.. تخطى الأونلاين أرمر والدفنس بلس للكمودو ب Zeroaccess rootkit ..

عن نفسي لا أعلم ؟
ولكن : التجربة خير برهان
k:

عطونا ملف خبيث :d: ونجرّبه على أكبر عدد ممكن من برامج الحماية
والبرنامج اللي ينجح هو اللي كذا k: بغض النظر عن أسمه
​

 

:king: تسلم يا غالي
​

 

الهدف من هذا الخيار هو عدم الوثوق في الملفات التي سيقوم باستخراجها المنصب او المشغل الموثوق
وليس عدم تشغيل البرامج الموثوقه داخل الساندبوكس
لنفرض في هذا الموضوع ان الفلاش بليير يحمل توقيع رقمي وموثوق من الكومودو
ان تم ازالة هذا الخيار عند تشغيل منصب البرنامج ستتم مراقبة جميع الملفات التي سيتم استخراجها
وان كان هناك ملف مدموج بالبرنامج وسيقوم بتعديل ملفات النظام سيم وضعه داخل الساندبوكس فورا
وبالتالي سيحمي النظام من ذلك التعديل


​

 

اخي هيثم لا اعرف
لكن مجرد راي خاص بما ان الدرايف المتعلق بحارس الكومودو الخاص بالتطبيقات والفيروول والانتي فيروس بالاضافه الى الانتي روتكيت الذي تمت اضافته مؤخرا يعمل من طبقة الكيرنال
على مستوى منخفض فاعتقد ان يستطيع فعل ذلك ما رايك :i:



:u:
​

 

جميع برامج الحماية تستخدم درايفرات من منطقة الكيرنل حتي تستطيع ان تغلق او تحذف اي ملف او برنامج عنوة؟؟؟؟
لذلك يستطيع اي مكافح ان يحذف اي ملف فى النظام؟؟؟

من جانب اخر 95% من برامج الحماية تفشل فى الكشف عن اي روتكيت جديد؟؟؟

بالنسبة للكمودو هل ينجح ام لا؟؟

اعتقد التجربة هي خير دليل؟؟

ملاحظة : بعض الروتكيت الذي يصيب منطقة الكيرنل
Advanced Kernel Mode Rootkit

مثل : TDL4 او TDL3 قادر على تعطيل عدد كبير من برامج الحماية

هذا النوع لا يقوم بتحميل درايفر بل يقوم بما هو أسوأ

وهو استبدال درايفر بدرايفر اخر

هذا النوع قوي جدا فى كسر او فك التشفير

مثلا لو كنت تستخدم Key Scrambbel واصبت ب TDL 3

وهذا الاخير قام باصابة او استبدال الدرايفر الخاص بلوحة المفاتيح

فانه سيقرأ ضربات الكيبورد كاملة ولن ينفعك اي برنامج تشفير فى الدنيا

هذا النوع بحاجة لموضوع مستقل ؟!!

على العموم لنعد لبت القصيد بالنسبة للكمودو وال
Kernel -Mode drivers

اعتقد التجربة خير برهان

انتظر موضوعي القادم بعد يومين او ثلاثة ان شاء الله

​

 

عفوا اخي العزيز,,,
لا احد يستطيع ان يقول هذا القول عن الكمودو؟؟؟

الكمودو برنامج قوي جدا لكنه بحاجة لمستخدم متوسط او متقدم الخبرة حتي يستفيد من البرنامج ويستخدمه بشكل صحيح؟؟
​

 

أنا أيضا أنتظر أجابة يا الغالي
لكن اريد أستخدامه في أظهار ملفات مخفيه التى تعمل في عمليات
هل تنفع؟؟ ​

 

على العموم قد يسأل احدهم سؤال؟؟

ايهما افضل؟؟ بالنسبة للمستخدم المتقدم او الخبير؟؟

الكاسبرسكي سيكيورتي , اونلاين ارمر او الكمودو

عندي تجربة - علمية ومنطقية - ستكشف المستور , ترقوبوها فى موضوعي القادم لنري من سيتفوق

فى امان الله

اعتقد ان ابو العباس اجاب مسبقا على سؤالك

وبالتجارب ليس بالكلام فقط

 

