ليلة سقوط الكاسبرسكي...لكل تقنية حديثة حدود !!

المصدر: ليلة سقوط الكاسبرسكي...لكل تقنية حديثة حدود !!
في منتدى : منتدى نقاشات واختبارات برامج الحماية

السلام عليكم ورحمة الله وبركاته

أسعد الله مساءكم أهل زيزوم الكرام



فاصل2
أما بعد

موضوعنا اليوم سيكون حول مناقشة حدود ونقاط ضعف

التقنيات الحديثة للحماية

قبل أيام من الان ناقشنا خلال احدى التجارب

قضية الحال وهي قضية

التواقيع الرقمية المزيفة

طرحت وجهة نظري خلالها وتبين للكثير الخيط الابيض من الاسود

لكن البعض لم يرقهم الوضع ...وهذا طبيعي في حدود المعقول

ولكن تقبل المعلومة شيئ والمكابرة ووالمعاندة شيئ آخر

اول قاعدة للتعلم هي تقبل الافكار ومناقشتها وليس محاولة

الظهور بمظهر العارف بكل شيئ ...ففوق كل ذي علم عليم

فاصل2
لفهم طبيعة هذ الموضوع وأبعاده وأهدافه

أدعوكم اخواني الكرام-لو سمحتم طبعا-

لزيارة هذا الموضوع -بعد اذن صاحبه-

http://www.zyzoom.org/vb/showthread.php?t=242083

والتركيز على ردودي المتواضعة ففيها ملخص لما يمهد لفهم الموضوع الحالي

فاصل2
بعد جهد جهيد تمكنت من الحصول على الملف الذي أسال الكثير من الحبر

عبر المواقع المختصة في عالم الحماية

إنه الملف Easysafe.exe

وهو انتي فايروس مزيف Fake-AV وخطير

تحليل الفايروس توتال : هنا

تحليل سلوك الملف : هنا

معلومات عنه من موقع ميكروسفت

Rogue Win32/Onescan



تم تحضير العينة لتجربتها على الكاسبرسكي انترنت سيكرتي 2012

محدث بتاريخ اليوم وعلى الاعدادات الافتراضية

فاصل2

ولعيون اعضاء زيزوم المتعطشين للمعرفة والمتابعين لكل جديد

تم رفع فيديو التجربة على الرابط

http://www.mediafire.com/?49c7fsxsj72w0vs

رابط إضافي

http://www.filesonic.com/file/3591159605/kis_deception.rar


ولكم أنتم جميعا حرية التعليق

ومحاولة فهم ما حصل ولماذا.........

ترى ما هي حدود تقنية مراقبة التطبيقات في الكاسبر؟

ما الخطأ الذي حصل ؟

وما هو دور التوقيع الرقمي في كل ما حصل؟

****************************************

كل هذه الإجابات مضمنة في فيديو التجربة

وفي ردودي السابقة :

هنا

و

هنا

فاصل2

في انتظار تفاعلاتكم ومناقشاتكم البناءة

تحليل لاتصالات الملف بعد تنصيبه


تقبلوا مني فائق عبارات التقدير وألإحترام

محبكم في الله : كريم

​

 

راح زمن الكاسبر

الان زمن البيت ديفندر والنورتون فقط هذا من تجاربي ووجهتي نظري بيت ديفندر في نسخه 2012 ممتاز جدا ويحتل المرتبه الاولى

وداعا كاسبر سكاي فور ايفر
ويلكم تو بيت ديفندر

 

رجاءا التركيز على المضمون لا الشكل

فلسنا هنا للتطبيل لأي برنامج كان

راجع تجارب اب العباس

http://www.zyzoom.org/vb/showpost.php?p=3470902&postcount=177

تحياتي




​

 

:f:
الله يعطيك العافيه ي الغالي على قلبي .. كريم )
شي يقهر ان يتم تثبيت برنامج حمايه ( مزيف او احتيالي او ادوير الخ .. سمها ما شئت من المسيات ) جنباً الى جنب مع الكاسبر !! :cr:
الي يزيد الوأحد قهر ان الكاسبر يضعه في خانه ( موثوق )
في المنطقه المحرمه .. !!

ويعطيه كل الصلاحيات في الجهأز
فقط لانه موقع لدى
ucf
ويقول ان له اقل من 1000 مستخدم !!
:no:
ومعدل خطورته 10 ب الميه !!
ولا حولك من حسيب ولا حولك من رقيب !
هذه نقطة ضعف الكاسبر
يمكن التحايل عليه من خلال توقيع رقمي مزيف
. :?: .
احلى تقييم شخصي موضوعي ل شخصك الكريم ي كريم
ولاهنت على رفع الرابط على موقع اخير غير الميديا فاير
ودي وخالص احترامي

​

 

السلام عليكم

عندي مداخلة بخصوص البيت ديفندر2012 لقد جربته و لم يكن ابدا بثقيل على الجهاز





متغيب بسبب الدراسة​

 

هلا كريم

اولا اتمنى عودة الهدوء في الحوار و التسليم بما نصل اليه اكثر مما يقال خارج القسم

بالنسبة للبرنامج في تجربتك صيني فلم افهم شيء منه

لكن السؤال ::

