثل هذه الثغره يمكن إختراق الجهاز ,,
و من ثم فان البايلود يجب أن يكون ملف Dll محقون ..
إذا يمكن الأختراق بسرفر البويزون بهذه الطريقه ,,

و أعتقد الـ COMODO يوفر مثل هذا النوع من الحمايه ,,
حيث يمكنك من تحديد صلاحيه أو منع للملفات التي لم يتعرف عليها رقمياً ,,
و دائماً يجب أن يبقى المرء حذراً .. فالكاسبر نفسه يحتوي عل ثغرات ..
أخرها .. بتاريخ 22.01.2011
Kaspersky administration Kit - Remote code execution via SMB Relay

مشاركه رائعه أخي ,,
تحيتي ,,

 

اذكر ان هذه الثغره انتشرت بشكل كبير حيث يقوم التروجان الذي يستغل هذه الثغره بعمل الاختصارات
في النظام ولا زال هذا التروجان موجود عندي داخل حجر النود :d:



ان قمت باستغلال هذه الثغره واستخدمت نظام خام ولا يحتوي على برنامج حمايه فهذا سهل عليك الامر الى حد كبير وحاليا غير موجود مع التحديثات وبرامج الحمايه
ولكن اثبت ان تعطيل الدوس لا يقي مثل هذه الهجمات فمكن الممكن ان تتجد الثغرات مره اخرى
كفيت ووفيت وبارك الله فيك :king:

​

 

اخي العزيز هذه المعلومة غير صحيحة

الكاسبر يحمي البرامج الموثوقة ضمن قائمة
Protected Application

وال Adobe Reader من ضمنهم

اي لا يوجد اي ملف او برنامج فى الدنيا يستطيع ان يعدل على الادوبي ريدر

الا البرامج الموثوقة او بموافقة المستخدم



لتخطي الكاسبر نحتاج الى برنامج يعمل من ال
Kernel Mode Ring 0
مثل الروتكيت TDL4
لان جميع باتاشات الهكرزر تعمل من ال
User Mode Ring 3

فاذا تخطت الكاسبر فهذا ضعف او خطا من المستخدم

اما اذا استخدمت ال safe run فى الكاسبر
ولا شي فى الدنيا يستطيع ان يتخطاك لانه يعمل من ال
Kernel Mode Ring 0
اي انه يمتلك اعلى تصريح فى النظام وبما انه مثبت قبل الفيروس
فحتي الروتكيت لا تستطيع تجاوز ساندبوكس الكاسبر
​

 

الاخ يقصد انه فرضا لو كان ملف PDF ملغم بثغره تستغل احد ثغرات الويندوز للاختراق
وكان هذا الملف غير مكتشف بالتوقيع من الكاسبر
وقمت بفتح الملف عن طريق قارىء الملفات ادوب ريدر
بالطبع لن يعترض الكاسبر على فتح الملف لان البرنامج موثوق
وبالتالي الثغره ستعمل لا محاله ان كانت غير مكتشفه ايضا من الكاسبر
ولو هالكلام مش منطقي ما في داعي لوجود فاحص الثغرات بالكاسبر

​

 

أهلاً بك اخي amiral3azab .. أشكر لك ردك الجميل ,,
و أنا لم أقم بتجربتي على وندوز خام ..
بل جهاز أخر عندي في البيت بأمكانيات متوسطه .. و برامج الحمايه تجعله ثقيل ,,
لذا أستخدم معه برنامج التجميد ShadowUser .. للحفاظ على الجهاز و موارده ,,
أي أني إستعملت المتاح لي .. و لم أقم انا بأختياره ..
في حاله وجود برنامج حمايه ..
كنت سأستخدم خوارزميه التشفير shikata_ga_nai في الـ msfencode ,,
و تنتهي المشكله ..
أو سأقوم شفير الملف بشكل يدوي .. ليصبح نظيفاً من الـ 40 حمايه ,,
كذلك كأن بالأمكان الأختراق عن طريق ثغرات أخرى مثل : ms08_067_netapi ..
أو Internet Explorer COM CreateObject Code Execution win32 ,,
و لا يعني هذا كون وجود الحمايه مثل عدمها ..
وجود الحمايه ضروري و مهم ..
إنما أن يظن المرء أن الحمايه وحده تكفي .. فذلك غير صحيح ,,
أسعدني الحديث معك أخي ,,
تحيتي ,,

أحيي فهمك .. تم التقيم ,,

 

وصلت الفكرة اخي العزيز

راجع هذه المشاركة

http://www.zyzoom.org/vb/showthread.php?p=3449186#post3449186

حتى البرامج الموثوقة يتم مراقبة سلوكها من قبل

Proactive Defense
وال
System Watcher

حتى هذه الاخيره System Watcher قوية جدا في صد هذا النوع من الهجوم

ربما يكون هنالك فرصة للاختراق, ولكنها ضئيلة جدا او معدومة
لانها تعتمد على نوع البرنامج والثغرة ..الخ
ساتحدث بالتفصيل مع ذكر السبب

ولكن بعد ساعات قليلة الان مشغول يجب ان اذهب

ساشرح طريقة عمل ال
Proactive Defense
وال
System watcher

خصوصا مع البرامج الموثوقة

فى امان الله
​

 

تحياتي لك ايضا وشكرا لمشاركتك الرائعة

لي عودة لاحقا

فى امان الله
​