شكرا وبارك الله فيك اخوي هيثم على الموضوع رائع .. تستحق 5 نجوم
انا متأآآآآآآآآآآآآآخر كثير في الموضوع
وبما انه كان الاعدادات الافتراضية البرامج اكيد تخطاهم .. روتكيت
ولكن على الاعدادات الاقصوى مثل ارمور او الدفنس او الكمودو .. ممكن يختلف االاوضاع
ولكن هذا يثبت نظرية علمية انه لايوجد حماية كاملة
ويثبت نظرية انه الاعدادات الافتراضية للبرامج الحماية .. لاينفع مع المستخدم العادي
ولهذا لابد من الحمايات تطوير نفسها مثل سونار حق النورتين .. لحتى الان مذهل خبراء الحماية
هذا ماعندي حاليا هذا والله الموفق ..
​

 

وضعتها في موضوع خاص للاستفاده منها :king:

http://www.zyzoom.org/vb/showthread.php?p=3528318#post3528318
​

 

كل الاحترام والتقدير اخي حاتم

تشرفت بمرورك اخي الكريم برنس

يا ملك العروض والحصريات

بارك الله فيك
​

 

ما تقوله اخي حاتم صحيح بنسبة كبيرة ولكن ليس مع جميع البرنامج

الاونلاين ارمر اقوي برنامج هيبس فى العالم وبالاعدادات الافتراضية ولا يحتاج الى خبير

لان اوامره واضحة وتظهر بالالوان

موضوع تخطي الروتكيت للاونلاين ارمر اشاعة صدرت من منتدى الكمودو

وصراحة كان عندي شكوك فى صحة هذه المعلومة

لكن كما قلت طلعت اشاعة؟؟؟

​

 

مساء الخير

شوي شوي على الكمودو ومنتدى الكمودو ، ارجو عدم التسرع في توزيع الاتهامات

اولا : الاونلاين ارمور تم تخطيه على يد نفس الشخص الذي طرح الموضوع الذي قمت بنقله انت من منتدى wilderssecurity وهو العضو aigle وذلك يوم 08 من شهر كانون الاول


----------------------------------
http://www.wilderssecurity.com/showpost.php?p=1985209&postcount=39
----------------------------------
ثانيا : تم نقل المعلومة الى منتدى الكمودو من طرف العضو Tech الذي طرح الموضوع ثم نقل خبر تخطي الاونلاين ارمور يوم 9 من نفس الشهر

اقرأ المشاركة : Seems that Online Armor also needed an update and got bypassed in some situations


----------------------------------------------
https://forums.comodo.com/news-anno...ess-rootkit-t79079.0.html;msg567622#msg567622
-------------------------------------------

لا اظن ان كنت يا اخي قرأت كل المشاركات ، ولكن كان عليك توخي روح المسؤولية وعدم توزيع الاتهامات فالذي نقل خبر تخطي الكمودو هو نفسه من نقل خبر تخطي الاونلاين ارمور في نفس المنتدى wilderssecurity .
وبما انك نقلت الموضوع من wilderssecurity كان يجب عليك التحلي بالموضوعية وقراءة كل الردود
لان فيديو نجاح OA في صد rootkit جاء كرد على aigle ولكن اتفقوا على ان تخطي OA ممكن in some situations



اين هي الاشاعات ؟؟؟؟؟

--------------------------------------------
​

 

طبعا اشاعات ونص كمان؟؟

عندما شخص يقرأ موضوع ومن ثم يقوم بخذف نصف المعلومة وينشر الباقى ماذا ستقول عنه

وخصوصا عن طريق احد ابطال الكمودو؟؟؟


ارجع للمشاركة رقم 46 ل Fabian Wosar

بتاريخ 8/12/2011

الاونلاين ارمر المجاني يصد الروتكيت فقط على انظمة xp

ووندوز 7 64 bit

باقى الانظمة النتيجة غير مضمونة للنسخة المجانية

ولحل المشكلة تم عمل تحديث لهذه الثغرة والتي بسببها لن يعمل البرنامج بكفاءة

بالنسبة لنسخة البريميوم ستوقف الروتكيت على اي نظام تشغيل؟؟؟

الثغرة موجودة على نظام التشغيل بالنسبة للنسخة المجانية باستثناء ويندوز xp
ووندوز 7 64 bit​

 

كما تلاحظ فى الصورة الاونلاين ارمر قادر على قراءة اي درايفر من منطقة الكيرنل
وهو يتفوق عن اي اداة فى هذا المجال

بعكس الكمودو حتى اداة الكمودو Kill Switch لا تستطيع

قراءة الدرايفرات من هذه المنطقة


​

 

يلجا اليها بعد الاكتشاف و ليس قبله
و هذا للحد من الاكتشافات الخاطئة

تحياتي
​