بما ان بعض برامج الحماية تسميه باسماء مختلفة مثل

انه احتيالي , ادوير , اداة حماية , انذار كاذب , اداة خطر , انتي فايرس مزيف

و ما الى ذلك من التسميات

لكن في فايرس توتال تركيزي على برامج دون الاخرى

الكاسبر و بريفكس لم يكتشفوه , النود و الافاست تقول انه ادوير و هي زينة البرامج

اصبح مطلوب منا ان نحلل الملف بانفسنا و بالتفصيل الممل

لنعرف ان كان الملف بالفعل خطير و توقيعه الرقمي انقذه

ام انه ملف عليه اختلاف من برامج الحماية

مثل برنامج صيانة نسيت اسمه لا يتفق مع النود فقط و العداء ابدي رغم سلامة البرنامج

الشعب يريد تحليل زيزوومي للملف
​

 

k:
:hh:
تقصد برنامج registry booster الذى دائما النود يكتشفة على انة فايرس
​

 

فى الحقيقة لا اعرف من اين ابدأ

والبعض مازال مصمما على التحدث بدون علم او معرفة

ويحاول ان يوصل معلومة خاطئة للناس

يستحيل ان تجد برنامج حماية فى العالم بهذا الغباء الذي تذكره

:hh::hh::hh::hh::hh:

هذه صورة الفيديو من التجربة المرفوقة بالاعلى




لاحظوا النقاط الفنية التالية

اولا الملف يحمل توقيع رقمي

ثانيا : نسبة الخطورة : اي خطورة كود الملف او البرنامج 10%
اي ان الملف لا يحتوي على كود خبيث
:hh::hh::hh:

ثالثا :البرنامج معروف لدى شبكة الكاسبر من 14/06/2011

فكيف يكون فيروس ولم تكتشفة الكاسبر لليوم
:hh::hh::hh::hh::hh::hh:

هذا ضرب من الخيال

لو كان فيروس لتم اكتشافه يوم 15/06/2011
بوساطة السحاب

والشي الذي لا تعرفه ان وحدة الدفاع الاستابقي
Proactive Defense
تراقب فقط النشاطات التي تلجأ اليها الاكواد الخبيثة

المراقبة تتم لجميع البرامج على النظام بما فيها الموثوقة

وحدة الدفاع الاستباقى ايضا لم تستجب للملف

الفيروس توتال كلام فاضي

مجرد
فحص بمحركات انتي فيروس تخطئ وتصيب

كيف يكون انتي فيروس مزور
ما هو الضرر الذي سببه
ما العمليات التي قام بها
لا شي

ضع رابط للملف وساتيك بتقرير من مختبرات البتدفندر
ان الملف نظيف 100000%

لان اكتشاف البتدفندر فى الفيروس توتال خاطئ

Application Generic

:hh::hh::hh:
​

 

هلا بأخي العزيز محمود

كلامك يا أخي على العين و الرأس

وياليتنا نعترف بحقائق الامور

فالبعض يخرج من التجارب كما دخلوها اول مرة

********************
في بداية الامر هذا البرنامج هو انتي فيروس احتيالي

يكشف اصابات وهمية ويطلب شراء البرنامج

ومسحه من النظام شبه مستحيل

و يسبب ثقل هائل في النظام

ورسائله لا تنتهي وترفض الذهاب الا بشق الانفس

هذا تحليلي الاولي..........

اذن له كل خصائص ال Rogue

وهذا كافي لجعله مطلوب اول لبرامج الحماية


تفضل اخي محمود معلومات عنه من موقع ميكروسفت

Rogue Win32/Onescan

طالع كل الصفحة حتى نهايتها وستفهم خطورة البرنامج

اعتقد ان تحليل الميكروسفت كافي :q:

اتمنى ان الفكرة قد وصلت

k:

*********************
تسلم يا غالي
​

 

بدون تعليق

!

​

 

يرجى ممن يملك الملف ارساله لي عبر الخاص
تحياتي
​

 

لعيون زيزوم وكل زيزومي عزيز على قلوبنا


تم التنصت على اتصالات الملف

واكتشاف اتصال مخفي عن الجدار الناري

اليكم الصورة 1 : الجدار الناري لا شيئ غريب (جربت جدار الكمودو بما ان الكاسبر قد سمح له )



ولكن على برنامج الكشف المحترف




اتصال على Ip لا يظهر في الجدار الناري يقوم به هذا Fake-AV

الى ايبي غريب في كوريا الجنوبية

تفضلوا معلومات عنه




وختامها مسك ............اتصال جاري الى الجهة صاحبة البرنامج المزيف




اكتمل العقد ولم يبقى شك في خطورة الملف

دمتم بود

​

 

شكرا لك اخى واحلى تقييم وهذا يثبت ان الكاسبر اصبح :kmj-by0000 (2):
​

 

السلام عليكم
كل الشكر والامتنان للاخوة اصحاب الخبرات على هذا النقاش المفيد والرائع بعيدا عن التعصب لأي برنامج محددوالحكم المتسرع على البرنامج.
لكن حسب رأيي التجربة لا تعطي تقييم نهائي لبرنامج الحماية اي كان فأغلب برامج الحماية خضعت لتجارب عديدة في هذا الركن منها من نجح في التجربة ومنها من فشل ولا يوجد برنامج لحد الان حسب متابعتي نجح في كل التجارب التي خضع لها .
متابع للفائدة وشكرا

 

كل الشكر والامتنان سيكون لك ياطيب :king:

اخي أنا لم اكن في موضوعي هذا اسعى الى اظهار قوة او ضعف برنامج ما

بل احاول الوصول الى فكرة ان لا شيئ كامل...........:no:

هناك من يؤمن ايمانا اعمى بقوة البرامج وكأنها معصومة من الخطأ ....ونسي انها برامج وفقط

اردت ان ان اسلط الضوء على هذه النقطة بالذات لكي اعطي معنى لضرورة التوعيةونبذ التعصب...

ولكن هناك من رفض التسليم بهكذا امر فاجبناه بموضوعنا هذا وكما كنت متوقع خاب ضني :no:

لعلمك انا مركب الكاسبرسكي ولن تجعلني حادثة كهذه اغيره ...فلكل جواد كبوة :u:

رسالتي من الموضوع هي ان البرامج على اختلافها ضعيفة...وقوتها من قوة مستخدمها ....:king:

لذا تراني لا اركز على البرامج بقدر تركيزي على التهديدات الامنية...... ففهم الخطر ثلاثة ارباع الحماية

دمتم سالمين
​

 

مشكور اخي على رحابة صدرك واسلوبك المهني والموضوعي في الطرح .
انا اؤيد كلامك يجب التركيز على الاخطار والمرور على النقاط الايجابية والسلبية في مجال الحماية ولكن للأسف بعض الاخوة تحكم على البرنامج من مجرد تجربة وخصوصا المستجد في مجال الحماية مع احترامي للاخوة لأن خبرة المستخدم لها دور كبير في التعامل مع برامج الحماية ومع الملفات الخطرة والمريبة وفي النهاية الهدف من هذه المواضيع والتجارب هو الفائدة وزيادة الخبرة ومنكم نستفيد بارك الله فيك وجزاك خيرا

 

يسقط الكاسبر يسقط ... يسقط ... يسقط ...

 

ومن يحيا ؟؟؟...................الكمال لله

ثم ماذا قلنا عن التعصب يا حبيبي :kmj-by0000 (72):

الكاسبر ملك يا اخي ومكانته عندي من مكانة عزيز

من لم يعجبه برنامج هناك المئات ...ولكن المستعمل واحد وهو لن يتغير

لذا يجب التركيز على المستعمل الذي هو انا وانت ................وهم ....ونغير من انفسنا

كيف ؟ .............................بطلب علم نافع اينما وجد. .

​

 

الكاسبر برنامج قوي جدا ومن خلال تحليل طبقات الحماية

هو الاقوى بشكل واضح

لكن السؤال هنا : لماذا الملف معروف عند الكاسبر ولم يتم وضعه في قاعدة البيانات او غيرها ؟؟

( الكاسسبر ما يهرول عبث ) :d::d:

مشكور اخوي كريم على الموضوع والتحليل :king::king:

+ احلى تقييم :king::king:

+

ارسل الملف الله لا يهينك ​

 

مشكور اخي THE WOLF 10 على طلتك الحلوة

سؤالك في الصميم...

الخلل هنا في طريقة التعامل مع الملف...

الكاسبرسكي آلة تعتمد على قواعد منطقية، عند توفر كذا شروط تعطينا نتيجة محددة لاحظ معي :

عندما يجد توقيع رقمي شغال + ملف غير مدرج بالتواقيع = سماح بالتنصيب

السحاب اتوماتيكيا يحسب كم مستعمل للتطبيق ثم يضع رقم ويقلك "موثوق" من كذا مستعمل مع انه

تم السماح للتطبيق بالعمل اليا....اذا لم يكتشف مراقب السلوك شيئا او يبلغ المستعمل يبقى موثوق

وجرب على winrar مثلا يقلك "اكثر من مليون مستخدم يثق به"

هل خرجت نافذة تطلب السماح بتنصيب winrar من الكاسبرسكي ؟ لا ...لماذ ؟ التوقيع الرقمي هو

السبب ...سماح آلي وحساب الي للمستعملين، winrar تطبيق سليم ولم يبلغ به احد اذن =k:

هذا الملف اللي في الموضوع قالك السحاب اقل من الف مستعمل وثق به....اكيد هذو المستعملين

لم يبلغوا الشركة، بل مسحوا البرنامج وكفى (وهناك من خدع ودفع المال) ثم طبقات الحماية لم تكشف

شيئا....ولذلك لم تتحرك الشركة لوضعه بالتواقيع فلا يوجد دليل...لكن تم تبليغها وربما سوف تتحرك.

دمت يا الغلا ولا تحرمنا من طلاتك.



​